Mot de passe/Les règles d'or

Les mots de passe, ou passwords, sont utilisés par tous les services nécessitant une identification. Ils sont un moyen efficace de protéger les informations personnelles, stockées dans une base de données par exemple.

C'est pour cela que de plus en plus de personnes vont tenter de le voler, pouvant ainsi se faire passer pour vous. Pour s'en protéger, il y a quelques règles essentielles à connaître.

Le meilleur mot de passe :

• ne doit pas être écrit,
• ne doit pas se trouver dans le dictionnaire,
• n'utilise pas d'information personnelle (par exemple, la date de naissance)
• doit être composé au minimum de huit caractères,
• doit être composé, autant que possible, de majuscules et de minuscules, de chiffres et de caractères spéciaux.

Une des erreurs les plus fréquentes est d'écrire le mot de passe pour ne pas l'oublier, voire le mettre en Post-it sur l'écran ou sous le clavier.

Il existe différentes méthodes pour construire un mot de passe et ne pas l'oublier.

Par exemple, on peut utiliser la première lettre de chaque mot d'une citation, d'un proverbe, une phrase tirée d'une chanson ou encore d'un poème : si l’on garde la première lettre de chaque mot du proverbe "Un tiens vaut mieux que deux, tu l'auras ! N'est-ce pas Clara ?", on obtient le mot de passe suivant : "1tvmq2tla!NecpC?".

Le mot de passe obtenu se retient facilement grâce au proverbe, ne se trouve pas dans le dictionnaire, il est facilement composé de plus de huit caractères, majuscules, minuscules et de caractères spéciaux (!?) ainsi que de chiffres.

Dans le cas où l'administrateur exige un changement régulier de mot de passe, il suffira de l'incrémenter. Ainsi, en considérant que le premier mot de passe n'a pas d'incrémentation, le 10^e mot de passe de notre exemple deviendra : "1tvmq2tla!NecpC?9". Pour un changement de mot de passe mensuel, on pourra incrémenter celui-ci en fonction du numéro de mois. Par exemple, pour le changement du 1ᵉʳ novembre, l'incrémentation sera 11 et donc le mot de passe sera "1tvmq2tla!NecpC?11". Cela permet ainsi de se souvenir plus simplement du numéro d'incrémentation choisi. Cela n'est par contre pas possible avec tous les systèmes comme par exemple avec Linux où le système reconnait l'ajout de numéros à la fin et vous demande de mettre un mot de passe plus complexe.

Le choix du mot de passe est primordial dans la protection des données^[1]. En effet, si celui-ci est trop simple (exemple : le nom de son chien), une personne mal intentionnée n'aura aucun mal à le trouver, notamment grâce aux messageries instantanées.

Il est aussi préférable de ne pas choisir un mot du dictionnaire comme mot de passe, une attaque dictionnaire étant relativement simple à mettre en place. Ainsi, il est conseillé d’utiliser un mot de passe contenant des lettres, mais aussi un ou plusieurs chiffres et si c’est possible, mais malheureusement pour nous, certains sites ne le permettent pas, utiliser des caractères spéciaux (exemples : "!?*+=&<>:$") afin de rendre toute attaque beaucoup plus difficile.

C'est sans doute la règle la plus importante, mais aussi la moins suivie : un mot de passe est personnel, ce qui veut dire qu'on ne le donne pas, même à son meilleur ami.

Nombreux sont ceux à partager un même mot de passe (exemple : partage de compte) et après une dispute avec le meilleur ami, se voient refuser l'accès à leur compte (dans le meilleur des cas) car votre (ex-) ami s'est simplement amusé à changer celui-ci (encore une fois, dans le meilleur des cas). Le problème est que si votre ami a utilisé votre compte à des fins plus ou moins légales, juridiquement, vous êtes responsable, puisque c’est votre nom qui a servi à l'inscription.

Ce n’est pas le seul cas dans lequel il ne faut pas donner son mot de passe : de plus en plus de sites utilisant le phishing voient le jour. Ces sites se font passer pour des sociétés qui, en prenant l'exemple des messageries instantanées, vous donnent la liste de tous les contacts qui vous ont bloqué si vous renseignez votre adresse et votre mot de passe. À priori rien de dangereux puisqu’ils affirment qu’ils ne stockent pas votre mot de passe, mais qui peut le confirmer ?... Une attaque de type Phishing bien plus dangereuse est celle effectuée par des sites malintentionnés se faisant passer pour votre banque. Ces sites vous envoient un mail vous demandant de confirmer vos informations bancaires et le mot de passe de votre compte en ligne et en profitent pour vider le compte. Il est par conséquent impératif de vérifier dans la barre d'adresse de votre navigateur Web que vous êtes bien sur la bonne page avant d'entrer votre mot de passe afin de vous assurer que vous n'avez pas été redirigés vers un site malintentionné.

Enfin, certains sites se proposent de vérifier la robustesse de votre mot de passe, la grande majorité de ces sites se servent de ce service pour compléter leur base de données de mots de passe qui leur servira ensuite à faire des recherches exhaustives ou des attaques par force brute, les rares autres le font à des fins pédagogiques pour expliquer le danger de ce genre de site^[2].

Un mot de passe sûr est un mot de passe :^[3]

1. Qui ne veut rien dire (i.e. qui n’est pas dans le dictionnaire)
2. Qui comporte un ou plusieurs chiffres et caractères spéciaux
3. Qui mesure, de préférence, 8 caractères ou plus (c'est à partir de 8 caractères que les attaques bruteforce deviennent longues)
4. Qui n'est connu que par une personne, c'est-à-dire celle à qui il appartient

• Tester la solidité d'un mot de passe sur Noting2Hide
• Tester la solidité d'un mot de passe du Service du Haut Fonctionnaire de Défense et de Sécurité des ministères économiques et financiers français