Gérer ses mots de passe - Résumé d'atelier
Login by Alice Design from the Noun Project, sous license CC-BY 3.0. L'icône a été recadrée.
Pourquoi les mots de passe ? Aujourd’hui, énormément d’usages passent par l’informatique personnelle : finances personnelles, achats en ligne, démarches administratives, e-mail et autres messageries, etc.
Un mot de passe est un élément de sécurité crucial, l’équivalent d’une clé qui permet de vous identifier et d'éviter qu’une autre personne ait accès à vos informations ou fasse des actions en votre nom.
Mais les mots de passe ont tendance à devenir une formalité irritante. Chaque service et site web demande son mot de passe, avec des demandes à chaque fois différentes - il devient alors difficile de tous les garder en mémoire et d’être rigoureux.
Il est pourtant relativement facile de créer un mot de passe fort et mémorable à l’aide de quelques astuces, ainsi que d’utiliser des logiciels permettant de stocker ses mots de passe de manière sécurisée.
Créer un mot de passe sécurisé
Un bon exemple de mots de passe à éviter :
Nordpass, « Top 200 des mots de passe les + utilisés », https://nordpass.com/fr/most-common-passwords-list/
Un bon mot de passe, ou mot de passe sécurisé, est :
• Long (plus de 8 caractères),
• Impossible à deviner (n’a pas de lien avec votre vie personnelle),
• Unique (mélange lettres, chiffres et caractères spéciaux),
• Mémorable (pour ne pas dépendre d’un pense-bête, ou être tenté d’aller au plus simple après l'avoir changé des dizaines de fois).
Choisir la base de son mot de passe
Deux méthodes sont possibles afin de créer un mot de passe sécurisé et mémorable.
Les mots au hasard
Construisez une phrase simple (sujet - verbe - complément) à l'aide de trois mots choisis au hasard dans un dictionnaire, puis supprimez les espaces.
Exemple : mouette ondule automatiquement devient mouetteonduleautomatiquement
La phrase de passe
Choisissez un proverbe, une citation ou des paroles de chanson mémorable, et ne gardez que la première lettre de chaque mot.
Exemple : « Tout le monde médit de moi, sauf les muets, ça va de soi. » (Georges Brassens) devient tlmmdmslmcvds.
Renforcer le mot de passe
Une fois la base du mot de passe choisie, il faut augmenter son entropie, sa complexité potentielle, et ainsi le rendre encore plus difficile à deviner ou à découvrir par énumération.
Remplacer des lettres
Remplacez certaines lettres par des symboles ressemblants : A = @, O = 0, E = €, S = $, I = 1, T = 7…
Exemple : m0uetteondule@utomatiqu3m3nt, 7lmmdm$lacvd$
Ajouter des caractères spéciaux
Ajoutez des caractères spéciaux, si possible au milieu du mot de passe (entre la proposition principale et subordonnée, en rétablissant la ponctuation...)
Exemple : !mouetteOndule;automatiquement, =tlmmdm;slacvds!.
Encore une fois, un bon mot de passe est un mot de passe mémorable, et le mieux est l'ennemi du bien : ne rendez pas votre mot de passe trop complexe.
Différencier le mot de passe
Il est fortement recommandé d’utiliser un mot de passe différent pour chaque site web ou service. Autrement, il suffit d’une attaque informatique sur un site ou service mal sécurisé pour qu’un acteur mal intentionné compromette votre mot de passe et puisse accéder à vos informations personnelles.
Un moyen de différencier ses mots de passe à peu de frais est d’ajouter un mot en rapport indirect avec le site ou service au le mot de passe : « voyage » ou « « locomotive » pour le site de la SNCF, « finances » ou « monnaie » pour votre banque, « messages » ou « lettres » pour votre boîte mail…
Il est également possible d’utiliser plusieurs souches de mot de passe selon les sites et services concernés : un mot de passe pour les usages personnels, pour les usagers professionnels, et les usages « jetables » (forums, boutiques…).
Vérifier la sécurité de son mot de passe
L’ANSSI (Agence nationale de sécurité des systèmes d’informations) propose un outil permettant de calculer la force de son mot de passe, en fonction de sa longueur et de ses éléments. L'ANSSI considère un mot de passe comme « fort » à partir d'une taille de clé équivalente de 100 bits.
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
Un mot de passe, aussi fort soit-il, peut avoir été compromis lors d’une fuite de donnée précédente, être dans les dictionnaires de malfaiteurs informatiques, et donc assurer une protection amoindrie. Le site haveibeenpwnd (en anglais) recense les fuites de bases de données, et dispose d’un outil anonymisé et sécurisé de vérification de mots de passe.
Gérer ses mots de passe
Une bonne politique personnelle des mots de passe ne résout pas tous les problèmes : les sites et services sont toujours plus nombreux, et tous n’ont pas les mêmes demandes en matière de mots de passe. Certains ont une longueur maximale, n’acceptent pas certains caractères spéciaux, demandent une majuscule… Certains services utilisent des codes PIN de 4 ou 6 chiffres ou ou ne vous laissent pas choisir votre identifiant (carte vitale et assurance maladie).
Dès lors, comment consolider et conserver ses mots de passe ? Dans un carnet ? Mais si il est perdu, volé, ou rempli ? Dans un fichier de tableur ? Mais si l’ordinateur est victime d’une attaque informatique ou cambriolé ? Ecrire et centraliser ses mots de passe présente des risques de perte ou de vol plus importants et plus conséquents. Il existe néanmoins des solutions dédiées qui permettent de contrôler ces risques.
Contributeurs multiples, Assistance de Firefox, « Utiliser un mot de passe principal pour protéger les identifiants et mots de passe enregistrés », https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants
Keepass
Mozilla Firefox
Votre navigateur web (Microsoft Edge, Google Chrome, Opera) comporte très certainement un gestionnaire de mots de passe : celui-ci peut retenir vos informations de connexion à des sites webs et les proposer lors d’une future visite. Néanmoins, les informations enregistrées ne sont pas particulièrement protégées, et sont accessibles par toute personne ayant accès à votre ordinateur.
Mozilla Firefox est un navigateur libre, gratuit et open-source. Il est également le seul navigateur à proposer de protéger tous vos identifiants et mots de passe enregistrés à l'aide d'un mot de passe principal. Ce mot de passe sera demandé à chaque tentative d'accès. Attention, la perte du mot de passe principal signifie la perte de toutes les informations enregistrées.
Un guide complet d'installation et d'utilisation de Keepass. Attention, téléchargez Keepass directement sur le site keepass.info :
PC Astuces, « Mettre ses mots de passe en lieu sûr », https://www.pcastuces.com/pratique/windows/stocker_mots_passe/page2.htm
Keepass
Keepass est un logiciel dédié à la gestion sécurisée de mots de passe. Il s’agit d’un logiciel libre et open-source, entièrement gratuit. Il permet une meilleure organisation, une sécurité renforcée, et de gérer plusieurs coffres-fort de mots de passe à la fois. Ce logiciel est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Keepass permet également d’imprimer l’intégralité de la base de données, ou une feuille de secours contenant son emplacement et sur laquelle vous pouvez noter la clé principale. Le logiciel conserve également un historique des mots de passe, utile en cas de modification erronée.
Keepass est à télécharger sur le site keepass.info. Le site et le logiciel sont en anglais, mais une traduction française est disponible (voir guide d'installation àdroite).
Un logiciel libre est un logiciel que chacun peut exécuter, modifier et redistribuer. Il existe ainsi des « ports » de Keepass pour smartphones, tablettes, Linux, iOS, macOS... Il est possible de copier/coller une base de données d’un PC à un smartphone ou tablette et d’en profiter à tout moment.
Services payants
Il existe des logiciels gestionnaires de mots de passe payants, sur abonnement : 1password, Bitwarden, Lastpass, Nordpass… Certains logiciels antivirus, tels que Kaspersky ou BitDefender, incluent également ces services dans leurs abonnements. Ceux-ci ne sont pas plus sécurisés que Keepass, voire présentent de nouveaux problèmes de sécurité, tels que la dépendance à un abonnement et la gestion de vos informations par un tiers.
L’intérêt de ces services va être la facilité de vie : stockage en ligne et synchronisation automatique sur tous les appareils, alerte en cas de fuite d’un site web…
Le futur des mots de passe
Will Oremus, traduit par Jean-Clément Nau, Slate, « Le mot de passe est un mauvais système de sécurité. Mais il n'y en a pas de meilleur », https://www.slate.fr/story/90937/mots-de-passe-faut-il-en-finir
Avec la démocratisation et l’importance accrue des outils numériques au quotidien, des pratiques conçues pour et par des professionnels sensibilisés à la sécurité de l’information ne conviennent plus à un public général qui désire un minimum de friction, et va donc utiliser le même mot de passe simple sur tous les sites et services. Des alternatives au mot de passe traditionnel se développent.
L'identification à deux facteurs
Trois facteurs peuvent servir à s’identifier auprès d’un site ou d’un service :
• Ce que l’on sait (mot de passe),
• Ce que l’on possède (smartphone, adresse mail…),
• Ce que l’on est (empreinte digitale, reconnaissance faciale…).
L’authentification deux facteurs va permettre de suppléer le mot de passe en demandant de valider l’identification ou la transaction depuis un smartphone ou une boîte mail, ce qui augmente considérablement la difficulté pour une personne mal intentionnée d’accéder à vos informations personnelles.
Nicolas Six, lemonde.fr, « Fini les mots de passe ? Les « passkeys » expliqués en trois questions », https://www.lemonde.fr/pixels/article/2022/09/12/fini-les-mots-de-passe-les-passkeys-expliques-en-trois-questions_6141237_4408996.html
Les passkeys
Les passkeys, que l’on peut traduire par « clés d’accès », sont une technologie émergente où le smartphone est l’élément clé de l’identification. Contrairement à l’authentification deux facteurs, il n’est là plus question de mot de passe : le smartphone gère le processus de bout en bout.
Pour faire simple, lors de la mise en place du passkey, le smartphone reçoit une clé, qui est stockée dans sa mémoire sécurisée. Il devient alors le seul appareil à pouvoir répondre à une question de sécurité lors de l’authentification. Il ne reste alors à l’usager d’à saisir un code PIN ou présenter son empreinte digitale.
Si cette technologie semble simple d’utilisation, elle présente le défaut de concentrer toutes les questions de sécurité sur l’objet smartphone – il semble actuellement laborieux de transférer ses clés d’un appareil à l’autre, et il n’est pas possible de noter ses clés sur un coin de table. L’usager se trouvera également démuni en cas de perte, de vol ou de dysfonctionnement de l’appareil.
Conclusion
Le mot de passe reste un système lourd et contraignant. Néanmoins, il s'agit du système le plus simple et le plus sécurisé inventé jusqu'à présent. Avec quelques astuces et un peu de méthode, il est possible de gérer sa sécurité informatique sans trop de maux.
Pour aller plus loin
• cybermalveillance.gouv.fr, "Pourquoi et comment bien gérer ses mots de passe ?", https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe
• Agence nationale de sécurité des systèmes d'information, Recommendations relatives à l'authentification multifacteur et aux mots de passe, https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf
• Une sélection de documents "Vie privée et sécurité en ligne" disponibles à la Médiathèque