3 méthodes pour créer un mot de passe sécurisé et facile à retenir

Votre consultant web vous rabat sans cesse les oreilles : “Monsieur Dupond, la manière la plus simple et la moins onéreuse de vous protéger sur la toile : c’est d’avoir un bon mot de passe.” Conseil avisé, certes, mais plus facile à dire qu’à faire. Vous n’êtes pas informaticien, vous !* Essayons de nous poser les bonnes questions. Est-il vraiment indispensable d’être un·e geek ou un·e nerd pour naviguer sur le net en toute sécurité ? Non, il existe plusieurs façons de créer un mot de passe sécurisé et facile à retenir.

Mais d’abord… pourquoi tant de haine ?

Pourquoi les hackeurs veulent-ils voler notre mot de passe ?

Pour l’argent pardi ! Si vous n’êtes pas une puissance étrangère, in fine, pour l’argent, tout simplement.

Quand vous utilisez un mot de passe identique partout, il y a de fortes chances pour que ce soit le même sur votre compte en banque, Skynet (si si ça existe encore autre part que dans Terminator), Facebook, votre boutique en ligne préférée, le gestionnaire de votre site internet et peut être même le réseau de votre organisation.

À partir de là, les hackeurs sont en mesure de se faire passer pour vous, de diffuser des campagnes de hameçonnage ou de vous faire chanter. Mieux ; vos accès leurs permettent peut-être d’aller plus loin : accéder à votre entourage, à votre serveur ou à vos citoyens si vous êtes une institution publique.

Comme le disait Confucius

« Ne fais pas aux autres,
ce que tu ne voudrais pas que l’on te fasse ;
sécurise donc ton mot de passe. »

Être ou ne pas être, telle est la question

Peu ou pas de haine de la part des pirates donc, si ce n’est envers la société. En outre, la plupart des hackeurs ne sont pas des humains. Ce sont des « bots » (des programmes informatiques) qui se faufilent dans la toile à la recherche de failles de sécurités. Ce n’est donc pas expressément vous qu’ils ciblent : ils cherchent des vulnérabilités.

Comment font les hackeurs pour trouver notre mot de passe ?

Il existe plusieurs méthodes mais la combinaison gagnante, celle qui ouvre votre coffre-fort, est souvent un mélange de ce qui suit.

Attaque par force brute

Un robot essaye toutes les combinaisons de mot de passe possibles. C’est une méthode qui prend du temps et demande des ressources assez importantes au niveau du matériel informatique utilisé. Le programme peut, par exemple, tester tous les mots des dictionnaires de plusieurs langues.

Avec l’intelligence artificielle et le fait que nos données personnelles sont de plus en plus visibles sur la toile, la recherche de combinaison peut être ciblée plus rapidement et efficacement.

Comment déjouer les attaques par force brute ?

• Un mot de passe complexe, qui ne fait référence à rien qui vous concerne (Nom, Date de naissance, Téléphone, Enfants, Animaux de compagnie, Adresse, etc.) est la meilleure manière de vous protéger contre ce type d’attaque.
• Adopter la double authentification sur les comptes qui vous le proposent.
• Avez-vous remarqué que cela prenait souvent du temps après que vous ayez entré votre mot de passe pour que le compte le vérifie ? C’est, une autre technique pour éviter les attaques par force brute : chaque entrée de mot de passe prend quelques secondes à être traitée, le robot doit donc attendre avant de pouvoir essayer une nouvelle combinaison.
• Il existe d’autres méthodes comme de bloquer le compte pendant un certain temps si le système détecte un nombre X de tentatives infructueuses.

Ingénierie sociale

« Oui, j’en suis navrée, vous êtes fait piraté, nous devons changer votre mot de passe au plus vite. Ne vous inquiétez pas, nous allons le faire ensemble. Pouvez-vous me confirmer votre nom… votre email ?… Merci beaucoup… Rapellez-moi votre mot de passe déjà ? »

La prochaine fois qu’une personne vous demande votre mot de passe ; pensez aux yeux de Kaa du livre de la Jungle. Ne faites pas confiance à cette personne, même si elle en semble digne.

Pour ce type d’attaque, une personne va vous téléphoner, vous envoyer un mail ou un SMS. C’est peut-être même vous qui allez la contacter si vous vous êtes fait hameçonné (voir plus bas).

La personne au bout du fil est charmante, affable. Comment ne pas lui faire confiance ? Le hackeur se fait passer passer pour votre banquier, votre courtier, votre notaire, votre avocat ou votre informaticien. Peu importe le personnage, ce sera celui qui vous inspirera le plus confiance car la personne que vous avez au bout du fil, grâce aux réseaux sociaux et à vos traces sur internet, en sait plus sur vous, sur vos affinités et vos envies, que vous-même.

A nouveau, ici, l’intelligence artificielle aide beaucoup les pirates à accélérer leurs processus et à mieux cibler leurs victimes.

Comment déjouer les attaques par ingénierie sociale ?

• Ne communiquer jamais vos mots de passe à personne.
• Ne cédez jamais à l’urgence. Gardez votre sang-froid et réfléchissez avant d’agir : pourquoi, comment, qui, quand, etc. 
• À la question de sécurité que vous pose le site internet au cas où vous avez oublié votre mot de passe :
  • n’indiquez pas le vrai nom de votre animal de compagnie préféré ;
  • n’indiquez pas votre vrai lieu de naissance, le vrai prénom de votre père ou le vrai nom de jeune fille de votre mère, etc. ;
  • ne donnez jamais les vraies informations à la question de sécurité, une rapide recherche sur Google donnera les réponses au pirate.
• Si vous devez envoyer un mot de passe, faites-le par un autre canal que celui avec lequel vous communiquez avec votre interlocuteur. S’il vous téléphone, envoyez-lui le mot de passe sur son adresse mail personnelle. Mais attention, votre contact s’est peut-être également fait piraté.

Hameçonnage

Le poisson ? C’est vous. Le pigeon ? Aussi.

Il s’agît de vous appâter ou de vous effrayer pour que vous effectuiez une action : cliquer sur un lien, répondre à un email, appeler un numéro de téléphone.

Le message que vous avez devant les yeux donne envie ou fait peur. Ce sont les spams qui vous annoncent que vous avez gagné au lotto : il faut cliquer ici pour réclamer votre gain. Ou bien les fenêtres qui s’ouvrent sur votre écran et vous signalent que vous avez été piraté et que vous devez sans attendre téléphoner à ce numéro.

Comment déjouer le hameçonnage ?

• Ne cédez jamais à l’urgence. Quand l’alarme incendie retenti, tout le monde sait bien qu’il faut sortir dans le calme. 
• Quand il s’agit de cliquer sur un lien ou sur un bouton, passez votre souris dessus. Une petite fenêtre va s’ouvrir avec le lien réel : si celui-ci ne correspond pas au nom de domaine que vous êtes sensé visiter, ne cliquez pas.

Cheval de Troie

C’est une technique plus poussée et qui intervient souvent après avoir eu accès à votre ordinateur via une des techniques ci-dessus. Le cheval de Troie, comme son nom l’indique, est un programme qui s’installe sur votre ordinateur. De là, il a accès à pas mal de choses. Il peut par exemple bloquer votre accès et vous demander une rançon ou enregistrer votre clavier quand vous taper votre mot de passe pour accéder à un compte.

Comment éviter un cheval de Troie ?

• N’installez pas de programmes qui ne viennent pas de sources sûres sur votre ordinateur.
• Tournez votre doigt 7 fois en l’air avant de cliquer sur un lien ou un bouton très attrayant.
• Ne vous connectez pas à des WIFI sans en connaître la source, ne laissez pas votre ordinateur allumé sans surveillance dans un lieu public, évitez les clés USB si vous ne savez pas bien où elles ont trainé.

Les NE PAS en matière de mots de passes

• Tout d’abord, ne pensez pas que vous êtes plus malin que les pirates. C’est leur “métier”, leur moyen de subsistance, en réalité ils ont plusieurs longueurs d’avance sur nous. 
• N’utilisez pas de mots courants ; quelle que soit la langue. En tous cas pas seuls, combinez les avec d’autres mots, des chiffres et des caractères spéciaux.
• Pas de caractère consécutifs sur le clavier ou de combinaisons logiques.
• Sapristi, n’incorporez jamais de données personnelles dans vos mots de passe. Pas de dates de naissance, de mariage ou autres, pas de prénoms, pas de noms, pas de numéro de GSM ou de téléphone, pas de ville, rue, code postal, etc. Que pensez-vous que les intelligences artificielles guidées par les hackeurs vont tester en premier ?
• N’utilisez jamais un mot de passe que vous avez déjà vu sur internet. Il a déjà été avalé et placé dans un tableau de mots de passe “à essayer”.
• Ne compilez pas vos mots de passe dans un carnet de note. Si vous le faites, chiffrez les données et ne laissez pas trainer le carnet à côté de votre ordinateur.
• Ne partagez pas vos mots de passe avec les autres. Si vous devez le faire, changez-le peu de temps après.

Exemples de mauvais mots de passe

apzoeiruty – combinaison logique sur un clavier
monamour – mots courants
Daniel68 – prénom, année de naissance
ArthurJulesEmmaVictor – sont vos petits-enfants, tout le monde sait ça

Les pires mots de passe

Voici le top 20 des pires mots de passe issu d’un article du site français Numerama.

Notez le temps qu’il faut pour déchiffer chacun d’entre eux.

Imaginez un mot de passe sécurisé et facile à mémoriser

« C’est facile, si vous essayez
Vous pouvez pensez que je suis une rêveur
Mais je ne suis pas le seul
J’espère qu’un jour vous nous rejoindrez
Et le monde sera sécurisé »

1. La méthode des premières lettres

a. Utilisez les première lettres d’une phrase célèbre ou que vous avez en tête, d’un titre de film, de livre ou autre.
b. Remplacez certaines lettres par des majuscules, des chiffres et des symboles.

Exemple : Le Crime du comte de Neville devient L3Cr!duc0mdeN3v

2. La méthode phonétique

a. Utiliser une phrase
b. Utiliser des lettres qui permettent de remplacer des sons
c. Remplacez certaines de ces lettres par des chiffres et des symboles

Exemple : Quoi de plus simple que de garder un secret devient Kwa2+s!mpleke2g4rde1ckrE

3. La soupe de racines

Cette recette permet d’avoir des mots de passe différents pour chaque compte.

a. Prenez le nom du compte auquel vous devez avoir accès et transformez le à l’aide des méthodes 1. et /ou 2.
b. Assaisonnez ce résultat avec votre mot de passe “racine” que vous aurez créé en utilisant la méthode 1. et /ou 2.

Pour un compte Hotmail, vous aurez par exemple : 0Tmeel-L3Cr!duc0mdeN3v

Quelle que soit la méthode

• a. Votre mot de passe doit être composé d’un minimum de 8 caractères.
• b. Il doit être constitué de minuscules, de majuscules, de chiffres et de caractères spéciaux.
• c. Idéalement, il doit être unique pour chaque compte. Vous pouvez utiliser un gestionnaire de mots de passe (voir plus bas).
• d. Acceptez la double authentification quand un compte vous la propose. Cela vous prendra un peu plus de temps pour vous connecter mais votre compte sera bien plus sécurisé.
• e. Essayez de changer régulièrement de mot de passe pour vos comptes les plus sensibles.
• f. Le top du top : générez vos mots de passe uniques par compte de façon aléatoire et sauvegardez les dans un gestionnaire de mot de passe.

Pour aller « plus loin » avec vos mots de passe

Vos données ont-elle déjà été compromises ?

Il est assez facile de vérifier si votre adresse email a fait partie d’une fuite de données.

Rendez-vous sur haveibeenpwned.com (Have I been pawned – Ai-je été compromis).

Les bonnes pratiques de surf en vacances

• Ne vous connectez pas à vos comptes bancaires, email et autres comptes confidentiels sur un ordinateur public.
• Ne conservez pas vos mots de passe en mémoire de votre navigateur web.
• Ne laissez pas votre ordinateur allumé sans surveillance.
• Déconnectez-vous et éteignez votre session dès que vous avez terminé de surfer.
• Enclenchez la double authentification.

Deux gestionnaires de mots de passe

Il existe une multitude de gestionnaires de mots de passe. En voici deux, que vous pouvez utiliser gratuitement (et relativement) facilement.

Pour les débutants : bitwarden.com (Bitwarden).
La version gratuite offre déjà pas mal de possibilités. 

Pour les organisations ou si vous êtes plus confirmé : enpass.io (Enpass).
Vous pouvez héberger la solution sur votre serveur et partager des coffres-forts avec votre personnel.

* ndlr : Votre consultant web non plus, n’est pas un informaticien… mais il essaiera toujours de vous aider 😊.

Communiquez en toute sécurité  !
Prénez rendez-vous, téléphonez-nous, écrivez-nous.

Welcome @ Deligraph and secure your communication.