En 2009, des études (plus ou moins officielles) ont révélé que la plupart des utilisateurs des différents services disponibles sur le web, s’inscrivent avec un mot de passe d’un très faible niveau de sécurité. Ainsi il est très facile pour une personne mal intentionnée d’aller à la pêche aux comptes Facebook, Twitter et autres comptes bancaires etc… Le remède est très simple ; un mot de passe long, contenant des caractères spéciaux, et unique pour chaque site. Avec une bonne méthode de construction du mot magique, on peut en mémoriser des milliers, sans avoir recours au bon vieux bloc-note ou aux encombrants post-its. Certes, cela n’enraye pas toutes possibilités d’intrusion, mais si vous faites un minimum attention à qui, où et comment vous donnez vos identifiants, alors vous minimiserez les risques de manière significative.
Mon mot de passe stocké est-il en sécurité ?
La sécurité pour un mot de passe est toute relative et dépend de beaucoup de choses. Vous avez beau avoir le mot de passe le plus long et le plus compliqué de tout l’espace intersidéral, certains facteurs conduisant au vol ou à l’intrusion ne dépendent pas de vous. Prenons un exemple simple ; le cryptage du mot de passe. Vous avez perdu votre mot de passe pour vous connecter à votre compte, sous le formulaire de connexion vous remarquez « Mot de passe oublié ? », vous cliquez dessus et s’en suit mail du site en question. Si dans ce dernier le site vous indique votre mot de passe en toute lettre, cela signifie qu’il n’est pas crypté dans sa base de données. Ainsi, un hacker pénétrant dans la base de données peut voler ces informations, en récupérant également le mot de passe des utilisateurs qui, en règle générale, est leur seul et unique mot de passe pour tous leurs comptes sur le web. En revanche, si le site vous propose de cliquer sur un lien pour créer un nouveau mot de passe, cela signifie dans la plupart des cas que le site n’est pas capable de vous renvoyer votre mot de passe car celui-ci était crypté dans sa base de donnée et donc illisible par qui que ce soit. Mais il se peut tout à fait que le site détienne votre mot de passe en clair dans ce cas, c’est une simple question de sécurité, ni plus ni moins. Soyez donc méfiant des services que vous utilisez.
Pourquoi pas le nom de mon chien ?
Ceci est une grave erreur, nous avons beau avoir un répertoire illimité de noms d’animaux, de noms propres, de noms de villes, de marques ou n’importe quel mot du dictionnaire, il ne faut en aucun cas en utiliser un. La raison est toute simple. Les méthodes pour cracker un mot de passe ne sont pas si compliquées qu’ils n’y paraissent. Parmi ces différentes méthodes, il y a celle qui consiste tout simplement à le deviner, c’est ainsi ce qui s’est produit pour les comptes Twitter de Britney Spears, Barack Obama et une multitude d’autres personnalités qui ont vu leur compte Facebook ou Gmail piratés. Une autre méthode consiste grossièrement à lancer un logiciel qui va tester tous les mots du dictionnaire, noms propres, dates de naissances, marques, nom de groupe etc… et de les combiner pour en arriver à une tripotée de combinaisons possibles et inimaginables dans lesquelles se trouvent peut-être votre mot magique pas si secret que ça finalement. Bien évidemment, ces logiciels ne font qu’une bouchée des banals « 1234 » ou des autres « azerty » qui correspondent, hélas, trop souvent aux mot de passes utilisés sur le net…
Les erreurs de débutant à ne plus commettre.
Elles sont très simples, ce sont tous ces mots de passe très faciles à retenir du style « 1234 », « azertyuiop » ou encore « abc456 »… Ainsi, le site RockYou.com à indiqué que sur ses 32 millions de membres, le mot de passe le plus courant était « 123456 ». Bon je vous l’accorde, l’exemple est assez évident, mais très représentatif des problèmes que l’on rencontre sur le net. Avec un mot de passe pareil, vous pouvez être sûr qu’un enfant de 7 ans qui sait réfléchir un peu arrivera à ses fins sans problèmes et sans même trop forcer sur sa petite cervelle. Comme expliqué précédemment, évitez également les dates de naissances, ou nom d’animaux très facile à deviner pour une personne de votre entourage.
Évitez également de négliger l’importance des inscriptions ou remplissage de formulaires. Même si ce n’est pas toujours le cas, rappelez-vous qu’une fois les données envoyées, elles sont accessibles par les administrateurs de la base de données, ce qui risque d’être fort embêtant lorsque vous êtes victime de phishing ! Une fois un formulaire validé, vous ne pouvez plus revenir en arrière ou très difficilement ! Réfléchissez donc à deux fois avant de remplir n’importe quel formulaire.
Mais alors comment faire pour retenir tous ces mots barbares ?
Créer un mot de passe d’un haut niveau de sécurité est très facile. Partons de la règle suivante : un mot de passe doit contenir quatre types de caractères différents : lettres majuscules, lettres minuscules, chiffres et caractères spéciaux tels que !@#$%^&*,; ». Pour débuter, il nous faut un mot de passe « type », c’est à dire un mot de passe qui comportera une partie commune à tous vos mots de passe ainsi qu’une partie unique. Par exemple un mot de passe type pourrait être :
0]/qU***%+/Af9lLes trois astérisques correspondront ici aux 3 première lettre du site sur lequel je vais l’utiliser. Ainsi pour un compte Gmail ça donnerait :
0]/qUGMA%+/Af9lEnsuite c’est à vous à mémoriser ce mot de passe type et de l’adapter à tous vos autres sites. Les débuts sont peut-être difficiles car un peu fastidieux à taper au clavier, mais l’habitude s’installe rapidement. Aussi gardez à l’esprit que certains sites ne permettent pas toujours l’utilisation de caractères spéciaux, mais cela reste anecdotique. A vous de faire le bon choix.
Et si je préfère un vrai mot de passe unique alors ?
A moins d’être près à tapisser votre pièce d’une multitude de post-its, je ne peux que trop vous conseiller de vous pencher sur le logiciel gratuit KeePass. Ce dernier permet de stocker de manière chiffrée tous vos mots de passe avec leurs degré de sécurité et une possibilité de les ranger par catégorie, le tout protégé par un mot de passe maître. Il permet également de générer n’importe quel mot de passe du plus court au plus long et le tout en français (langage disponible dans un pack en téléchargement).
