Comment gérer ses mots de passe ?

Dans cet article, je vous propose de faire un tour d’horizon sur les bonnes pratiques à adopter pour mieux choisir et gérer vos mots de passe au quotidien.

Les mots de passe sont aujourd’hui utilisés partout et sont indispensables pour assurer notre sécurité sur internet. Ils nous servent à nous authentifier sur nos différentes plateformes : boîte mail, réseaux sociaux, forums, sites d’achats en ligne, banque, moyens de paiements en ligne, …

Avoir un système d’exploitation, un firewall et un antivirus à jour, n’a d’intérêt que si l’ensemble repose sur des mots de passe ou des phrases d’authentification robustes.

Les recommandations quant à leurs utilisations et leur fréquence de changement peuvent vite devenir un vrai casse-tête.

Voici les règles de l’art en la matière (selon les préconisations de l’ANSSI) :

1- Choisir des mots de passe robustes

Pour être robuste, un mot de passe doit contenir des minuscules, des majuscules, des nombres mais aussi des caractères spéciaux.
De toute évidence, il faut bien sûr absolument éviter les suites classiques du type « 123456 », « azerty », ou des mots facilement devinables comme « motdepasse », « password », …

Ce sont des mots de passe trop courants et ce seront les premiers essayés par les pirates.

Il ne faut pas non plus qu’un mot de passe contienne des mots du dictionnaires et/ou des informations personnelles. Plus il est long et complexe, plus il faudra de temps pour le casser.

Un mot de passe doit strictement unique et ne servir qu’à une seule plateforme. Créer des mots de passe utilisant la même base et en modifiant certaines lettres en fonction du site par exemple est une mauvaise pratique. En effet, si un mot de passe est découvert, les autres deviennent facilement devinables de par leurs structures.

Les technologies évoluent très rapidement et deviennent de plus en plus puissante. Par conséquent il faut de moins en moins de temps pour casser un mot de passe.

Pourquoi faut-il choisir des mots de passe forts ?

En cas de fuite de donnée : quand un hacker réussi à récupérer la liste identifiants / mots de passe des utilisateurs d’une plateforme (soit exploitant une faille de sécurité ou en l’achetant sur le Dark Web), il ne dispose que d’une liste d’identifiants (généralement d’adresses mail) et les hashs des mots de passe correspondants.

Dans les systèmes numériques, les mots de passe des utilisateurs ne sont pas stockés en clair dans les bases de données.

Lors de la création d’un mot de passe, le mot de passe va passer dans un algorithme de hachage. C’est une fonction mathématique non réversible qui va calculer un résultat : son hash. Il se présente sous la forme d’une chaîne de caractère plus ou moins longue en fonction de l’algorithme utilisé. Il existe différents algorithmes de hachages, les plus connus sont le MD5, le SHA1 le SHA256 et le SHA512.
Attention, le MD5 est aujourd’hui obsolète, bien qu’il soit encore massivement utilisé, préférez l’utilisation des algorithmes SHA. Plus le chiffre lui succédant est élevé, plus il prendra de temps à être calculé (et donc à être cassé).

C’est le hash de mot de passe qui sera stocké et conservé dans les bases de données du serveur.

A partir d’un hash (le résultat), il n’est pas possible de retrouver le mot ou la chaîne de caractère d’origine qui a permis de le générer : c’est le principe de non réversibilité.

Si un caractère change en entrée, le hash calculé sera totalement différent en sortie.

Voici par exemple les hash de « azerty12345 » et « Azerty12345 » en utilisant l’algorithme SHA256 :

Cet exemple met en évidence qu’un seul changement en entrée change complètement le résultat de la fonction de hachage.

Du côté du serveur

Voici ce qu’il se passe côté serveur lors d’une authentification sur un site internet :

Dans l’éventualité où un hacker dérobe une base de données avec les identifiants et les hashs des mots de passe, la seule façon pour lui de retrouver les mots de passe d’origine est de les essayer un par un. Il va alors calculer le hash de chaque mot de passe et le comparer à la base de données dérobée.

Si les hashs correspondent c’est bingo, il vient de trouver le mot de passe d’origine en clair !

Pour faire ces opérations, il va utiliser des logiciels et du matériel avec une grande puissance de calcul.

En général des cartes graphiques en parallèle sont utilisées pour réaliser ce type d’opérations car le rapport coût / puissance de calcul est très bon.

Les différents types d’attaques

Il existe plusieurs types d’attaques :

• « Force brute » : Toutes les combinaisons sont essayées une à une, caractère par caractère ;

• « Le dictionnaire » : Plusieurs combinaisons différentes sont testées à partir d’une base de données qui contient les mots de passe les plus couramment utilisés.

Les hackers peuvent utiliser aussi les informations publiques recueillies sur internet pour générer une liste de mots de passe possibles. Par exemple en créant des combinaisons à partir du nom, du prénom, de la date de naissance du conjoint, ….

Plus le mot de passe sera long et comportera de caractères spéciaux et plus il sera long à casser. Il est donc important d’utiliser des mots de passe long avec des caractères spéciaux, sans aucune suite logique.

2- Un seul et unique mot de passe par usage

Il est tentant et plus simple d’utiliser le même mot de passe partout mais c’est une très mauvaise idée. Une bonne pratique est d’avoir un mot de passe différent par usage.

Pourquoi faut-il utiliser des mots de passes uniques ?

En cas de compromission d’un couple mail / mot de passe d’un seul site web, la première chose que va tenter le hacker c’est de rejouer le couple e-mail / mot de passe sur d’autres plateformes en commençant par la boîte mail. On appelle cela du credential stuffing.

Ainsi si un seul des sites internet sur lequel on a un compte se fait pirater, tous les autres qui utilisent le même couple mail / mot de passe sont compromis !

3- Protéger ses mots de passe

Il faut absolument bannir l’utilisation d’un fichier Excel ou d’un fichier texte pour stocker l’ensemble de vos mots de passe. La raison est simple : ils ne sont pas sécurisés. Si quelqu’un s’introduit dans votre système, il aura alors accès à la liste de l’ensemble de vos mots de passe.

Comment faire pour se rappeler d’une multitude de mots de passe complexes ne contenant aucun mot du dictionnaire ?

Pour vous aider à retenir vos mots de passe, il existe des gestionnaires de mots de passe gratuits. Ils vous permettent de gérer tous vos mots de passe dans un coffre-fort numérique.

Par exemple les logiciels comme LastPass, NordPass, 1Password ou encore KeePass existent (le classement est purement arbitraire). Il suffit d’un seul mot de passe principal pour ouvrir le coffre-fort sécurisé. Plus besoin de retenir des multitudes de mots de passe !

Mettez l’accent sur le mot de passe principal en respectant les recommandations évoquées plus haut. Utilisez par exemple des moyens mnémotechniques pour vous créer un bon mot de passe.

Par exemple : « jpmC-F0r2mdpdmp » pour « je protège mon coffre-fort de mots de passe des méchants pirates ».

Oubliez les gestionnaires de mots de passe embarqués dans les navigateurs web. Leur base de données est très faiblement voire pas du tout sécurisée.

Préférez un logiciel dédié qui fera le remplissage automatique aussi bien dans le navigateur internet que pour les logiciels installés.

KeePass: Le gestionnaire de mots de passe validé par l’ANSSI

L’ANSSI a certifié CSPN (Certification de Sécurité de Premier Niveau) la version 2.10 portable de KeePass.

Ce logiciel mérite qu’on s’y intéresse (les autres ont des fonctions similaires) :

Source : https://keepass.fr/

KeePass un logiciel open source, ce qui signifie que l’intégralité du code source est public et disponible : n’importe qui peut vérifier le code source du programme.

Cet utilitaire permet de regrouper, d’organiser et de gérer l’ensemble de ses mots de passe dans une base de données sécurisée. C’est une bonne solution qui permet de renforcer votre sécurité.

Il fonctionne sur la majorité des systèmes d’exploitation y compris les smartphones et propose un système de synchronisation de base de données.

Il embarque également un générateur de mots de passe aléatoire qui génèrera pour vous des mots de passe solides et de différentes longueurs.

Des versions portables de KeePass existent également. Elles permettent d’avoir sa base de données et le logiciel KeePass sur une clé USB autonome. Cela permet d’exécuter KeePass directement sur une clé USB sans installation préalable.

4- Protéger l’accès à sa boîte mail

Aujourd’hui la boîte mail et un élément central pour tout à chacun sur le web.

Si un pirate prend le contrôle de la boîte mail, il peut quasiment tout faire : réinitialiser l’ensemble des mots de passe des différentes plateformes utilisées (réseaux sociaux, site d’achat en ligne, PayPal, …).

Il lui suffit pour cela d’utiliser la fonction mot de passe oublié avec votre adresse mail sur toutes vos plateformes…

Ensuite, il peut usurper votre identité ou encore vous demander de payer une rançon pour vous rendre l’accès à votre messagerie.

C’est pourquoi il est primordial d’utiliser un mot de passe robuste pour l’accès à votre messagerie électronique.

D’ailleurs, pour diminuer les risques, si elle est disponible chez votre fournisseur de service, activez et utilisez l’authentification multi facteur ou encore la double authentification.

Le principe est simple, il faut utiliser deux des quatre facteurs suivants pour s’authentifier :

• Ce que vous savez (facteur mémoriel) : un mot de passe, un nom, …
• Ce que vous avez (facteur matériel) : une information que vous seul détenez, enregistrée sur un support par exemple, un SMS, …
• Ce que vous êtes (facteur corporel) : empreinte digitale, reconnaissance faciale, voix, …
• Ce que vous savez faire (facteur réactionnel) : quelque chose que vous savez faire, une signature par exemple.

5- Modifier systématiquement les mots de passe par défaut sur vos équipements

Tous les mots de passe mis par défaut sur nos équipements sont génériques et publics.

C’est donc la première chose que va tenter un hacker pour pénétrer un système : utiliser les identifiants d’usine par défaut des équipements qu’il cible.

Afin de se protéger de cela, il faut absolument les personnaliser avec des mots de passe robustes dès leur première utilisation.

6- Vérifier les fuites régulièrement

Plusieurs sites internet existent pour vérifier si votre e-mail se trouve dans les bases de données qui ont fuités. Comme par exemple Have I been pwned ou encore sur le site Allemand de Hasso-Plattner-Institut.

Le principe est assez simple : il suffit de rentrer son adresse mail et le site va vous dire si elle a été détectée dans les bases de données qui ont fuitées. Si c’est le cas, il faudra alors changer votre mot de passe sur la plateforme concernée.

Le fonctionnement du site Hasso-Plattner-Institut est légèrement différent puisqu’il va vous envoyer un mail avec le résultat qui en plus de vous dire de quelle plateforme vient la fuite, vous indique les types des données qui ont fuitées.

Pour conclure, il ne faut jamais communiquer à quiconque vos mots de passe. Activez partout la double authentification lorsqu’elle est disponible.

Rappelez une chose : l’entité détentrice ne vous le demandera jamais étant donné qu’elle-même n’y a pas accès (en clair) !

J’espère que cet article vous a aidé à y voir plus clair avec les mots de passe.

Et vous comment gérez-vous vos mots de passe ? Dites-le-moi dans les commentaires.