Le système des mots de passe est un talon d’Achille des connexions Internet. Faute de suivre des règles précises, un mot de passe peut être « craqué » par un pirate et celui-ci pourrait alors accéder à vos informations. Il existe heureusement des règles précises à suivre et aussi des solutions de sécurité relativement simples à mettre en œuvre afin de disposer, pour chaque site où vous êtes inscrit, de sésames robustes et fiables.
au sommaire
Lorsqu'on aborde un sujet tel que les mots de passe, la surprise est souvent énorme.
- Le mot de passe le plus utilisé au monde est : 123456 ! Le n° 2 n'est guère mieux : 123456789. Autant le dire, avec de tels sésames, pour un pirate, la tâche est ultra facilitée.
- Nombreux sont les internautes qui se servent d'un seul et même mot de passe pour tous les sites consultés.
- Un grand nombre de mots de passe sont extrêmement faciles à trouver pour qui connaît un peu l'utilisateur ou veut bien prendre la peine de s'y intéresser, via ses réseaux sociaux par exemple.
De façon générale, la protection par mot de passe est nettement insuffisante et les grands acteurs de la technologie ont commencé à mettre en place des systèmes de protection plus robustes. Nous verrons ici deux solutions majeures de sécurisation de vos données.
Où sont stockés les mots de passe ?
Les hackers utilisent maintes méthodes pour tenter de pirater les mots de passe. L'une d'elles consiste à dérober ces sésames sur les bases de données des sites auquel nous pouvons être inscrits. Nos mots de passe y sont stockés, généralement sous forme chiffrée, et donc a priori extrêmement difficile à décoder. Toutefois, il est arrivé qu'un hacker supérieurement doué parvienne à trouver la faille.
Des sociétés de grande envergure comme Sony, Dropbox, Adobe, Snapchat ou Orange ont vu leurs bases de données de mots de passe dérobées et déchiffrées à un moment donné. Lorsqu'un pirate récupère de telles listes, il les met habituellement en vente sur certains sites spécialisés du Dark Web. Pour les gens impactés, les conséquences sont parfois très ennuyeuses comme lorsque des photos intimes sont volées et diffusées publiquement ou lorsqu'il devenu possible de vider un compte bancaire.
Est-ce à dire qu'il serait impossible de protéger ses comptes sur Internet ? Pas du tout. Ce qui est sûr, c'est que le système des mots de passe classique a vécu. Il présente trop de limitations sur le long terme pour pouvoir offrir une sécurité absolue. Toutefois, il existe maintes solutions fiables. Nous l'avons dit, les sociétés comme GoogleGoogle, AppleApple ou MicrosoftMicrosoft mais aussi les grands établissements financiers ont pleinement pris conscience de la nécessité de sécuriser les données sur Internet et de nos jours, de nombreuses solutions ont été mises en place, notamment l’authentification à deux facteurs qu'il est impératif d'activer. Et si vous avez un iPhone, vous savez qu'Apple a opté, depuis quelques années déjà, pour la biométrie (la reconnaissance d'attributs physiquesphysiques) comme sésame de votre appareil. Tout d'abord les empreintes digitales, puis l'identification du visage.
À défaut de pouvoir pirater la base de données d'une entreprise, les pirates se servent de maintes techniques pour tenter de deviner quel est votre sésame, et assez souvent, c'est l'utilisateur lui-même qui leur facilite la tâche en utilisant un mot de passe faiblement sécurisé.
Mot de passe sécurisé : ce qu’il faut éviter
Quelles sont les règles pour définir un mot de passe le plus sûr possible ?
- Il ne faut jamais utiliser d'éléments de son identité dans le mot de passe. Un choix classique pour certains est d'intégrer sa date de naissance ou celle d'un enfant dans le mot de passe. Un exemple de mot de passe relativement facile à craquer serait d'utiliser la ville et la date de naissance comme « toulouse040178 ».
- Il ne faut pas davantage intégrer dans le mot de passe des noms ou surnoms de personnes proches. Un exemple : le chat s'appelle Samba et vous postez régulièrement sur Instagram des photos de cet animal, en indiquant son nom. Voilà un élément que les programmes dédiés au « craquage » de mots de passe peuvent tout à fait intégrer dans leur analyse.
- Il est préférable de ne pas utiliser des mots du dictionnaire. Certains programmes qui tentent de trouver votre sésame intègrent l'usage de ces mots dans leur analyse.
- Il va de soi que les suites de chiffres ou de lettres logiques telles que le champion du lot « 123456 » sont à bannir. Mais « 3456789 » ou « abcdefghijkl » ne sont pas bien mieux.
Les règles d’un mot de passe sécurisé
L'idéal pour un sésame de qualité est de combiner :
- des chiffres ;
- une ou plusieurs lettres minuscules ;
- ou une plusieurs lettres majuscules ;
- des caractères spéciaux.
Quelques exemples : « 3,f59wBA}t$X », « {^68sFuX8Bdh)5 », « iWv8.3xD)nJ_53 ». L'ensemble doit former quelque chose de complètement inintelligible, sans aucune logique. Ainsi : « Paris-75 » ou « Lyon/69000 » bien qu'ils respectent les règles ci-dessus, seraient des mots de passe peu sûrs. Plus le mot de passe est long et mieux c'est. Il est généralement possible de s'étendre sur 12 caractères ou plus. Autant les utiliser tous.
Les sites qui génèrent des mots de passe
Si vous manquez d'inspiration, de nombreux services se chargent de générer des mots de passe sécurisés, c'est-à-dire constitués d'une telle combinaison complexe de lettres minuscules, majuscules et caractères spéciaux, et dénuée de toute logique.
Voici quelques adresses de générateursgénérateurs de mots de passe :
- Mot de passe.xyz : https://www.motdepasse.xyz/
- Générateur de mots de passe de Dashlane : https://www.dashlane.com/fr/features/password-generator
- Générateur de mots de passe : http://www.generateur-motdepasse.com/
Le site motdepasse.xyz est en mesure de générer un mot de passe conforme aux règles de sécurité attendues. © motdepasse.xyz
Sur un navigateurnavigateur tel que Firefox, dès lors qu'un site vous demande de vous inscrire et donc d'indiquer un mot de passe, vous voyez apparaître la mention Utiliser un mot de passe généré de manière sécurisé (ou bien si vous faites un clic droit, l'option Suggérer un mot de passe fortmot de passe fort). Firefox propose alors un sésame conforme aux règles énoncées plus haut et il suffit de le sélectionner.
Lorsque vous vous inscrivez à un site, Firefox génère de lui-même un mot de passe ultra sécurisé qu’il suffit alors de sélectionner. © Firefox
De même sur Google Chrome, si vous disposez d'un compte Google et si vous avez demandé à Chrome d'enregistrer vos mots de passe -- voir plus bas -- dès lors qu'il s'agit de proposer un mot de passe, vous pouvez opérer un clic droit et sélectionner l'option Suggérer un mot de passe. Là encore, les sésames proposés par Chrome sont sécurisés.
Si vous disposez d’un compte Google et que vous avez autorisé Chrome à enregistrer vos mots de passe, vous pouvez utiliser l’option Suggérer un mot de passe. © Chrome
Une alternative à l'usage de mots de passe stockés par le navigateur Web est d'utiliser un gestionnaire de mot de passe tel que 1Password, Dashlane, KeePass et LastPass. Avec un tel outil, vos mots de passe sont générés - automatiquement si le souhaitez et sous forme sécurisée - et sauvegardés au sein d'une base de données externe protégée. À chaque visite d'un site donné, le gestionnaire de mot de passe fournit le sésame demandé.
Il faut un mot de passe différent pour chaque site
Disposer d'un mot de passe ultra sécurisé est optimal ; mais utiliser le même pour accéder à plusieurs sites différents n'est pas sans risque. Si d'aventure, un pirate parvenait à trouver votre mot de passe sur un seul de ces sites, il serait en mesure de compromettre plusieurs sites auxquels vous avez couramment accès.
Il est donc essentiel de créer un mot de passe différent pour chaque site visité. Vous allez toutefois poser la question : mais comment se souvenir de dizaines et dizaines de mots de passe différents ?
Eh bien, en premier lieu, si vous utilisez un gestionnaire de mots de passe tel que Dashlane, vous n'aurez jamais à vous soucier de mémoriser les sésames des divers sites consultés. Un tel gestionnaire de mots de passe va fonctionner sur tous les appareils que vous pouvez utiliser : MacMac, PCPC, tablette, smartphone... Donc, à partir du moment où vous êtes identifié auprès d'un système tel que Dashlane, vous n'avez plus à vous préoccuper de quoi que ce soit : vous pouvez accéder aux sites sur lesquels vous êtes inscrits en bénéficiant de sésames ultra-sécurisés que vous n'avez aucunement besoin de retenir.
L'autre solution consiste à exploiter une fonctionnalité des navigateurs : l'enregistrement des mots de passe. Depuis 2019, les principaux navigateurs proposent d'enregistrer vos mots de passe une fois que vous les avez créés. Lorsque vous accédez à un site donné, le mot de passe est automatiquement fourni par le navigateur.
La sécurité apportée par le couple Chrome-Google Authenticator
Google dispose d'une solution de haute sécurité avec le couple Chrome et Google Authenticator. Si vous disposez d'un compte Google, vous pouvez d'abord vérifier que Chrome enregistre bel et bien tous vos mots de passe :
- Sélectionnez Paramètres puis Saisie automatique ;
- Cliquez sur Mots de passe ;
- Vérifier que l'option Proposer d'enregistrer les mots de passe est active. Et qu'il en est de même pour l'option Connexion automatique - l'accès aux sites se fait alors automatiquement.
Là n'est pas tout. Toujours sur Chrome si vous avez activé la synchronisation, vous pouvez disposer d'un accès à tous vos mots de passe quel que soit l'appareil utilisé. Pour être certain que vos mots de passe sont synchronisés sous Chrome :
- Sélectionnez Paramètres dans le menu de Chrome ;
- Dans la section Google et vous, choisissez Services Google / Synchronisation ;
- Dans la partie Synchronisation, sélectionnez Gérer les contenus que vous synchronisez ;
- Vérifiez que l'option Mots de passe est active. Si tel est le cas, vos mots de passe seront accessibles depuis n'importe quel appareil du moment que vous utilisez votre compte Google.
À partir de là, vous pouvez vous connecter à tous les sites sur lesquels vous vous êtes inscrits depuis n'importe quel ordinateurordinateur, n'importe quelle tablette, n'importe quel smartphone.
Toutefois, comment être sûr que la sécurité est maximale ? Il est essentiel d'installer sur son smartphone l’application Google Authenticator. À partir de là, lorsque vous vous connectez avec Chrome depuis un nouvel appareil, une demande de confirmation est envoyée sur le téléphone mobile.
Nous avons donc avec le couple Chrome et Google Authenticator une solution souple, de haute sécurité et donc fortement recommandée. Des solutions similaires existent avec le navigateur Edge de Microsoft ou encore Firefox.
Consulter la liste des mots de passe enregistrés
Notons qu'il est aisé depuis Chrome ou Firefox de consulter la liste des mots de passe enregistrés.
Sous Chrome :
- Sélectionnez Paramètres puis Saisie automatique ;
- Cliquez sur Mots de passe ;
- La liste des sites sur lesquels vous êtes inscrit apparaît avec l'identifiant correspondant. Un clic sur l'œilœil fait apparaître le mot de passe.
Sous Firefox :
- Sélectionnez Paramètres ;
- Sélectionnez Vie Privée et Sécurité ;
- Défilez la page jusqu'à la section Identifiants et mots de passe ;
- Cliquez sur Identifiants enregistrés. La liste des sites sur lesquels vous êtes inscrits depuis Firefox apparaît dans la colonne de gauche. Sur la droite, un clic sur l'œil dévoile le mot de passe.
Un dernier point : de tels navigateurs -- et aussi les gestionnaires de mots de passe tels que Dashlane -- vous alertent s'ils détectent qu'un site sur lequel vous avez enregistré un mot de passe a subi une attaque qui pourrait entraîner le vol de vos identifiants. Lorsque c'est le cas, veillez à toujours corriger la chose en modifiant votre mot de passe.