Mot de passe : le GUIDE ULTIME

9 minutes
vie-privee confidentialité mot de passe

Aujourd'hui les mots de passe sont présent partout.
Souvent nous en avons plusieurs, que nous utilisons à tour de bras.
Mais ces mots de passe vont-ils bien protéger l'accès à nos ressources ?
Quelles sont les règles pour un bon mot de passe ?

Les banques, les services publics, les emails, les réseaux sociaux, et bien d'autres services utilisent le mot de passe pour authentifier l'utilisateur.
Tout le monde utilise donc un mot de passe créé pour l'occasion, ou un mot de passe déjà utilisé sur d'autre service.
Est-ce que tout le monde connais les règles de base d'un mot de passe sécurisé ?
Une étude mené par Keeper (ici) nous montre qu'on en est bien loin.
Tout d'abord, comment peut-on te voler ton mot de passe ?

Pour savoir comment protéger ton mot de passe, rien de tel que de connaître comment le voler !
Ces techniques ne sont pas compliquées, et permettent de mieux comprendre les règles de bases.
Voici de manière assez simplifié les différentes techniques de vol de mot de passe :

  • shoulder surfing : un nom compliqué pour juste dire que la personne regarde ce que tu tapes ( comme un commerçant qui mémorise tes codes de carte bleue)
  • keylogger : il s'agit d'un petit logiciel qui enregistre tout ce que tu tapes. Ils sont inclus dans beaucoup de logiciels malveillants (malwares)
  • sniffing : la capture réseau est une méthode qui consiste à regarder tout ce qui passe par une borne wifi (comme au McDo) ou sur le réseau de ton entreprise. C'est très efficace !
  • papier volant : cette semaine j'ai reçu ma nouvelle carte bleue, et j'ai eu comme conseil de ne pas écrire le code à 4 chiffres sur un papier. C'est l'idée : ne pas écrire son mot de passe (même dans son téléphone, hein)
  • vol de donnée : là vous ne pouvez rien y faire. Le service sur lequel tu as un compte s'est fait piraté par une injection SQL le plus souvent. Tous les comptes ont été récupérés par le pirate. Il faut changer votre mot de passe au plus vite.
  • pishing : il s'agit d'une arnaque très courante consistant à te tromper avec une fausse page de ta banque par exemple
  • attaque directe : on teste toutes les combinaisons possible de mot de passe pour trouver le bon. Si ton mot de passe contient des mots de la langue française et ou anglaise, c'est rapide à trouver. Aujourd'hui de nombreux sites bloquent les requêtes, s'il y en a plus d'un certain nombre par secondes (3/secondes par exemple) mais ce n'est pas encore le cas de tous (notamment avec WordPress comme je le dis dans mon infographie et cet article sur la sécurité de WordPress)
  • devination : vous voulez en savoir plus ? c'est ici. Il s'agit de deviner le mot de passe d'une personne en épluchant ses informations (date de naissance, prénom d'enfant, etc...). Avec les réseaux sociaux, ça devient courant
  • social engineering : ou ingénierie sociale en français consiste à pousser un individu à nous fournir ses informations secrètes (comme son code de carte bleue). L'attaquant peut passer par les emails et/ou le téléphone pour obtenir les précieuses informations. Ça paraît rien, mais même des entreprises et des patrons se font avoir.
  • man in the middle : ou l'attaque de l'homme du milieu. C'est réussir à s'insinuer entre un utilisateur et un service pour gérer l'échange et ainsi savoir ce qui transite entre ces deux acteurs. C'est plus puissant que du sniffing.
    Cette liste n'est pas exhaustive, mais rend compte des différentes problématiques lié au mot de passe.
    Dans un monde idéal, il faudrait que le service (par exemple la banque) soit bien protégé, que votre poste de travail soit sain (sans virus, vers et autre malwares), que les échanges entre les deux ne soient pas interceptable, que l'utilisateur soit formé et que son mot de passe soit solide.

Ce n'est pas facile, mais le but de ce blog est d'aider à aller vers ce monde idéal !

Tu l'auras compris, un mot de passe solide :

  • est unique pour chaque service
  • n'a aucun lien avec toi (date de naissance, prénom, etc...)
  • est généré par toi
  • est changé régulièrement (entre 3 et 6 mois)
  • n'est pas stocké et n'est pas écrit sur un papier (l'idéal c'est qu'il reste dans ta tête)
  • n'est sauvegardé dans aucun logiciel
  • fait au moins 12 caractères de types différents (minuscules, majuscules, chiffres et caractères spéciaux)
    Oui je sais, ça fait beaucoup de mot de passe robuste à retenir, surtout s'il faut les changer régulièrement.
    C'est pour ça qu'il existe des services permettant de sauvegarder tous les mots de passe, et pour y accéder, vous n'en avez besoin que d'un.
    Cela contredit une des règles d'un bon mot de passe, mais permet de suivre les autres plus facilement.
    Ces services s'appellent des gestionnaires de mot de passe.

Les gestionnaires de mot de passe permettent de ne plus avoir besoin de mémoriser les mots de passe, de changer les mots de passe, et de ne plus avoir de mot de passe oublié.
Pour moi il y a 3 principaux gestionnaire de mot de passe : KeePass, Dashlane et LastPass.
Je vais vous les décrire brièvement.

KeePass est un vétéran de cette guerre aux gestionnaires de mot de passe.
Il s'agit d'un logiciel open source et gratuit, qui a été certifié par l'ANSSI.
Il dispose de nombreux plugins, et traductions qui n'ont pas été certifiés.
Avec cet outil il est possible de gérer plusieurs bases de donnée, chiffrées suivant un algorithme puissant (AES).
Il est possible de copier une information au double clic dans le presse papier pour quelques secondes seulement, verrouiller le logiciel, générer un mot de passe, etc...
Cet outil est très utilisé en entreprise.

Gestionnaire de mot de passe Keepass

Inconvénients :

  • Plugins non certifiés
  • Isolé par défaut (pas de plugins sur Firefox, chrome, etc...)
  • Pas de synchronisation sans plugins
  • L'interface est la moins sexy des trois

Avantages

  • Gratuit, Libre et Open Source
  • Simple d'utilisation
  • Traduction française disponible
  • Disponible sur toutes les plateformes (Windows, MacOS, Linux, iPhone, Android, etc...). Les portages ne sont pas officiels par contre
  • Isolé, pas besoin de synchronisation, c'est un gage de sécurité supplémentaire
  • Une belle bibliothèque de plugin existe
  • Dispose d'une version portable (sans installation) qui permet par exemple de mettre le tout sur une clé USB pour l'avoir toujours avec soit
  • Dispose d'une certification officielle délivrée par l'ANSSI

LastPass est un gestionnaire de mot de passe tout en ligne (sans logiciel).
Même s'il dispose d'une version payante (24€/an), la version gratuite est largement suffisante.

Gestionnaire de mot de passe lastpass

Inconvénients

  • La traduction française n'est pas complète
  • Logiciel propriétaire

Avantages

  • Facile à installer
  • Disponible pour les navigateurs les plus courants : Firefox, Chrome, Internet Explorer, Opera et même Maxthon (que je ne connaissais pas)
  • Multi-plateforme : Windows, MacOs, Linux
  • Accès au compte hors ligne
  • Remplissage automatique des formulaires
  • Génération de mots de passe facile et rapide
  • Authentification double facteur gratuite
  • Importe facilement les mots de passe du navigateur
  • Partage des notes avec d'autres utilisateurs (sympa en entreprise)
  • Donne des conseils pour augmenter la sécurité dans le « Challenge de sécurité »

Challenge de sécurité LastPass

La version payante débloque :

  • Partage des mots de passe avec la famille (jusqu'à 5 personnes)
  • 1Go de stockage de fichiers sécurisé
  • Support client prioritaire
  • Ajout de deux méthode d'authentification à double facteur (YubiKey et Sesame)
  • Accès à l'application de bureau

Dashlane est un peu entre les deux précédents : il dispose d'un logiciel mais avec une synchronisation (pour la version payante).
Dashlane est Français et gratuit.
Il dispose l'abonnement premium est à 40€/an permettant notamment la synchronisation, l'authentification double facteur, sauvegarde des données dans le cloud, VPN et accès en ligne.
Il est possible de stocker diverses informations comme les cartes bancaire, cartes d'identité, etc.

Gestionnaire de mot de passe dashlane

Inconvénients

  • Logiciel propriétaire
  • Client lourd pour ce qu'il fait
  • Synchronisation et authentification double facteur disponible uniquement avec un compte premium
  • Compte premium même pour les particuliers (même si 40€/an c'est pas la mer à boire)

Avantages

  • Made in France (ça devient un argument marketing)
  • Multi-plateforme : macOs, Mac OS X, Windows, iOS, Android (mais pas Linux, même si en bidouillant avec wine ça a l'air possible à installer)
  • Extensions pour les navigateurs : Firefox, Chrome, Internet Explorer, Edge et Safari
  • Interface simple
  • Fonctionne en ligne et hors ligne
  • Génération de mots de passe sécurisé
  • Importe facilement les mots de passe du navigateur
  • Partage des notes avec d'autres utilisateurs (sympa en entreprise encore)
  • Donne des conseils pour augmenter la sécurité des mots de passe
  • Veille et alerte sur les services que l'on utilise qui ont été piratés

La version payante débloque tout ça :

Tarifs dashlane

Bref, ces 3 gestionnaires de mot de passe sont 3 manières différentes de gérer ses mots de passe.
Si tu en choisis un en ligne (comme LastPass ou Dashlane) je te conseille d'activer l'authentification double facteur et de choisir un mot de passe maître solide entre 12 et 16 caractères.

Il y a 3 méthodes principales :

  • la méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
  • la méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A
  • le méli-mélo : un mélange sans structure comme 1dEp$d!PnfW4hK.M
    Cette dernière méthode est de loin la meilleure, car il n'y a aucun schéma. Pour générer ce type de mot de passe, vous pouvez utiliser le générateur de mot de passe sécurisé et aléatoire du site.
    Concernant la méthode des premières lettre, la CNIL a développé un outil en ligne pour vous aider à les générer.
    Une autre technique que j'ai vu plusieurs fois consiste à avoir un mot de passe commun et d'ajouter un suffixe en fonction du service (ex: -fB, -gM4!l, etc...).
    Je la déconseille car il y a une partie commune, ce qui affaiblit grandement le mot de passe, sans compter que le suffixe peut être deviné s'il est trop simple.
    Concernant la méthode des premières lettre, la CNIL a développé un outil en ligne pour vous aider à les générer.
    Une autre technique que j'ai vu plusieurs fois consiste à avoir un mot de passe commun et d'ajouter un suffixe en fonction du service (ex: -fB, -gM4!l, etc...).
    Je la déconseille car il y a une partie commune, ce qui affaiblit grandement le mot de passe, sans compter que le suffixe peut être deviné s'il est trop simple.

« Il ne faut pas mettre tous les œufs dans le même panier »
Un proverbe que j'aime beaucoup !

Pour ma part, j'utilise KeePass dans un espace chiffré (VeraCrypt), mais aussi LastPass pour les services non critiques et enfin j'en mémorise 5-6.
Et toi, comment gères-tu tes mots de passe ?

https://fr.wikipedia.org/wiki/Mot_de_passe
https://fr.wikipedia.org/wiki/Politique_des_mots_de_passe
https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/
http://www.ssi.gouv.fr/guide/mot-de-passe/
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
http://keepass.info/
https://www.lastpass.com/fr
https://www.dashlane.com/fr/premium
https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe

http://www.cyber-securite.fr/2014/06/15/et-si-on-disait-stop-a-lhypocrisie-autour-des-mots-de-passe/

Blog Comments powered by Disqus.

Article précédent Article suivant