Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Votre mot de passe est-il bien sécurisé ? Pourquoi faut-il utiliser un mot différent sur chaque site et chaque application que vous utilisez ? Et surtout, comment faire pour ne pas les oublier ? Autant de questions qui devraient trouver réponse ici même.

Mon mot de passe est-il bien sécurisé ? Faut-il utiliser un mot différent sur chaque site et chaque application que l’on utilise ? Combien de caractères dois-je utiliser, et surtout, comment faire pour ne pas l’oublier, sans le noter sur un petit papier collé sur l’écran de l’ordinateur ?

Depuis une dizaine d’années, on ne compte plus les attaques de la part des cyberdélinquants chez les grands éditeurs… Attaques qui se soldent parfois par un « succès » pour les pirates, qui parviennent à dérober de précieuses informations concernant les internautes.

À lire aussi : quel est le meilleur antivirus ?

Bannir le sempiternel “123456”

Image 1 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Si ces menaces ont de quoi affoler les internautes, elles mettent aussi le doigt sur un travers dont nous sommes tous coupables. Car les pirates s’empressent dans la foulée de révéler les mots de passe des utilisateurs. Et le plus effrayant, c’est peut-être de découvrir que finalement, nos habitudes n’ont guère changé. Oui, nous sommes encore nombreux à écrire nos mots de passe sur un papier collé au bas de l’écran ou dans un fichier de texte stocké dans un répertoire de l’ordinateur.
Et le pire, c’est que le mot de passe le plus utilisé, c’est toujours l’incontournable « 123456 ». Comment imaginer que ce mot de passe soit efficace 2 secondes ? Même chose pour les autres poncifs : « password », « qwerty » (ou sa variante « azerty »), « admin », « abc123 », « 111111 »…

Rester vigilant, il faut rester vigiliant

Image 2 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Des mots de passe, nous en utilisons vraiment sur tous les appareils. Sur nos PC et nos Mac, bien évidemment. Mais également sur nos smartphones, nos tablettes, nos disques réseau, notre box ADSL… Et des mots de passe, on en trouve tout le temps : au démarrage de l’ordinateur ou du smartphone. Mais aussi pour se connecter à un réseau local, pour poster sur un forum, pour consulter ses comptes en ligne, pour effectuer un achat sur un site web, synchroniser ses données entre différents appareils, etc. Bref, ils sont devenus indispensables et garantissent un maximum de sécurité aux utilisateurs. Mais encore faut-il en user à bon escient, car ils peuvent parfois être très faciles à deviner, se retrouver sur la place publique et s’échanger entre hackers du monde entier. Afin de bien les choisir, mais aussi vous en rappeler et faire en sorte qu’ils soient stockés dans un espace inviolable, voici une série de conseils liés aux mots de passe.

À lire aussi : quel est le meilleur code secret à 4 chiffres ?

Comment les pirates s’y prennent pour trouver un mot de passe

Image 3 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Pour dérober un mot de passe et l’identifiant associé, il existe plusieurs techniques. La plus répandue consiste à utiliser des « dictionnaires » de mot de passe. Un petit script va tester tous les « termes » ou « combinaisons de termes et de chiffres » généralement employés par les utilisateurs du monde entier. Les hackers peuvent bien évidemment recourir à des dictionnaires classiques et localisés, mais ce ne serait pas très efficace. Ils ont en effet à leur disposition des catalogues de mots de passe bien plus complets. Stun, l’un d’entre eux, a même compilé un dictionnaire de plus de 1,5 milliard de mots de passe et l’a diffusé via le réseau de p2p Bittorrent. C’est à ce jour la plus grand base de mot de passe jamais réalisée (le fichier une fois compressé pèse plus de 4 Go).

Autre méthode : l’attaque par force brute. Dans ce cas, un script tente toutes les combinaisons possibles, sans faire appel à un dictionnaire. Cette méthode est certes plus longue, mais se révèle plus fructueuse, puisqu’en théorie, elle est capable de trouver n’importe quelle séquence, aussi complexe soit-elle (majuscule, minuscule, chiffre, caractères spéciaux…).

À lire aussi : les meilleurs logiciels gratuits pour Windows.

Un mot de passe complexe découvert en seulement quelques heures… en théorie

Image 4 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Quand on sait qu’un ordinateur est capable d’effectuer plusieurs millions de calculs à la seconde, et  donc de générer autant de mots de passe en conséquence, on pourrait rapidement s’affoler. En théorie, en quelques heures, un mot de passe de huit caractères peut être piraté à l’aide d’un PC classique. Mais ce n’est pas si simple. Car nos ordinateurs, les sites web, les smartphones et autres appareils sont mieux protégés qu’il n’y paraît. Ils peuvent par exemple utiliser un « timer » : au bout de trois tentatives infructueuses d’entrer un mot de passe, le système refuse à l’utilisateur (ou le hacker) un quatrième essai. Il doit attendre quelques minutes, voire quelques heures, avant de pouvoir tenter à nouveau sa chance.

Dès lors, si le mot de passe est un tant soit peu complexe, il est impossible de le trouver à l’aide d’un dictionnaire ou en force brute… À moins d’y passer quelques millénaires. Certains systèmes, comme les webmails par exemple, vont même jusqu’à refuser définitivement une quatrième tentative, obligeant l’utilisateur à contacter le SAV, afin de réinitialiser le mot de passe oublié.

Il existe une seconde méthode, assez similaire, qui consiste doubler le temps entre chaque tentative d’entrée. On n’empêche pas l’utilisateur d’entrer un mot de passe, mais on augmente fortement les probabilités qu’un hacker mette la main sur le précieux sésame à l’aide d’une attaque brute.

Enfin, toutes ces méthodes peuvent aussi être couplées à des techniques plus « physiques », comme la reconnaissance d’empreinte sur les ordinateurs ou les smartphones, la reconnaissance faciale ou la reconnaissance vocale.

Peut-on vérifier qu’un mot de passe est sécurisé ?

Image 5 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Sur le web, il existe des centaines de services proposant de vérifier la « force » d’un mot de passe. Rendez-vous par exemple sur The Password Meter et entrez votre mot de passe afin de tester son efficacité. Microsoft livre aussi un service en ligne qui permet de vérifier la validité d’un mot de passe. Il n’y a rien à télécharger, il suffit de se rendre sur le site de Password Checker et d’entrer le mot de passe, afin de mieux éprouver sa résistance aux tentatives de piratage. Mais il y a plus ludique, toujours chez Microsoft. Le service en question s’appelle Telepathwords et se propose de deviner l’intégralité d’un mot de passe au fur et à mesure que vous l’entrez. Là encore, il y a de quoi s’inquiéter : Telepathwords est capable de détecter les lettres ou chiffres que vous allez entrer dans 50 % des cas.

Faut-il changer de mot de passe régulièrement ?

Image 6 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

En théorie, il faudrait modifier tous ses mots de passe au moins une fois par mois. Une manipulation vraiment contraignante, que (presque) personne n’effectue. Et pourtant, c’est la clé d’un mot de passe inviolable. Le meilleur conseil que nous pouvons vous donner est alors de les changer au moins une fois par an, plutôt que par mois. Et si vous craignez de ne pas vous en rappeler, utilisez un agrégateur. Enfin, dernier conseil : variez systématiquement vos mots de passe.

N’utilisez jamais deux fois le même sur le web, surtout si vous les associez à la même adresse email. Imaginez en effet qu’un site, malgré toutes ses précautions, vienne à se faire pirater et que l’ensemble de ses comptes utilisateurs soit divulgué. En théorie, les mots de passe sont chiffrés dans la base de données du site, mais rien ne vous l’assure à 100%. En conséquence, si un hacker vient à récupérer vos identifiant et mot de passe sur un site, il y a de fortes chances pour qu’il tente de les utiliser sur d’autres plates-formes. C’est pourquoi il est fortement recommandé de ne jamais utiliser deux fois le même mot de passe.

Avant tout, prenez gare aux keyloggers !

Image 7 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Vérifiez également qu’aucun « keylogger » n’est installé sur votre ordinateur. Un keylogger, ou enregistreur de frappe en français, détecte et stocke toutes les utilisations des touches du clavier. En clair, il s’agit d’un petit espion, qui intercepte vos identifiants et vos mots de passe et les  transmet ensuite par le web à un cyberdélinquant. Si vous soupçonner d’un keylogger sur votre PC, installez n’importe quelle suite de sécurité, même une version gratuite. Tous les antivirus, même les plus basiques, sont en effet capables de détecter un keylogger : il n’est nul besoin de faire appel à un logiciel dédié.

Génération aléatoire et technique des touches décalées

Image 8 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Le générateur : pratique, mais difficile à mémoriser

Pour bien sécuriser un mot de passe, plusieurs techniques efficaces sont envisageables. L’une des plus connues consiste à faire appel à un générateur qui permet de créer un mot de passe de manière aléatoire, avec foule de caractères différents. Des générateurs de mot de passe, on en trouve des centaines sur le web, comme par exemple sur Exhaustif.com, Création de mots de passe ou encore le site de l’éditeur Norton. Il existe des logiciels à installer sur son PC (Générateur de Mot de Passe, Efficient Password Manager, etc.), ou encore des plugins pour son navigateur (PWgen pour Firefox).

L’ennui, avec ces mots générés, c’est qu’il faudra ensuite s’en souvenir. Et lorsque vous obtenez quelque chose du genre « 4s(9V8+$7BzexYN* », ce n’est vraiment pas évident. L’autre problème, c’est que ce genre de mot de passe n’est pas nécessairement évident à entrer sur un appareil qui n’a pas de clavier physique, comme une console de jeu ou un lecteur multimédia (pour accéder à un service en ligne ou au réseau, par exemple). Bref, c’est peut-être un excellent moyen de protéger ses données, mais ce n’est pas le plus convivial.

Le décalage des touches : simple et efficace

Une autre méthode, plus pratique, fait appel à une petite astuce. Elle consiste à imaginer un mot de passe dont on se souviendra facilement, et à décaler tous les caractères d’une rangée vers la gauche ou la droite du clavier. Un exemple ? Prenons par exemple ce mot de passe : 19sartrouville80kitty.

Dans cet exemple, 19 et 80 constituent l’année de naissance d’un utilisateur lambda, Sartrouville son lieu de naissance, et Kitty le nom de son chat. Problème : les hackers peuvent rapidement trouver un tel mot de passe, malgré la présence de chiffres. Maintenant, décalons le tout d’une colonne vers la gauche par rapport à la position de chaque caractère sur le clavier. Le “s” devient “q”, le “a” devient “p” (on décale à l’extrême droite, puisqu’on arrive en bout de course à gauche), le “r” devient “e”, le “t” devient “r”, etc. Et on fait de même pour les chiffres. On obtient donc 38qperiycukkz70jurrt (n’oublions pas que, s’il l’on arrive à l’extrémité gauche du clavier, on repart à son extrémité droite). Ajoutons à cela une majuscule en début et en fin de mot, il en résulte alors 38QperiycukkZ70JurrT.

Voilà qui a de quoi occuper nos pirates un petit moment, et qui se révèlera plus simple à mémoriser qu’un mot de passe généré aléatoirement. Mine de rien, le mot de passe ainsi créé occupe déjà 20 caractères. On peut bien évidemment complexifier la chose en ajoutant un autre terme ou une autre date, que l’on décalera également vers la gauche du clavier. Mais aussi ajouter par exemple un petit symbole (* / , – +…) avant ou après les dates.

L’authentification à deux facteurs

Image 9 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

L’authentification à deux facteurs : derrière cette expression un peu complexe se cache en réalité l’un des moyens les plus sûrs de protéger ses informations. L’authentification à deux facteurs, que l’on appelle également validation en deux étapes, exige comme son nom l’indique deux manipulations de la part de l’internaute. Au moment de se connecter sur un site comme Facebook par exemple, il commence par entrer son adresse email et son mot de passe. Jusque-là, rien d’inhabituel. Mais une fois cette étape franchie, il lui faut également entrer un second code, qu’il on reçoit généralement par SMS sur son téléphone, ou par email.

À lire aussi : Découvrez comment protéger efficacement votre adresse mail contre le piratage.

Mais ça se trouve sur quels sites ?

Image 10 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

L’authentification à deux facteurs est particulièrement utile si vous êtes amené à changer régulièrement de matériel. En clair, faites-en usage si vous êtes souvent en déplacement et que vous vous retrouvez devant un PC ou un smartphone qui n’est pas le vôtre. Ce genre de service se répand peu à peu (Google, compte Live de Microsoft, LinkedIn…), mais il est bien souvent désactivé par défaut. Pour le mettre place, n’hésitez pas à vous reporter à notre dossier Guide qui fait l’inventaire des plus grands services qui ont recours à l’authentification à deux facteurs.

Le porte-feuille de mots de passe

Ce genre de dispositif ne recèle pas de mystère particulier. Il vous faudra dans tous les cas de figure disposer d’au moins un mot de passe puissant. Mais l’agrégateur permet de s’affranchir de tous les autres, puisqu’ils sont stockés au sein d’un “coffre-fort” ou “porte-feuille”. Au final, il vous suffit d’entrer un mot de passe pour révéler tous les autres.

L’autre gros avantage, en dehors d’être un simple aide-mémoire, c’est qu’un agrégateur de mots de passe peut être utilisé sur tout type de plate-forme, et que les données se synchronisent entre différents appareils (une option généralement payante). Vous avez donc la possibilité de configurer tous vos mots de passe sur votre PC ou votre Mac, et de les retrouver sur votre smartphone, sans avoir à les entrer un à un de nouveau.

Le nombre de programmes capables de réaliser cette opération est légion. En voici une petite sélection :

Dashlane

  • Prix : gratuit (existe en version premium à 39,99 €/an)
  • Plates-formes : OSX, PC, iOS, Android

En deux secondes seulement, Dashlane analyse tous les mots de passe stockés dans le navigateur et en détermine un niveau de sécurité. C’est simple et très visuel, et on comprend immédiatement d’où les failles peuvent venir sur sa machine. Il propose un outil de saisie automatique pour les sites classiques, mais également pour les services marchands. L’un des plus puissants et des plus complets d’entre tous.

Image 11 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Keepass Password Safe

  • Prix : gratuit
  • Plates-forme : Windows, Android, iOS, OSX

Un outil plus basique que la plupart de ses concurrents, mais qui dispose d’une impressionnante liste de fonctionnalités (gestionnaire par “groupes”, générateur de mot de passe, nettoyage automatique du presse-papier, etc.).

Image 12 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

LastPass

  • Prix : gratuit (existe en version premium à 43,20 $/an)
  • Plates-formes : navigateurs, iOS, Android

LastPass est un outil un peu particulier, puisqu’il s’agit surtout d’une extension au navigateur (Internet Explorer, Opera, Firefox, Chrome ou Safari). Il n’y a donc pas d’exécutable sous Windows ou Mac OS X et tout se déroule au sein du browser. L’application n’en reste pas moins très efficace, en français et très complet. Le petit assistant au début de l’installation est assez bienvenu.

Image 13 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

En résumé, comment bien choisir ses mots de passe

Image 14 : Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Au final, il n’existe pas de mot de passe totalement infaillible, aussi long et aussi complexe soit-il. En revanche, plus vous suivrez les quelques recommandations ci-dessous, plus la tâche sera ardue pour un hacker de trouver votre précieux sésame. Et quand s’il lui faut plusieurs années pour en vernir à bout, il y a de fortes chances pour les informations liées à votre mot de passe deviennent totalement obsolètes. En somme, vos données seront à l’abri pour un bon moment. S’il fallait résumer les différentes techniques liées à l’élaboration d’un mot de passe efficace, on pourrait le faire de la manière suivante :

  • un mot de passe doit être le plus long possible. Au minimum, composez-le de 8 caractères, mais comme nous l’avons vu dans la partie consacrée à la technique du décalage des touches du clavier, il est facile d’en élaborer un d’une vingtaine de caractères, et surtout, et de parvenir à le mémoriser facilement
  • alterner majuscules, minuscules, chiffres et si possibles caractères spéciaux. Là encore, la technique du décalage de clavier peut être un bon atout pour s’en souvenir
  • ne le notez jamais sur un petit papier et ne l’enregistrer pas non plus dans un fichier accessible en clair (non chiffré). Si vous avez peur de perdre tous vos mots de passe, utilisez un porte-feuille (ou agrégateur)
  • ne transmettez jamais en clair et à vos proches vos mots de passe. Évitez de les diffuser les logiciels de messagerie instantanée ou les mails traditionnels.