Votre mot de passe est-il efficace ? Comment l'améliorer ?

Bannir le sempiternel "123456"

Mon mot de passe est-il bien sécurisé ? Faut-il utiliser un mot différent sur chaque site et chaque application que l’on utilise ? Combien de caractères dois-je utiliser, et surtout, comment faire pour ne pas l’oublier, sans le noter sur un petit papier collé sur l’écran de l’ordinateur ?

Depuis une dizaine d'années, on ne compte plus les attaques de la part des cyberdélinquants chez les grands éditeurs… Attaques qui se soldent parfois par un « succès » pour les pirates, qui parviennent à dérober de précieuses informations concernant les internautes. Si ces menaces ont de quoi affoler les internautes, elles mettent aussi le doigt sur un travers dont nous sommes tous coupables. Car les pirates s’empressent dans la foulée de révéler les mots de passe des utilisateurs, comme cela a été le cas lors du piratage des comptes d’Adobe l’an dernier. Et le plus effrayant, c’est peut-être de découvrir que finalement, nos habitudes n’ont guère changé. Oui, nous sommes encore nombreux à écrire nos mots de passe sur un papier collé au bas de l'écran ou dans un fichier de texte stocké dans un répertoire de l'ordinateur.
Et le pire, c'est que le mot de passe le plus utilisé, c’est toujours l’incontournable « 123456 ». Comment imaginer que ce mot de passe soit efficace 2 secondes ? Même chose pour les autres poncifs : « password », « qwerty » (ou sa variante « azerty »), « admin », « abc123 », « 111111 »…

Rester vigilant, il faut rester vigiliant

Des mots de passe, nous en utilisons vraiment sur tous les appareils. Sur nos PC et nos Mac, bien évidemment. Mais également sur nos smartphones, nos tablettes, nos disques réseau, notre box ADSL… Et des mots de passe, on en trouve tout le temps : au démarrage de l’ordinateur ou du smartphone. Mais aussi pour se connecter à un réseau local, pour poster sur un forum, pour consulter ses comptes en ligne, pour effectuer un achat sur un site web, synchroniser ses données entre différents appareils, etc. Bref, ils sont devenus indispensables et garantissent un maximum de sécurité aux utilisateurs. Mais encore faut-il en user à bon escient, car ils peuvent parfois être très faciles à deviner, se retrouver sur la place publique et s'échanger entre hackers du monde entier. Afin de bien les choisir, mais aussi vous en rappeler et faire en sorte qu'ils soient stockés dans un espace inviolable, voici une série de conseils liés aux mots de passe.

A lire aussi : Le top des logiciels pour gérer ses mots de passe

Comment les pirates s’y prennent pour trouver un mot de passe

Pour dérober un mot de passe et l’identifiant associé, il existe plusieurs techniques. La plus répandue consiste à utiliser des « dictionnaires » de mot de passe. Un petit script va tester tous les « termes » ou « combinaisons de termes et de chiffres » généralement employés par les utilisateurs du monde entier. Les hackers peuvent bien évidemment recourir à des dictionnaires classiques et localisés, mais ce ne serait pas très efficace. Ils ont en effet à leur disposition des catalogues de mots de passe bien plus complets. Stun, l’un d’entre eux, a même compilé un dictionnaire de plus de 1,5 milliard de mots de passe et l’a diffusé via le réseau de p2p Bittorrent. C'est à ce jour la plus grand base de mot de passe jamais réalisée (le fichier une fois compressé pèse plus de 4 Go).

Autre méthode : l'attaque par force brute. Dans ce cas, un script tente toutes les combinaisons possibles, sans faire appel à un dictionnaire. Cette méthode est certes plus longue, mais se révèle plus fructueuse, puisqu’en théorie, elle est capable de trouver n’importe quelle séquence, aussi complexe soit-elle (majuscule, minuscule, chiffre, caractères spéciaux…).

Un mot de passe complexe découvert en seulement quelques heures… en théorie

Quand on sait qu’un ordinateur est capable d’effectuer plusieurs millions de calculs à la seconde, et  donc de générer autant de mots de passe en conséquence, on pourrait rapidement s’affoler. En théorie, en quelques heures, un mot de passe de huit caractères peut être piraté à l’aide d’un PC classique. Mais ce n’est pas si simple. Car nos ordinateurs, les sites web, les smartphones et autres appareils sont mieux protégés qu’il n’y paraît. Ils peuvent par exemple utiliser un « timer » : au bout de trois tentatives infructueuses d’entrer un mot de passe, le système refuse à l’utilisateur (ou le hacker) un quatrième essai. Il doit attendre quelques minutes, voire quelques heures, avant de pouvoir tenter à nouveau sa chance. Dès lors, si le mot de passe est un tant soit peu complexe, il est impossible de le trouver à l’aide d’un dictionnaire ou en force brute… À moins d’y passer quelques millénaires. Certains systèmes, comme les webmails par exemple, vont même jusqu’à refuser définitivement une quatrième tentative, obligeant l’utilisateur à contacter le SAV, afin de réinitialiser le mot de passe oublié.
Il existe une seconde méthode, assez similaire, qui consiste doubler le temps entre chaque tentative d’entrée. On n’empêche pas l’utilisateur d’entrer un mot de passe, mais on augmente fortement les probabilités qu’un hacker mette la main sur le précieux sésame à l’aide d’une attaque brute.
Enfin, toutes ces méthodes peuvent aussi être couplées à des techniques plus « physiques », comme la reconnaissance d’empreinte sur les ordinateurs ou les smartphones, la reconnaissance faciale ou la reconnaissance vocale.

Peut-on vérifier qu'un mot de passe est sécurisé ?

Sur le web, il existe des centaines de services proposant de vérifier la « force » d’un mot de passe. Rendez-vous par exemple sur The Password Meter et entrez votre mot de passe afin de tester son efficacité. Microsoft livre aussi un service en ligne qui permet de vérifier la validité d’un mot de passe. Il n’y a rien à télécharger, il suffit de se rendre sur le site de Password Checker et d’entrer le mot de passe, afin de mieux éprouver sa résistance aux tentatives de piratage. Mais il y a plus ludique, toujours chez Microsoft. Le service en question s’appelle Telepathwords et se propose de deviner l’intégralité d’un mot de passe au fur et à mesure que vous l’entrez. Là encore, il y a de quoi s’inquiéter : Telepathwords est capable de détecter les lettres ou chiffres que vous allez entrer dans 50 % des cas.

Faut-il changer de mot de passe régulièrement ?

En théorie, il faudrait modifier tous ses mots de passe au moins une fois par mois. Une manipulation vraiment contraignante, que (presque) personne n’effectue. Et pourtant, c’est la clé d’un mot de passe inviolable. Le meilleur conseil que nous pouvons vous donner est alors de les changer au moins une fois par an, plutôt que par mois. Et si vous craignez de ne pas vous en rappeler, utilisez un agrégateur. Enfin, dernier conseil : variez systématiquement vos mots de passe. N’utilisez jamais deux fois le même sur le web, surtout si vous les associez à la même adresse email. Imaginez en effet qu’un site, malgré toutes ses précautions, vienne à se faire pirater et que l’ensemble de ses comptes utilisateurs soit divulgué. En théorie, les mots de passe sont chiffrés dans la base de données du site, mais rien ne vous l’assure à 100%. En conséquence, si un hacker vient à récupérer vos identifiant et mot de passe sur un site, il y a de fortes chances pour qu’il tente de les utiliser sur d’autres plates-formes. C’est pourquoi il est fortement recommandé de ne jamais utiliser deux fois le même mot de passe.

Avant tout, prenez gare aux keyloggers !

Vérifiez également qu’aucun « keylogger » n’est installé sur votre ordinateur. Un keylogger, ou enregistreur de frappe en français, détecte et stocke toutes les utilisations des touches du clavier. En clair, il s’agit d’un petit espion, qui intercepte vos identifiants et vos mots de passe et les  transmet ensuite par le web à un cyberdélinquant. Si vous soupçonner d’un keylogger sur votre PC, installez n’importe quelle suite de sécurité, même une version gratuite. Tous les antivirus, même les plus basiques, sont en effet capables de détecter un keylogger : il n’est nul besoin de faire appel à un logiciel dédié.

Génération aléatoire et technique des touches décalées

Le générateur : pratique, mais difficile à mémoriser

Pour bien sécuriser un mot de passe, plusieurs techniques efficaces sont envisageables. L’une des plus connues consiste à faire appel à un générateur qui permet de créer un mot de passe de manière aléatoire, avec foule de caractères différents. Des générateurs de mot de passe, on en trouve des centaines sur le web, comme par exemple sur Exhaustif.com, Création de mots de passe ou encore le site de l'éditeur Norton. Il existe des logiciels à installer sur son PC (Générateur de Mot de Passe, Efficient Password Manager, etc.), ou encore des plugins pour son navigateur (PWgen pour Firefox).
L’ennui, avec ces mots générés, c’est qu’il faudra ensuite s’en souvenir. Et lorsque vous obtenez quelque chose du genre « 4s(9V8+$7BzexYN* », ce n’est vraiment pas évident. L’autre problème, c’est que ce genre de mot de passe n’est pas nécessairement évident à entrer sur un appareil qui n’a pas de clavier physique, comme une console de jeu ou un lecteur multimédia (pour accéder à un service en ligne ou au réseau, par exemple). Bref, c’est peut-être un excellent moyen de protéger ses données, mais ce n’est pas le plus convivial.

Le décalage des touches : simple et efficace

Une autre méthode, plus pratique, fait appel à une petite astuce. Elle consiste à imaginer un mot de passe dont on se souviendra facilement, et à décaler tous les caractères d’une rangée vers la gauche ou la droite du clavier. Un exemple ? Prenons par exemple ce mot de passe : 19sartrouville80kitty. Dans cet exemple, 19 et 80 constituent l'année de naissance d’un utilisateur lambda, Sartrouville son lieu de naissance, et Kitty le nom de son chat. Problème : les hackers peuvent rapidement trouver un tel mot de passe, malgré la présence de chiffres. Maintenant, décalons le tout d’une colonne vers la gauche par rapport à la position de chaque caractère sur le clavier. Le "s" devient "q", le "a" devient "p" (on décale à l'extrême droite, puisqu'on arrive en bout de course à gauche), le "r" devient "e", le "t" devient "r", etc. Et on fait de même pour les chiffres. On obtient donc 38qperiycukkz70jurrt (n'oublions pas que, s’il l’on arrive à l’extrémité gauche du clavier, on repart à son extrémité droite). Ajoutons à cela une majuscule en début et en fin de mot, il en résulte alors 38QperiycukkZ70JurrT. Voilà qui a de quoi occuper nos pirates un petit moment, et qui se révèlera plus simple à mémoriser qu’un mot de passe généré aléatoirement. Mine de rien, le mot de passe ainsi créé occupe déjà 20 caractères. On peut bien évidemment complexifier la chose en ajoutant un autre terme ou une autre date, que l’on décalera également vers la gauche du clavier. Mais aussi ajouter par exemple un petit symbole (* / , - +…) avant ou après les dates.

L’authentification à deux facteurs

L'authentification à deux facteurs : derrière cette expression un peu complexe se cache en réalité l’un des moyens les plus sûrs de protéger ses informations. L’authentification à deux facteurs, que l’on appelle également validation en deux étapes, exige comme son nom l’indique deux manipulations de la part de l’internaute. Au moment de se connecter sur un site comme Facebook par exemple, il commence par entrer son adresse email et son mot de passe. Jusque-là, rien d’inhabituel. Mais une fois cette étape franchie, il lui faut également entrer un second code, qu'il on reçoit généralement par SMS sur son téléphone, ou par email.

Mais ça se trouve sur quels sites ?

L’authentification à deux facteurs est particulièrement utile si vous êtes amené à changer régulièrement de matériel. En clair, faites-en usage si vous êtes souvent en déplacement et que vous vous retrouvez devant un PC ou un smartphone qui n'est pas le vôtre. Ce genre de service se répand peu à peu (Google, compte Live de Microsoft, LinkedIn…), mais il est bien souvent désactivé par défaut. Pour le mettre place, n’hésitez pas à vous reporter à notre dossier Guide qui fait l’inventaire des plus grands services qui ont recours à l’authentification à deux facteurs.

Le porte-feuille de mots de passe

Ce genre de dispositif ne recèle pas de mystère particulier. Il vous faudra dans tous les cas de figure disposer d’au moins un mot de passe puissant. Mais l’agrégateur permet de s'affranchir de tous les autres, puisqu'ils sont stockés au sein d'un "coffre-fort" ou "porte-feuille". Au final, il vous suffit d'entrer un mot de passe pour révéler tous les autres. L'autre gros avantage, en dehors d'être un simple aide-mémoire, c'est qu'un agrégateur de mots de passe peut être utilisé sur tout type de plate-forme, et que les données se synchronisent entre différents appareils (une option généralement payante). Vous avez donc la possibilité de configurer tous vos mots de passe sur votre PC ou votre Mac, et de les retrouver sur votre smartphone, sans avoir à les entrer un à un de nouveau.

Le nombre de programmes capables de réaliser cette opération est légion. En voici une petite sélection :

Dashlane
- Prix : gratuit (existe en version premium à 29,99 €/an avec sauvegarde dans le Cloud)
- Plates-formes : Mac OS X, PC, iOS, Android
En deux secondes seulement, Dashlane analyse tous les mots de passe stockés dans le navigateur et en détermine un niveau de sécurité. C'est simple et très visuel, et on comprend immédiatement d'où les failles peuvent venir sur sa machine. Il propose un outil de saisie automatique pour les sites classiques, mais également pour les services marchands. L'un des plus puissants et des plus complets d'entre tous.

Keepass Password Safe
- Prix : gratuit
- Plates-formes : Windows
Un outil plus basique que la plupart de ses concurrents, mais qui dispose d'une impressionnante liste de fonctionnalités (gestionnaire par "groupes", générateur de mot de passe, nettoyage automatique du presse-papier, etc.). Deux reproches, néanmoins : l'application n'existe que pour Windows et n'est pas disponible en français.
LastPass
- Prix : gratuit (existe en version premium à 12 $/an)
- Plates-formes : navigateurs, iOS, Android, Blackberry, Symbian, WebOS

LastPass est un outil un peu particulier, puisqu'il s'agit surtout d'une extension au navigateur (Internet Explorer, Opera, Firefox, Chrome ou Safari). Il n'y a donc pas d'exécutable sous Windows ou Mac OS X et tout se déroule au sein du browser. L'application n'en reste pas moins très efficace, en français et très complet. Le petit assistant au début de l'installation est assez bienvenu.

oneSafe
- Prix : de 4,99 € à 11,99 €
- Plates-formes : Mac, iPhone et iPad, Android et Windows Phone

Bien que payant, oneSafe est l'un des plus intéressants outils de gestion des mots de passe. Il propose différentes méthodes concernant le mot de passe maître (classique, visuel, serrure ou code de quatre chiffres). Que ce soit pour gérer ses mots de passe sur des sites standard, ou pour effectuer ses achats en ligne, son interface rend cet outil très agréable à utiliser. Dommage que le logiciel n'ait pas été porté sur Windows...

Et pour davantage de logiciels et applications du même genre, rendez-vous sur le dossier consacré aux logiciels de gestion des mots de passe.

En résumé, comment bien choisir ses mots de passe

Au final, il n'existe pas de mot de passe totalement infaillible, aussi long et aussi complexe soit-il. En revanche, plus vous suivrez les quelques recommandations ci-dessous, plus la tâche sera ardue pour un hacker de trouver votre précieux sésame. Et quand s'il lui faut plusieurs années pour en vernir à bout, il y a de fortes chances pour les informations liées à votre mot de passe deviennent totalement obsolètes. En somme, vos données seront à l'abri pour un bon moment. S'il fallait résumer les différentes techniques liées à l'élaboration d'un mot de passe efficace, on pourrait le faire de la manière suivante :

  • un mot de passe doit être le plus long possible. Au minimum, composez-le de 8 caractères, mais comme nous l'avons vu dans la partie consacrée à la technique du décalage des touches du clavier, il est facile d'en élaborer un d'une vingtaine de caractères, et surtout, et de parvenir à le mémoriser facilement
  • alterner majuscules, minuscules, chiffres et si possibles caractères spéciaux. Là encore, la technique du décalage de clavier peut être un bon atout pour s'en souvenir
  • ne le notez jamais sur un petit papier et ne l'enregistrer pas non plus dans un fichier accessible en clair (non chiffré). Si vous avez peur de perdre tous vos mots de passe, utilisez un porte-feuille (ou agrégateur)
  • ne transmettez jamais en clair et à vos proches vos mots de passe. Évitez de les diffuser les logiciels de messagerie instantanée ou les mails traditionnels.
Posez une question dans la catégorie Dossiers du forum
Cette page n'accepte plus de commentaires
10 commentaires
    Votre commentaire
  • Soann
    Le problème ce n'est pas le mot de passe, mais les site webs qui empêchent les caractères spéciaux, les espaces, les mots de passe de plus de n caractères et j'en passe. Pourquoi empêcher un caractère autre qu'une lettre ou un chiffre dans un mot de passe? C'est une aberration et pourtant si courant...
    1
  • Eladuriel
    Keepass existe en français ...http://keepass.info/translations.html
    0
  • aze555666
    5e conseil à mettre absolument dans la conclusion : utiliser des mots de passe différents au maximum.
    Les affaires de fuite de BDD s'enchainent depuis 2 ans, et le fait que les mots de passe y soient généralement hashés ne les sécurise pas bien longtemps une fois la base dans la nature.


    Personnellement j'ai choisi LastPass, multiplateforme, qui propose un générateur de mots de passe intégré à utiliser en 1 clic pour tout nouveau compte/changement de mot de passe (et on peut choisir les types de caractères, donc se limiter aux [a-zA-Z0-9] si besoin pour les mots de passe qui auront à être tapés sur une console par exemple.
    Il permet en plus d'analyser son "coffre fort" afin de détecter rapidement tous les mots de passe qui sont encore en double, qui sont trop faibles, ...
    Et surtout il propose l'authentification double facteur ==> 1 mot de passe très fort généré le 1er jour à retenir, 1 téléphone avec Google Authenticator, une grosse opération de changements des mots de passes le 1er jour et voilà !


    edit : le nouveau système de commentaire avait supprimé les retours à la ligne (chez tom's les systèmes de commentaire et de login changent souvent mais sont à chaque fois buggés jusqu'au changement suivant ...) : est-ce que ça ira mieux après un edit depuis le forum ?
    0
  • martinp
    KeepassX existe pour Linux, Android...
    0
  • neoraptor
    J'utilise 1password et en suis très satisfait (sur iOS / Android / Windows / Mac).
    0
  • aze555666
    Ce XKCD est un des rares que je n'ai pas appréciés.
    Ici il compare sa méthode "miracle" à une mauvaise méthode (substitutions dans un mot du dictionnaire, rien à voir avec un mot de passe aléatoire même si esthétiquement on a le même style), donnant donc l'avantage à la sienne artificiellement.
    Sans compter la conclusion de chaque ligne, biaisée : cueball a du mal à se rappeler si c'était Tombone ou Troubadour (1 mot courant), mais il n'a aucun problème à se rappeler 4 mots courants avec leur ordre (on nous montre un moyen mnémotechnique mais au dessus il aurait pu en avoir un aussi) !

    Tout ça pour nous conseiller une méthode qui donne un mot de passe pas très sûr (méthode malheureusement reprise en 2012 par le billet de GW2 sur la sécurité, avec lien vers le XKCD) : 8 caractères (le strict minimum), seulement des lettres minuscules, jouables au dictionnaire (on n'a pas réellement toutes les possibilités si on tape dans les 1000 mots max/langue qui serviront à 95% des gens).
    Et en plus on se retrouve avec un mot de passe unique (cf. mon précédent message : avoir des mots de passe différents partout est actuellement encore plus important qu'avoir un mot de passe très fort vs un mot de passe moyen) ... car on imagine mal se choisir 4 mots par site, et retenir les bons groupes dans le bon ordre sans en mélanger.

    Bref, il existe des meilleures méthodes pour faire des mots de passe corrects facilement, dont certaines décrites dans l'article (décalage clavier, phrase transformée,...)

    Mais quoi qu'il en soit, je le répète depuis des années : le top ça reste le mot de passe généré aléatoirement; et contrairement à la croyance populaire ça pose rarement un problème de mémorisation : il faut évidemment le noter la première fois sur un papier dont on est sûr qu'il ne sera pas vu, mais au bout de quelques utilisations en le prononçant dans la tête, on le retient définitivement (et mieux qu'un mot courant commet on le voit dans la dernière case de la 1ere ligne du XKCD). Tous ceux qui ont fait le (petit) effort d'essayer confirment.


    Conclusion : oubliez le XKCD, adoptez un gestionnaire de mots de passe tel que LastPass (ou les autres présentés dans l'article) protégé en double facteur avec un mot de passe très fort (généré Aléatoirement et Long); puis changez tous vos mots de passe sur le web avec ledit gestionnaire (qui vous fournira un tas d'autres mots de passe aléatoires uniques pour chaque site, que vous n'aurez pas à retenir)
    0
  • tranche
    Ce xkcd rappelle juste que pour une attaque de force brute le plus important c'est la taille :D

    Mais je suis tout à fait d'accord : mieux vaut ne pas se fier à une seule méthode.
    Un mot de passe aléatoire (après qlq utilisation on le retient aisément) combiné d'un mot de passe long (comme celui du xkcd + facile à retenir) serait l'idéale.
    Mais comme on ne peut pas faire confiance aux différents sites pour stocker de manière sécurisée nos mots de passe, il faut en plus en avoir plusieurs et là effectivement installer un logiciel qui stocke les mots de passes de manière cryptée (protégés avec le mot de passe fort).

    Pour faire bien les choses jusqu'au bout choisir un logiciel de stockage de mot de passe libre dont le code est revue et dans lequel la NSA aura du mal à mettre une backdoor pour récupérer tous vos mot de passe est encore un + (exit lastpass donc) : OK c'est un peu parano, mais j'ai dis "pour faire les chose jusqu'au bout" ;)
    0
  • matock
    KeePass existe en presque 50 langues, et ce depuis plusieurs années déjà !
    0