Mots de passe, comment les choisir ?

Selon une étude de 2017, près de 2,6 milliards de comptes en ligne ont été hackés en 2016. Ainsi, le vol de mots de passe est le plus fréquent des actes de cybercriminalité (14 %).

Comment se protéger ?

Les règles élémentaires

• Ne communiquez jamais vos mots de passe
• N’utilisez pas d’informations personnelles (date de naissance, prénom…)
• Ne les enregistrez pas (dans le navigateur) et ne les écrivez pas
• Vérifiez toujours la présence d’un https:// avant de saisir un mot de passe
  

Fuite de données / hameçonnage

Lorsque vous vous inscrivez sur un site, le mot de passe va être stocké dans une base de données. Il sera accompagné la plupart du temps d’une adresse courriel requise pour s’identifier. Ainsi, en cas de fuite (piratage, accès non-autorisé) un tiers pourrait avoir accès à cette paire de données : Votre adresse courriel ET votre mot de passe…lui permettant de se connecter à votre messagerie par exemple.

Pour se prémunir de ce type d’attaque : Ayez un mot de passe différent par site (ou application).

Attaque par dictionnaire

L’attaquant possède des millions de mots de passe dans plusieurs fichiers et un programme les essaye un par un jusqu’à ce qu’il trouve le bon.

Attaque par force brute

Une attaque dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver la bonne. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Une attaque combinée, exploitant un réseau d’ordinateurs peut voir sa vitesse d’attaque décuplée.

Pour se prémunir des attaques par dictionnaire ou force brute : Choisissez une phrase de passe long et complexe ! Parce que un mot de passe court, certes simple à retenir pour un humain, est très facile à deviner pour un ordinateur.

La recommandation actuelle est de privilégier des mots de passe de plus de 12 caractères majuscule & minuscule, d’une douzaines de mots, d’un chiffre, d’un caractère spécial ou de ponctuation.

Un exemple concret

Un mot de passe est sécurisé s’il est long, ne peut-être deviné, est facile à retenir, est unique (par service / site)

Il va s’en dire que ces exemples ne doivent pas être utilisés tels quels. Personnalisez le selon votre propre phrase de passe et vos propres règles.

Proposition n°1

1. Ouvrez un livre et tirez en 5 mots au hasard sur 5 pages différentes (Par exemple : Serveur/Marquage/Juridique/Minitel/Jupiter). Vous retiendrez ces mots.
2. Associez les : ServeurMarquageJuridiqueMinitelJupiter
3. Ajoutez un chiffre au hasard (pas votre âge, ni l’année) et un caractère spécial (cela sera la plupart du temps demandé)
4. Cela donne : ServeurMarquageJuridiqueMinitelJupiter18_
5. Personnalisation pour chaque site (IMPORTANT) : Ajouter un mot qui vous fait penser au service utilisé. Par exemple pour Facebook : Zuckerberg (le nom de son fondateur)
6. Voici le mot de passe que vous utiliseriez sur la plateforme Facebook : ZuckerbergServeurMarquageJuridiqueMinitelJupiter18_

Proposition n°2

1. Trouvez une phrase de structure d’au moins 12 mots. Par exemple : « La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information » (A. Einstein)
2. Définissez une règle qui permettra de la personnaliser selon chaque site/service (par exemple, votre PERSOnalisation est PERSOnelle)
   1. Prenez les 1ères lettres de chaque mot, gardez la ponctuation
   2. Remplacez le a par @ et e par € pour ajouter des caractères spéciaux
   3. Intercalez en 2ème position la 1ère lettre du service (en majuscule)
   4. Ajoutez à la fin le nombre de lettre du service

• Facebook (8 lettres) : LFcs@pl€,tlrnsqdli8
• Twitter (7 lettres) : LTcs@pl€,tlrnsqdli7

Ne cherchez pas à retenir le mot de passe en lui même (il est très compliqué) ! Retenez la phrase de structure et les règles de personnalisation. Vous obtiendrez ainsi un mot de passe robuste, différent pour chaque site et relativement facile à retenir.

Pour aller plus loin

• Faites du tri ! Supprimez tous les comptes que vous n’utilisez pas
• Changez régulièrement vos mots de passe sur les comptes les plus importants
• Restez à l’écoute de l’actualité numérique
• Enregistrez votre adresse/domaine sur Have I Been Pwned?
• Activez la double authentification par « Application » dès que cela est possible (La double authentification par SMS présente des risques de sécurité)
• Suivez les recommandations de la CNIL (2017) : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
• Protégez votre smartphone en cas de perte ou vol
• L’humain est très mauvais pour générer des mot de passe aléatoire. Pour plus de sécurité, nous recommandons d’utiliser la technique Diceware (avec des vrais dés) pour votre phrase de structure ! https://fr.wikipedia.org/wiki/Diceware

Gestionnaire de mots de passe

Votre mémoire est le meilleur endroit pour conserver vos mots de passe. Cependant, si vous tenez à utiliser un gestionnaire de mots de passe, il existe sur le web des tas d’applications. Des payantes, des gratuites, des propriétaires et des libres !

Nous ne vous en recommandons qu’une seule : Keepass ! (c’est gratuit)

Assurez-vous de protéger son contenu avec une phrase de passe longue et complexe. L’autre avantage de ce type de logiciel c’est de garder une trace de tous les comptes dont vous disposez, ainsi il est possible de faire un petit ménage de temps en temps.

Tutoriel vidéo : https://www.youtube.com/watch?v=XTnDKJl1zOQ

Testeur de mot de passe

Il existe de nombreux testeurs de mot de passe. Certains d’entre eux n’existent que pour récupérer des mots de passe et se constituer une base de données pour réaliser des attaques par dictionnaire (voir plus haut pour l’explication). Par sécurité, n’utilisez jamais votre vrai mot de passe dans l’un d’entre eux, même si le site est de confiance.

Des questions ? D’accord ou pas d’accord ? Dites-le moi !

Dernière mise à jour : Juin 2019