Comme chaque année, on a droit aux études sur la sécurité des services informatiques et des fameux mots de passes les plus utilisés : ‘1234’, ‘azerty’, ‘11111”. Il existe même un jour consacré au changement de votre mot de passe : le World Pass Day. Des experts vont alors s’enchaîner pour nous expliquer que les mots de passes doivent être suffisamment complexes pour ne pas être trouvés trop facilement. Ils doivent donc avoir au minimum 8 caractères dont au moins un numérique, une majuscule et un caractère non-alphanumérique.
La meilleure solution qu’ils proposent alors est ce que l’on appelle la passphrase. Il s’agit simplement d’une phrase qui ne signifie rien mais que l‘on retient aisément et que l’on écrit sans espaces avec une majuscule entre chaque mot. Exemple ‘Les2ChiotsJouentAvec3SacsRouges’ Les geek rajouteront du LeetSpeak afin de rendre ce mot de passe plus complexe.
Si le mot de passe doit être un nombre, un moyen simple de le retenir est de regarder un clavier téléphonique. Concrètement sur chaque numéro est inscrit 3 ou 4 caractères. Si vous prenez le mot ‘papier’ en regardant votre clavier cela donne le nombre 727437. En ajoutant, votre département ou une partie de votre date de naissance, vous obtenez un numéro sur 8 chiffres que vous mémoriserez facilement.
Je pense que reprocher la faiblesse de la sécurité d’un service informatique à la faiblesse du mot de passe trouvé par l’utilisateur est hypocrite. Comment pensez-vous que les pirates informatiques arrivent à voler votre compte ‘gmail’ ? Ils ont essayé tous les mots de passe de la terre sur votre adresse mail ? Non. La force brute n’a pas d’intérêt dans ce domaine. Pour la plupart des services, si vous faites trop de tentatives erronées, ce dernier va vous bloquer.
Il faut savoir que quelque soit la complexité d’un mot de passe, celui-ci n’est pas stocké en clair sur le site du service. Il est ‘haché’. Il est transformé en une autre chaîne de caractères. Que votre mot de passe fasse 3 ou 300 caractères, ce traitement de hachage renverra toujours le même nombre de caractère. Ce qui est donc comparé lorsque vous vous connectez à un service ce n’est pas votre mot de passe mais cette chaîne hachée de caractères.
L’avantage d’un mot de passe ‘complexe’ est que lorsque vous le tapez, si quelqu’un est derrière vous et regarde votre clavier, il y a de fortes chances qu’il n’arrive pas à retenir toutes les touches tapées. Mais ce cas ne se présente pas tous les jours.
Mais ne pensez pas être à l’abri derrière un mot de passe dit ‘fort’. Les pirates utilisent ce qu’on appelle des keyloggers. Il s’agit de programmes qui vont enregistrer toutes les frappes que vous faites sur votre clavier. Si un keylogger est installé sur votre ordinateur ou votre smartphone, aussi complexe que soit votre mot de passe, il sera renvoyé en clair au pirate.
Et pourtant, souvent, ce n’est pas comme cela que les mots de passes sont volés. Derrière ce thème récurrent de la complexité des mots de passes se trouve un domaine beaucoup plus vaste qui est celui de la sécurité informatique. Si je me permets, considérer le mot de passe comme l’élément essentiel de la protection de votre vie privée, c’est comme être enfermé dans un placard et regarder le monde par le trou de la serrure.
La plupart des mots de passes associés à des comptes de services sont volés lorsque les bases de données de ces services sont volées. Donc, ce n’est pas l’utilisateur qui est en cause mais le prestataire de services. C’est un défaut de sécurité de ses équipements qui est à l’origine du vol des mots de passes. Si vous changez régulièrement votre mot de passe, vous aurez donc moins de risque qu’un ‘pirate’ qui achète une base de données volée puisse se connecter à votre compte puisque le mot de passe qu’il connaît ne sera plus valable.
Si votre service le permet, activez ce qu’on appelle l’authentification à double facteur. Pour faire simple, lorsque vous vous connectez à un service, il va vous demander le mot de passe. Si celui-ci est bon, il va envoyer un code sur un autre équipement (par exemple un sms sur votre téléphone portable) qui devra être saisi avant d’accéder au service. Puisque vous êtes le seul, en principe, à connaître le mot de passe et que c’est votre téléphone, c’est donc bien vous qui vous connectez au service.