“FIC2018”

Mots de passe, « You Shall not Password ! »

0

Notre choix de revenir sur cette règle « basique » de la cybersécurité n’est pas anodin : elle est une des bases des bonnes pratiques sur internet et le début d’une stratégie de sécurité informatique efficace.

En effet, les mots de passe sont omniprésents dans la société d’aujourd’hui. Tentez de vous souvenir de la dernière semaine où vous n’avez pas tapé un seul mot de passe… Cela remonte à quelques temps, n’est-ce-pas ? Et ce n’est malheureusement pas sur le point de changer, car ces mots de passe sont une donnée de choix pour les hackers, comme nous le verrons.

Le monde de la sécurité informatique, lui, est en perpétuel mouvement. Les paradigmes de la gestion des mots de passe sont également réécrits jour après jour, attaques par attaques.

Pour lutter contre celles-ci, il est bon d’appliquer quelques lignes directrices de base pour votre gestion des mots de passe et de leur utilisation dans votre vie quotidienne. Nous tenterons de vous les apporter ici. C’est parti !

  • Mots de passe, petits chouchous des hackers

Le vol de données – dont font partie les mots de passe – fait souvent la une de l’actualité, surtout quand il concerne des acteurs majeurs de l’industrie : comme nous l’avons évoqué la semaine dernière, de grandes entreprises comme Equifax, ou très récemment Uber, ont dû faire face à ce type d’attaques aux multiples impacts pour leur activité. Si la délégation de confiance faite par les utilisateurs sur les sites internet est une chose, et est importante à prendre en compte quant au choix de son mot de passe (utilisation de différents mots de passe en fonction des comptes et sites qui y sont associés), il est aussi important de prendre conscience de la dangerosité et multiplicité de ce type de vols.

Boites mail corrompues via campagnes de phishing, comptes piratés…  Si les hackeurs se donnent autant de mal à essayer d’extorquer ces données, ce n’est pas pour rien, et chaque jour les cas se multiplient : personne n’est à l’abri et si vous pensiez que votre simple compte Facebook ne représentait rien pour les hackeurs, il n’en est rien. L’effet « boule de neige » est réel : aujourd’hui l’accès à votre boite mail donne rapidement accès à la quasi-totalité de vos comptes sur internet, à vos données et donc à de l’argent facile.

En effet, vos données constituent une véritable manne financière, à tel point que la vente de ces « codes secrets » s’avère être une véritable tendance sur le darkweb : les experts estiment à plus de 1,9 milliards le nombre de mots de passe qui y sont mis à l’enchère.

  • Quels mots de passe choisir ? Petit rappel des bases :

Alors quel mot de passe choisir pour éviter d’être victime d’un hack, quelles astuces mettre en place pour faire perdre du temps et patience aux hackeurs ? Rappelons tout d’abord l’ensemble des exigences d’un mot de passe considéré comme « fort » :

  • Celui-ci contiendra au moins 10 caractères (12 recommandés);
  • Il comprendra au moins un élément de chaque groupe de caractères (minuscules, majuscules, numériques, spéciaux);
  • Les suites numériques (123456), alphabétiques (abcdef), suites spatiales du clavier (azerty ou qwerty) ou simples dates (1993) sont, elles, à bannir ;
  • Le mot de passe choisi ne devra avoir aucun rapport psycho-social évident avec le propriétaire (prénom, nom du chien, etc.), l’endroit où il est utilisé (Facebook01, etc.) ou bien l’entreprise dans laquelle il est utilisé. (NSA2k15, AdminCodeNucleaire, etc.);
  • Il ne contiendra aucun mot issu d’un dictionnaire, même sous forme dégradée ;
  • Il est également formellement déconseillé de recourir au même mot de passe sur plusieurs comptes.

Aussi, il est important à prendre en compte quelques freins pouvant apparaitre dans votre choix de mot de passe :

  • Premièrement, il est préférable de ne pas y inclure des symboles issus de claviers précis du globe, du type accents par exemple : si cette stratégie semble maligne au premier abord, vous serez dans l’impossibilité d’y accéder une fois à l’étranger.
  • Aussi, il est à noter que beaucoup de hackeurs utilisent des dictionnaires en ligne et autres documents types itératifs pour tenter de craquer vos mots de passe : nous verrons, plus bas dans ce post, que certaines « stratégies » et astuces peuvent être mises en place pour éviter qu’ils puissent aussi facilement avoir accès à vos données.
  • Votre meilleur ennemi dans ce choix ? Votre mémoire. Il est bien évidemment important de choisir un mot de passe que vous retiendrez, le but n’est pas d’alterner lettres, chiffres et symboles à tout va pour piéger les hackeurs. Lorsqu’une personne créera un mot de passe fort selon les règles énoncées plus haut, elle tentera de le rendre mémorisable. Ainsi, dans les faits, nos mots de passe « forts » ressemblent plutôt à ceci : S4ng0ku-89. Dans une large majorité des cas la majuscule est au début ; le(s) chiffre(s) à la fin, souvent basés sur une date de naissance, un chiffre fétiche ou un code postal ; le caractère spécial juste avant ; il s’agit d’un mot existant, mais dégradé (ici Sangoku).
  • Prémunissez-vous de toute maladresse qui pourrait rendre un mot de passe pourtant bien construit, inefficace. Evitez, par exemple, d’écrire vos mots de passe sur un objet physique à la vue de tous (post-it) ou de choisir des réponses bien trop évidentes aux questions de sécurité qui vous seront posées en cas d’oubli de mot de passe.
  • Enfin, pensez à regrouper vos comptes par « ordre de criticité » et utilisez un mot de passe différent pour chaque groupe de sites ou réseaux que vous utiliserez. Divisez distinctement ces comptes (Travail, Réseaux Sociaux, Banque en ligne et mail…) pour éviter, par exemple, que la divulgation d’un mot de passe ne compromette pas les autres sphères plus sensibles.

Comme évoqué précédemment, il existe une petite astuce qui peut s’avérer très efficace dans l’élaboration de votre futur mot de passe : les passe-phrases. Ceux-ci répondent à un constat qui est que « complexité » ne signifie pas automatiquement « force » et vice-versa. Le principe de base est de prendre plusieurs mots au hasard, puis les juxtaposer.

Pour plus d’efficacité, l’utilisateur doit puiser dans des sources plus variées en y ajoutant : la possibilité de mettre ou non une majuscule aux mots utilisés, en ajoutant les déformations basiques de mot (maisoN, m4ison, etc.), les noms propres (Nintendo, OneDirection etc.), les différents jargons (argot, verlan, etc.) que peu de dictionnaires en ligne contiennent, ou encore des mots étrangers.

L’objectif de la passe-phrase est d’être simplement mémorisable pour ne pas avoir à être notée sur un support physique.

Maintenant que vous détenez les règles de base concernant la mise en place de mots de passe efficaces pour protéger l’ensemble de votre vie sur le web, n’hésitez plus une seule seconde et actualisez-les au plus vite !

Nous nous devons de rester objectifs :  dans les faits, aucun niveau de complexité ne permet de rendre votre mot de passe inviolable. Mais certaines stratégies et bonnes pratiques peuvent vous permettre de vous prémunir d’un grand nombre d’attaques.

Pour vous accompagner dans la mise en place de mots de passes efficace afin de protéger vos données – il existe des gestionnaires de mot de passe conçus expressément dans ce but.  Appelés « trousseaux de clés » ou « coffres-forts », ils retiennent tous vos mots de passe et sécurisent cette liste avec un mot de passe maître. Il ne vous reste donc qu’un seul mot de passe à mémoriser.

Virtuellement, vous avez ainsi un niveau de sécurité quasi-parfait… L’ennui majeur réside là encore dans le fait qu’il faut « faire confiance » à un gestionnaire de mots de passe pour protéger le sésame de toute votre vie numérique…

En espérant que grâce à cet article vous puissiez laisser ce petit message aux hackeurs…

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply