Les mots de passe sont devenus tellement incontournables dans notre vie quotidienne que l’en oublie leur sens. Historiquement, on peut les apparenter aux schibboleths utilisés dans certains conflits. Car l’objectif premier d’un mot de passe est d’identifier son porteur en toute circonstance ! Et pas simplement de remplir un champ sur un formulaire numérique…
Pour continuer sur notre lancée sur la sécurité, on vous propose de clarifier quelques règles « d’hygiène numérique » pour votre sécurité. Un rappel ne fait jamais de mal !
Les mots ont un sens, et il existe bel et bien une distinction entre ces deux expressions. Un peu comme nombre et chiffre, en fin de compte !
Lorsqu’on parle de « mot de passe », que ce soit « choufleur » ou « tZCZVXe8pCvrnaJ », on fait référence à un unique « mot » au sens grammatical du terme. Même si aujourd’hui les mots de passe ont tendance à ne faire aucun sens dans aucune langue (nous y reviendrons), il s’agit bien d’un unique ensemble de caractères.
À l’inverse, lorsqu’on parle de « phrase de passe », on s’attend plutôt à un ensemble de mots, que ce soit « soupe au chou » ou « treason-usage-deploy ». Si bien que « mot de passe » est en réalité une phrase de passe !
Mais alors, est-ce que l’un est plus sécurisant que l’autre ? Cela dépend de vos pratiques personnelles.
La célèbre bande dessinée xkcd (en anglais) illustre parfaitement les différences entre les deux solutions.
Une phrase de passe sera plus simple à retenir et sera utile dans un environnement où vous pouvez être amené à la saisir régulièrement.
À l’inverse, si vous avez un gestionnaire de mots de passe, ou qu’il faut impérativement quelque chose de compliqué, un mot de passe aléatoire fera l’affaire.
Tout le monde le répète à longueur d’année. Mais c’est comme les limitations de vitesse, il y en a toujours qui ne les respectent pas…
La règle la plus évidente de toutes : on ne met pas quelque chose de trop simple, ni de trop simple à deviner !
Chaque année, des statistiques sont publiées en ligne sur les brèches de mots de passe, et ce sont systématiquement les mêmes qui reviennent en tête : 12345, azerty, sdfsdf et j’en passe.
Un compte troué, c’est (très) souvent l’un des deux cas suivants : soit l’usager a été menacé physiquement ou socialement, soit le mot de passe a été trouvé en utilisant une liste prédéfinie (on parle d’attaque par dictionnaire). rockyou.txt est le dictionnaire le plus connu et le plus utilisé par les débutants.
La conclusion est simple : on évite les trucs trop bateaux, les informations trop évidentes sur soi, et on évite d’utiliser le même mot de passe partout (c’est comme pour les clés et les serrures !).
Quelques caractères non alphanumériques vous protègeront encore plus de ces attaques. Du moins, jusqu’à la prochaine grand révolution technologique. Rassurez-vous, nous n’y sommes pas encore !
Et si vous souhaitez tester la sécurité de l’un de vos mots de passe…
On connaît tous quelqu’un avec une liste papier de mots de passe. Ou avec l’un de ces machins. Que faut-il en penser ?
Comme toutes les solutions possibles, il y a des avantages et des inconvénients.
Le principal avantage, c’est que cela vous permet d’utiliser facilement plusieurs mots de passe (vous a-t-on déjà dit de ne pas mettre le même mot de passe partout ?) sans vous prendre la tête. C’est aussi un bon moyen d’éviter de s’éparpiller, voire d’avoir son propre algorithme.
Mais attention : cela vous expose au vol (sauf si vous les recopiez en double, dans ce cas bravo), et autres malversations physiques. Comme il est impossible de protéger de manière pratique ce carnet, il est lisible par quiconque mettant la main dessus.
C’est pourquoi nombre d’entreprises interdisent l’écriture manuscrite de mots de passe, et imposent l’usage d’un gestionnaire numérique. Ce dernier sera très certainement chiffré et protégé sur les serveurs de l’entreprise. De plus, cela permet de mettre en place de la rotation de mot de passe fiable.
LA référence du domaine reste KeePass (et son dérivé multiplateformes KeePassXC). Ils sont tous deux libres, audités régulièrement par des pointures de la sécurité, et prouvés comme fiables.
Et si vous êtes plutôt service en ligne, on ne saurait trop vous recommander Bitwarden avec un serveur auto-hébergé comme Vaultwarden.
Il existe également des alternatives propriétaires, souvent prônées dans les médias. À vous de choisir !
Vous avez respecté toutes les règles. Vous utilisez des mots de passe forts, impossibles à déduire, et vous les stockez précieusement. Et paf ! Vous avez quand même subi une fuite de données.
Rassurez-vous, cela arrive (hélas !) de plus en plus. Un petit coup d’œil sur Have I Been Pwned (« have i been powned », en anglais) vous indiquera si vous êtes concernés.
Ce n’est pas votre faute ! Les erreurs arrivent aussi de l’autre côté de l’écran. Du coup, on s’adresse à vous, les développeurs et administrateurs !
Première règle fondamentale : on ne stocke pas les mots de passe en clair, point, à la ligne. On les stocke chiffrés, de manière irréversible (hachés comme de la viande). Et on y ajoute un sel cryptographique (comme… de la viande ?). rockyou.txt provient d’un site Internet qui stockait les mots de passe en clair. Vous voilà prévenus.
Deuxième règle fondamentale : on ne révèle pas son algorithme de chiffrement ! Si les mots de passe doivent transiter d’une machine à l’autre, ils ne devraient pas être chiffrés. Cela contredit la précédente règle, mais c’est là qu’interviennent TLS et le fameux HTTPS. Si le tunnel est chiffré, la donnée peut être claire !
Résumé simplement : un formulaire ne doit pas chiffrer le mot de passe avant son arrivée sur le serveur, et le serveur doit impérativement le chiffrer. Dit comme ça, ce n’est plus si compliqué !
Et avec l’avènement de Let’s Encrypt, vous avez toutes les clés en main pour chiffrer le monde !
Cela conclut notre topo du jour. Intéressés par la cybersécurité ? Notre BTS SIO vous l’enseignera, conformément au programme national 😉