3. Créer et sauvegarder des mots de passe sûrs

Table des matières

...Loading Table of Contents...

    La plupart des services sécurisés qui nous permettent d’utiliser les technologies numériques pour accomplir des tâches importantes (comme l’authentification des séances de travail sur un ordinateur personnel, l’envoi de courrier électronique, le chiffrement ou la dissimulation de données de nature délicate) exigent que nous gardions en mémoire un ou plusieurs mots de passe. Ces codes secrets, phrases ou séquences de caractères inintelligibles constituent souvent une première barrière (et parfois la seule et unique barrière) entre nos données et les tiers qui souhaiteraient lire, copier, modifier ou détruire ces renseignements sans notre permission. Il existe plusieurs stratagèmes par lesquels une personne malveillante pourrait intercepter vos mots de passe, mais vous pouvez aussi vous défendre efficacement contre la plupart de ces manœuvres en appliquant quelques mesures de précaution fondamentales et en ayant recours à une base de données de mots de passe sécurisée, tel que le programme KeePassX.

    Scénario de départ

    Mansour et Magda sont frère et sœur. Ils habitent un pays arabophone. Ensemble, ils gèrent un blog où ils dénoncent anonymement plusieurs violations de droits humains et mènent une campagne en faveur de changements d’ordre politique. Récemment, Magda s’est aperçue que le mot de passe de son service webmail avait été modifié à son insu. Après avoir réinitialisé le mot de passe, elle a pu se connecter au service, mais elle a constaté en ouvrant sa corbeille d’arrivée que plusieurs de ses nouveaux messages étaient marqués comme lus. Elle soupçonne qu’un intrus malintentionné ait pu obtenir ou deviner son mot de passe. Or, elle utilise le même mot de passe pour plusieurs autres comptes de courriel et sites Internet. Elle en discute avec Mansour, qui a moins d’expérience qu’elle en la matière, pour lui expliquer la situation et lui signaler son inquiétude.

    Qu’apprendrez-vous dans ce chapitre

    • Les éléments essentiels d’un mot de passe sûr ;
    • Quelques astuces pour mémoriser des mots de passe longs et complexes ;
    • Comment utiliser une base de données de mots de passe sécurisée de KeePassX pour sauvegarder des mots de passe au lieu de les mémoriser.

    Choisir et conserver des mots de passe sûrs

    D’habitude, pour protéger un objet de valeur, on le place sous clé. Les maisons, les voitures et les cadenas de vélo sont généralement protégés par une serrure et une clé correspondante ; les fichiers sécurisés sont quant à eux protégés par des clés de chiffrement, les cartes de débit par des numéros d’identification personnelle et les comptes de courriel par des mots de passe confidentiels. Toutes ces clés, qu’elles soient physiques ou abstraites, ont une chose en commun : elles peuvent aussi bien accomplir leur fonction lorsqu’elles aboutissent dans les mains d’une autre personne que vous. Vous pouvez bien installer des pare-feu sophistiqués, ouvrir des comptes de courriel sécurisés et utiliser des disques chiffrés, si votre mot de passe est faible et facile à deviner, ou si vous le laissez tomber entre les mains de personnes mal intentionnées, toutes ces mesures de précaution seront inutiles.


    ### Les éléments essentiels d’un mot de passe fort

    Un bon mot de passe doit être difficile, voire impossible, à deviner par un programme informatique.

    • Il doit être long : Plus un mot de passe est long, moins il est probable qu’un programme informatique soit en mesure de le deviner rapidement. Vous devriez essayer, autant que possible, de créer des mots de passe de dix caractères ou plus. Certaines personnes utilisent des mots de passe comportant plus d’un mot, avec ou sans espaces. On parle alors de phrases secrètes, ou « phrases de passe ». C’est une bonne idée, pourvu que le programme ou le service que vous utilisez vous permette de choisir des mots de passe assez longs.

    • Il doit être complexe : En plus de la longueur, la complexité d’un mot de passe contribue à faire en sorte qu’un logiciel de « craquage (ou cassage) de mots de passe » soit incapable de trouver la bonne combinaison de caractères. Autant que possible, vous devriez toujours utiliser une combinaison de majuscules, de minuscules, de chiffres et de symboles (comme des signes de ponctuation) dans tous vos mots de passe.

    Un bon mot de passe doit être difficile, voire impossible, à deviner par qui que ce soit.

    • Il doit être pratique : Si vous écrivez votre mot de passe quelque part parce que vous êtes incapable de vous en rappeler, vous vous rendez vulnérable à un tout autre type de menaces : quiconque est à portée de votre écran ou accède temporairement à votre poste de travail, votre portefeuille ou même la poubelle à l’extérieur de votre bureau, est susceptible de trouver votre mot de passe. Si vous n’êtes pas capable de trouver un mot de passe qui est suffisamment long et complexe, mais tout de même facile à mémoriser, les conseils énumérés à la section Mémoriser des mots de passe sûrs, ci-dessous, vous seront peut-être utiles. Sinon, vous devriez tout de même choisir une combinaison sûre, mais il vous faudra peut-être l’enregistrer à l’aide d’un programme de base de données de mots de passe sécurisée, comme KeePassX. D’autres types de fichiers protégés par mot de passe, comme les documents Microsoft Word, ne sont pas fiables pour cet usage, car il est facile de les casser en quelques secondes à l’aide d’outils que l’on trouve facilement sur Internet.

    • Il ne doit comporter aucun élément personnel : Votre mot de passe ne devrait pas faire référence à vous personnellement. Ne choisissez pas un mot de passe incluant des renseignements comme votre nom, votre numéro d’assurance sociale, votre numéro de téléphone, le nom de vos enfants, de vos conjoints ou de vos animaux domestiques, votre date d’anniversaire ou quoi que ce soit d’autre qu’une personne mal intentionnée pourrait facilement apprendre à votre sujet en effectuant une recherche rapide.

    • Gardez-le pour vous : Ne révélez votre mot de passe à personne, à moins que cela ne soit absolument nécessaire. Si vous deviez tout de même, pour une raison ou une autre, partager votre mot de passe avec un ami, un collègue ou un membre de votre famille, vous devriez d’abord modifier le mot de passe, transmettre le mot de passe temporaire à cette personne, puis, lorsqu’elle a fini de s’en servir, rétablir votre mot de passe secret. Normalement, vous devriez recourir à une solution de rechange (comme créer un compte particulier pour chacune des personnes qui souhaitent ou doivent accéder au service dont il est question) plutôt que de partager votre mot de passe avec une autre personne. Pour garder votre mot de passe secret, vous devez aussi faire attention que personne ne vous espionne lorsque vous le saisissez sur un clavier ou le récupérez dans une base de données de mots de passe sécurisée.

    Un mot de passe doit être choisi de telle sorte que vous soyez en mesure de limiter les dégâts si quelqu’un parvient à l’intercepter.

    • Assurez-vous qu’il soit tout à fait unique : Éviter d’utiliser le même mot de passe pour plusieurs comptes. Autrement, si une personne mal intentionnée parvient à deviner ou intercepter votre mot de passe, elle aura accès à encore plus de vos données. Cela est d’autant plus important que certains services comportent des lacunes qui font qu’il est relativement facile de casser les mots de passe. Si, par exemple, vous utilisez le même mot de passe pour votre compte d’utilisateur Windows et votre compte Gmail, une personne ayant accès à votre ordinateur pourra, le cas échéant, débusquer votre mot de passe et se connecter également à votre compte de courriel. Pour les mêmes raisons, il est déconseillé de simplement échanger vos mots de passe d’un compte à l’autre.

    • Rafraîchissez-le régulièrement : Changez vos mots de passe régulièrement, préférablement tous les trois mois. Certaines personnes s’attachent à un mot de passe en particulier et n’en change jamais. C’est une très mauvaise idée. Plus vous gardez le même mot de passe longtemps, plus il sera facile à deviner. De plus, si une personne arrive à utiliser votre mot de passe pour accéder à vos données et se connecter à vos services à votre insu, elle pourra le faire impunément jusqu’à ce que vous changiez enfin votre mot de passe.

    Mansour : Mais si je te fais confiance ? Ça va si je te donne mon mot de passe, non ?

    Magda : Et bien, tout d’abord, même si tu fais suffisamment confiance à une personne pour lui confier ton mot de passe, cela ne signifie pas nécessairement que cette personne en prendra soin, non ? Même si je ne ferais rien de mal avec ton mot de passe, je pourrais par exemple l’écrire sur un bout de papier et le perdre. Tu vois ? C’est peut-être même comme ça que je me suis mise dans ce pétrin ! Par ailleurs, ce n’est pas uniquement une question de confiance. Si tu es le seul à connaître ton mot de passe, tu n’auras pas à te demander un jour qui a bien pu se connecter à ton compte sans autorisation. En fait, au point où j’en suis, je suis assez certaine que quelqu’un a deviné ou « cassé » mon mot de passe, parce que je ne l’ai jamais écris nulle part ni révélé à qui que ce soit.

    Mémoriser et enregistrer des mots de passe sûrs

    À la lecture des recommandations énumérées ci-dessus, vous vous dites peut-être que seule une personne ayant une mémoire photographique pourrait se rappeler de plusieurs mots de passe aussi longs, complexes et inintelligibles sans les consigner par écrit. L’importance d’utiliser un mot de passe différent pour chaque compte complique encore les choses. Il existe toutefois quelques astuces qui pourront vous aider à créer des mots de passe faciles à mémoriser mais extrêmement difficiles à deviner, même pour une personne qui se sert d’un logiciel de « craquage de mots de passe ». Vous pouvez aussi enregistrer vos mots de passe en utilisant une base de données de mots de passe sécurisée, comme KeePassX.

    Mémoriser des mots de passe sûrs

    Il est important d’utiliser plusieurs types de caractères pour composer un nouveau mot de passe. Par exemple :

    • Combinez des minuscules et des majuscules : 'My naME is Not MR. MarSter'
    • Faites alterner des lettres et des chiffes : 'a11 w0Rk 4nD N0 p14Y'
    • Incluez des symboles ou des signes de ponctuation : 'c@t(heR1nthery3'
    • Combinez des mots empruntés à plusieurs langues : 'Let Them Eat 1e gateaU du ch()colaT'

    Toutes ces méthodes contribuent à augmenter le niveau de complexité d’un mot de passe. Elles vous permettent de choisir des mots de passe sûrs sans pour autant abandonner l’idée de les mémoriser. Même si certaines des substitutions les plus courantes (comme l’utilisation du zéro au lieu du 'o', ou celle du '@' au lieu du 'a') sont depuis longtemps incorporées aux outils qu’emploient les pirates pour craquer les mots de passe, il est toujours utile d’y recourir. Ces substitutions simples augmentent considérablement le temps requis par un programme pour deviner un mot de passe et, dans la plupart des situations où il n’est tout simplement pas possible d’utiliser de tels outils, elles font en sorte qu’il est très difficile pour un humain de deviner la bonne combinaison.

    Vous pouvez aussi employer des procédés mnémoniques plus traditionnels, comme des acronymes. Cela vous permet de transformer de longues phrases en séquences de caractères complexes et, à première vue, aléatoires :

    • 'To be or not to be? That is the question' devient '2Bon2B?TitQ'
    • 'We hold these truths to be self-evident: that all men are created equal' devient 'WhtT2bs-e:taMac='
    • 'Are you happy today?' devient 'rU:-)2d@y?'

    Nous vous présentons ces quelques exemples pour vous aider à trouver votre propre méthode de combinaison de mots et de phrases à la fois complexes et facile à mémoriser.

    Le petit effort à fournir pour rendre le mot de passe plus complexe revêt une très grande utilité. Le fait d'augmenter la longueur du mot de seulement quelques caractères ou d'y ajouter des chiffres ou des caractères spéciaux peut rendre celui-ci beaucoup plus difficile à cracker. En guise de démonstration, le tableau ci-dessous expose le temps nécessité par un hacker pour cracker un mot de passe selon sa complexité - en allant du mot le plus simple au plus complexe.

    Exemples de mot de passeTemps de crackage avec un ordinateur basiqueTemps de crackage avec un ordinateur très performant
    bananasMoins d’une journéeMoins d’une journée
    bananalemonade2 joursMoins d’une journée
    BananaLemonade3 mois, 14 joursMoins d’une journée
    B4n4n4L3m0n4d33 siècles, 4 décennies1 mois, 26 jours
    We Have No Bananas19151466 siècles3990 siècles
    W3 H4v3 N0 B4n4n4520210213722742 siècles4210461192 siècles

    Bien sûr, le temps nécessité pour cracker l'un des mots de passe présentés ci-dessus variera considérablement selon la nature de l'attaque et les ressources dont l'attaquant dispose. En outre, de nouvelles méthodes de crackage de mots de passe sont constamment en cours d'élaboration. Toutefois, le tableau démontre bien qu'il suffit de varier les caractères et d'utiliser deux mots, ou mieux encore une phrase courte, pour rendre la tâche du hacker d'autant plus difficile.

    Le tableau ci-dessus est basé sur des calculations Passfault. Passfault fait partie d'un certain nombre de sites vous permettant de tester la force de vos mots de passe. De tels sites offrent certes de précieuses informations quant à l'efficacité relative des différents types de mots de passe, il est toutefois conseillé de ne pas y entrer votre mot de passe actuel.

    Enregistrer des mots de passe de façon sécurisée

    Même si un minimum d’inventivité peu vous aider à mémoriser tous vos mots de passe, la nécessité de modifier vos mots de passe régulièrement peut vite venir à bout de votre créativité. Comme solution de rechange, vous pouvez utiliser un programme pour générer automatiquement des mots de passe complexes et abandonner complètement l’idée de les mémoriser. Vous pouvez sauvegarder ces mots de passe aléatoires dans une base de données de mots de passe sécurisée, chiffrée et portable. C’est ce que propose le programme KeePassX.

    Expérience pratique : se lancer avec le Guide pratique KeePassX

    Évidemment, si vous privilégiez cette méthode, il est particulièrement important que vous créiez une phrase secrète sûre pour KeePassX ou tout autre programme employé à cet effet. Chaque fois que vous devez saisir un mot de passe pour un compte ou un service donné, vous pouvez le récupérer à l’aide de votre phrase secrète principale, ce qui facilite le recours à toutes les suggestions mentionnées ci-dessus. KeePassX est portable, ce qui signifie que vous pouvez déposer la base de données sur une clé USB au cas où vous auriez besoin de rechercher un ou plusieurs mots de passe lorsque vous êtes loin de votre ordinateur principal.

    Même s’il s’agit probablement de la meilleure option pour une personne qui dispose de plusieurs comptes différents, cette méthode comporte quelques désavantages. Premièrement, si vous perdez ou supprimez malencontreusement la seule et unique copie de votre base de données de mots de passe, vous ne pourrez plus accéder aux comptes dont le mot de passe y était stocké. C’est pourquoi il est de toute première importance que vous conserviez une copie de sauvegarde de votre base de données KeePassX. Consultez attentivement le chapitre 5. Récupérer des données perdues pour plus de conseils sur la création de copies de sauvegarde. Heureusement, le fait que votre base de données soit chiffrée signifie que vous n’avez pas à paniquer si vous perdez une clé USB ou un disque de sauvegarde où vous l’aviez stockée.

    Le deuxième inconvénient majeur peut s’avérer encore plus grave. Si vous oubliez votre phrase secrète principale pour KeePassX, il n’existe aucun moyen pour récupérer le contenu de la base de mots de passe. Il est donc capital que vous choisissiez une phrase secrète principale aussi sûre que facile à mémoriser !

    Dans certaines situations, la force de cette méthode peut en devenir la faiblesse. Si quelqu'un vous force à donner votre phrase secrète principale pour KeePassX, il aura accès à tous les mots de passe stockés dans cette base de données. S'il s'agit d'une situation à laquelle vous puissiez être confronté, considérez la base de données KeePassX comme un fichier sensible et veillez à sa protection comme décrit dans le chapitre 4. Protéger les données sensibles stockées sur votre ordinateur. Vous pouvez également créer une base de données KeePassX séparée, destinée à contenir les mots de passe protégeant des informations plus sensibles - et prenez des précautions supplémentaires pour cette base de données.

    Mansour : Attends un peu. Si KeePass utilise un seul et unique mot de passe pour protéger tous les autres mots de passe, comment cela est-il plus sûr que d’utiliser le même mot de passe pour tous les comptes ? Si un type mal intentionné parvient à dénicher ton mot de passe principal, il pourra accéder à toutes tes données, non ?

    Magda : C’est une bonne question, et c’est vrai qu’il est extrêmement important de protéger la phrase secrète, c.-à-d. le mot de passe principal. Mais il y a quand même quelques différences importantes entre les deux méthodes que tu compares. Premièrement, le « type mal intentionné » en question n’aurais pas seulement besoin du mot de passe principal, il faudrait aussi qu’il ait accès à la base de données KeePass correspondante. Par contre, si tu n’utilises qu’un seul mot de passe pour tous tes comptes, le type n’aurait besoin que de ce mot de passe unique pour accéder à toutes tes données. Par ailleurs, nous savons que KeePass est un programme extrêmement sûr, pas vrai ? Et bien, on ne peut pas en dire autant de plusieurs programmes et sites Internet. Certains sont beaucoup moins sûrs que d’autres et tu ne voudrais surtout pas que quelqu’un parvienne à se connecter à un site faible et utilise ensuite ce qu’il y a appris pour accéder à des comptes mieux sécurisés. Et il y a un dernier point. Il est très facile, dans KeePass, de changer ton mot de passe principal si tu juges que c’est nécessaire. Je n’ai pas eu cette chance ! J’ai dû passer la journée au complet à modifier chacun de mes mots de passe.

    Lecture complémentaires

    Liens

    [1] www.frontlinedefenders.org/manual/en/esecman
    [2] www.fr.wikipedia.org/wiki/Password
    [3] www.en.wikipedia.org/wiki/Password_strength
    [4] www.fr.wikipedia.org/wiki/Password_cracking