Les mots de passe sont la base des méthodes d’authentification en ligne. S’authentifier, c’est prouver à un système qu’on est la personne que l’on prétend être. Vous trouvez ça un peu méta comme explication? Concrètement, lorsqu’on donne son nom à la banque et que l’individu à la caisse nous demande une carte d’identité, c’est une méthode d’authentification. Pareillement, lorsqu’on tape un mot de passe afin d’avoir accès à sa boîte courriel, c’est une façon de s’authentifier auprès de notre service en ligne. L’authentification, c’est donc une composante essentielle de ce que l’on appelle la gestion des accès.
La gestion des accès, c’est la clé de toute bonne pratique en sécurité numérique.
Comme une serrure sur une porte, le mot de passe assure que seules les personnes autorisées puissent avoir accès à un espace.
Comment est-il possible qu’on devine mon mot de passe?
Nous l’avons mentionné : l’objectif d’avoir un mot de passe est de le garder secret et de protéger l’accès à des données confidentielles ou secrètes. Comment est-il donc possible pour un malfaiteur ou une malfaitrice de deviner un mot de passe et de gagner l’accès à vos comptes?
Malheureusement, les méthodes sont nombreuses. Voici un aperçu de celles qui sont fréquemment utilisées.
- Attaque de force brute : c’est une attaque ciblée ou aléatoire où un.e hacker.euse utilise un logiciel dans le but unique de déchiffrer votre mot de passe. Le logiciel essaie aléatoirement des combinaisons de lettres, de chiffres, de caractères et de mots jusqu’à ce que la bonne combinaison soit trouvée. Pour cette raison, ce type d’attaque peut prendre beaucoup de temps et d’énergie. Plus un mot de passe est compliqué, plus l’attaque sera longue et coûteuse pour un.e adversaire.
- Ingénierie sociale : il s’agit également d’une méthode où un.e adversaire vous cible spécifiquement. Dans cette attaque, pour aller plus vite, il/elle prend une approche plus « personnelle » que l’attaque de force brute. Il/Elle visitera vos réseaux sociaux et tentera de récolter des informations qui lui permettront de faire une supposition éclairée (nom de votre chat et votre année de naissance) ou de répondre à vos questions de sécurité. Il/Elle peut également essayer de vous berner en vous envoyant un courriel d’hameçonnage vous demandant de réinitialiser votre mot de passe.
- Fuite chez un fournisseur de service (data dump) : il s’agit d’une situation où vous êtes une cible aléatoire parce que votre identifiant et votre mot de passe ont fait partie d’une fuite de données. Des bases de données avec ce type d’information (aussi nommées data dump) se retrouvent sur le dark Web. Elles sont achetées par des criminel.le.s qui obtiennent ainsi les identifiants et, potentiellement, les mots de passe associés à des millions de comptes. Êtes-vous curieux.se de savoir si vos identifiants font partie d’une fuite? Visitez ce site.
Qu’est-ce qui fait un bon mot de passe?
Une bonne manière de mitiger l’ensemble des risques associés à ces méthodes de compromission est simplement d’avoir une bonne « hygiène de mots de passe ». Cette hygiène implique le fait d’avoir des mots de passe de qualité. En ce sens, un excellent mot de passe comporte quatre caractéristiques :
- Il est long : plus le nombre de caractères est élevé, mieux c’est;
- Il est complexe : plus les séquences de caractères sont aléatoires, plus il est difficile pour un ordinateur de les deviner en cas d’attaque de force brute (l’association des mots « café » et « crème » n’est pas très aléatoire. « Café » et « pingouin », c’est mieux);
- Il est unique : on aime les mots de passe uniques puisque si l’accès d’un compte est compromis, un.e adversaire qui essaie les identifiants sur un autre service échouera. Vos autres comptes seront donc en sécurité;
- Il est facile à mémoriser : c’est la caractéristique la plus importante. Il est extrêmement frustrant d’être bloqué en dehors de son compte.
Certain.e.s diraient qu’il peut être paradoxal de vous demander de choisir des mots de passe longs, complexes et uniques à chaque compte ET de les mémoriser. Ils ont bien raison.
Pour ce faire, inutile de devenir un robot à la mémoire sensationnelle. Le premier truc que nous pouvons vous donner est d’oublier cette chose dépassée que sont les mots de passe. Ce qui est à la mode, ces jours-ci, c’est la PHRASE de passe. Le deuxième truc, c’est d’utiliser un gestionnaire de mots de passe. On sait que vous avez hâte, mais patience, on en parle plus tard…
Oubliez les mots de passe : l’avenir est aux phrases de passe!
La sécurité numérique est toujours une question de compromis. Une bonne phrase de passe trouve le meilleur équilibre possible entre chacune des quatre caractéristiques mentionnées plus haut. Effectivement, s’il est difficile de se souvenir de onze caractères complètement aléatoires, il peut être judicieux d’opter pour une phrase de passe d’une trentaine de caractères qui le sont un peu moins.
Vous avez sûrement entendu qu’un mot de passe robuste doit contenir un minimum de huit caractères. Il s’agit d’un minimum absolu. Avec une phrase de passe, votre sécurité sera exponentiellement accrue à chaque caractère ajouté. Par exemple, une phrase de passe composée de cinq mots complètement aléatoires (« iceberg cameo complicité tribune panda ») prendra des milliers d’années à être devinée par les ordinateurs d’une agence de renseignement. Le mot de passe « soleil123 », quant à lui, pourra être deviné en quelques minutes seulement par un hacker médiocre armé de son ordinateur portable vieux de quelques années. Il est donc extrêmement facile d’améliorer significativement sa posture sans trop d’efforts.
Pour créer une phrase de passe la plus robuste possible, vous pouvez combiner des majuscules, des chiffres et des caractères spéciaux. Ça ajoute de la complexité dans la recette!
L’important, c’est de trouver l’équilibre idéal pour vous entre la robustesse de votre phrase de passe et votre capacité à la mémoriser.
Cela nous mène à l’importance d’utiliser un gestionnaire de mots de passe. C’est une tactique essentielle à la gestion optimale des accès!
Quels pièges éviter?
Quand vient le temps de créer vos phrases de passe, il faut à tout prix éviter d’utiliser des informations personnelles disponibles publiquement ou sur les réseaux sociaux (votre date de naissance, votre ville d’origine, le nom de votre chat, etc.). Les paroles d’une chanson ou des dates et évènements importants sont également à proscrire. L’utilisation de ces informations facilitera les attaques d’ingénierie sociale.
Il fut aussi un temps où les professionnel.le.s de la cybersécurité recommandaient de changer les mots de passe tous les six mois. S’il s’agit théoriquement d’une bonne habitude, des études ont démontré que les changer régulièrement est, en pratique, moins sécuritaire. Effectivement, les gens étudiés avaient tendance à perdre leurs accès plus fréquemment ou encore à créer des mots de passe moins sécuritaires.
Il est donc préférable de miser sur la robustesse de votre phrase de passe et de la changer uniquement si le site ou l’application en question a subi une attaque.
POURQUOI NE JAMAIS UTILISER LE MÊME MOT DE PASSE?
Votre phrase de passe aime être spéciale. Elle devrait être différente d’un site à l’autre.
C’est un fait : les fuites de données sont de plus en plus fréquentes. Lorsqu’une phrase de passe est réutilisée d’un site à l’autre, cela augmente le risque de compromission. Les hacker.euse.s et malfaiteur.trice.s sont des personnes paresseuses : si un identifiant et un mot de passe sont compromis, la combinaison sera essayée sur toutes les plateformes imaginables.
Une bonne phrase de passe unique à chaque service est donc le premier rempart à la bonne protection des données hébergées sur vos différents comptes en ligne.
Quels sont les avantages d’utiliser un gestionnaire de mots de passe?
La mémoire est une faculté qui oublie.
Nous sommes conscient.e.s que se souvenir d’une centaine de phrases de passe différentes est une tâche aussi colossale qu’irréaliste. C’est pour cela que le gestionnaire de mots de passe sera votre allié le plus précieux.
On vous le promet, ça vaut la peine de télécharger une application supplémentaire à cette fin.
Si vous en doutez, rappelez-vous que la gestion de l’accès est la première porte d’entrée pour toutes sortes d’attaques. Avec des comptes vulnérables, vous mettez à risque vos données personnelles et celles de vos partenaires, collègues ou clients.
Se convertir à l’utilisation d’un gestionnaire de mot de passe, ça peut prendre un peu de temps au début, mais c’est important et ça vous fera rapidement gagner du temps.
Récapitulatif
- Préférez l’utilisation de la phrase de passe au mot de passe;
- Trouvez le meilleur équilibre possible entre la longueur, la complexité et l’unicité de votre phrase de passe pour vous en souvenir;
- 8 caractères sont un minimum. 12 à 16 caractères, c’est bien. Plusieurs mots, c’est mieux;
- Combinez si possible des majuscules, des chiffres et des caractères spéciaux;
- Évitez d’inclure des informations personnelles (dates importantes, anniversaire, prénom des enfants, ville de naissance…);
- L’utilisation d’un gestionnaire de mots de passe est recommandée pour aider votre mémoire;
- Changez uniquement votre phrase de passe si elle a été compromise.
Lien utile
- DataDetox: Make your password stronger (seulement en anglais.)