Ce sujet était déjà traité dans l’un des premiers articles que j’avais rédigé en 2017 déjà. Bien que le contenu original soit toujours d’actualité, un petit rafraîchissement s’imposait. Et parler des mots de passe est toujours utile tant la situation n’a guère évolué.
Ce thème omniprésent touche tout le monde. Tous les services en ligne demandent votre adresse de courriel et un mot de passe.
Et comme le décrit on ne peut plus justement @troyhunt dans son post dédié à cette question, ils ne sont pas prêts de disparaître.
Des contraintes épuisantes et totalement contre-productives
Chaque site impose alors sa recette : 6 caractères minimum, au moins un signe spécial mais pas #*, au moins un chiffre mais pas deux qui se suivent, quand il ne s’agit pas aussi d’interdire plus de 20 caractères ! On voit de tout, parfois elles sont vraiment incompréhensibles. Elles vous compliquent infiniment la vie et produisent l’effet inverse de celui qui est souhaité.
Comme tout le monde, lorsque vous êtes confronté à cette demande d’un nouveau mot de passe (un de plus 😡) avec une recette indigeste (re😡), vous faites ce qui est le plus confortable pour votre cerveau : vous utilisez la même combinaison que vous êtes enfin parvenu à mémoriser une fois pour toute : Mimi2019!
Il a tout ce qui est généralement demandé :
- 8 caractères ou plus
- au moins une majuscule
- au moins une minuscule
- au moins un chiffre
- au moins un signe spécial
Et dans le fond, il n’est pas si affreux que ça ce mot de passe, même HaveIBeenPwned ne le connait pas encore. P@ssw0rd, 12345678 et abcdefg sont infiniment pires.
Mais tout de même, il ne fait que 9 caractères, et le tableau d’endurance ci-dessous indique env. 3 semaines pour être découvert, dans certaines conditions. Les chiffres sont à prendre avec prudence car la puissance des GPU évolue *très* rapidement. Ce sont ainsi des estimations probablement pessimistes.
Le piratage d’un mot de passe n’est en réalité pas aussi simple et il n’y a pas qu’un seul scénario ni qu’une seule façon de procéder, mais dans l’objectif du message que je tente de faire passer ici, ce ne sont pas des critères totalement pertinents (rate-limiting, méthode de hashage, salage, itérations, etc). Si le sujet vous intéresse quand même, contactez-moi.
Est-ce que c’est grave si j’utilise presque le même mot de passe partout ?
C’est en fait la seule vraie question importante. Qui m’en voudrait pour tenter de découvrir mon mot de passe ? A quoi ça pourrait bien leur servir après tout ?
Il faut savoir que les pirates n’ont pas besoin de déployer tous ces efforts de calcul pour trouver votre mot de passe. Il est bien plus simple de piocher dans les fuites de données qui sont quotidiennes et s’échangent sur des forums spécialisés.
Le site XYZ où vous êtes inscrit se fait pirater (mauvaise configuration de sécurité, ou mauvais mot de passe administratif). La base de données complète des clients est volée, dans laquelle figure votre compte et le mot de passe que vous avez utilisé lors de votre inscription.
Si vous avez de la chance, les mots de passe sont hashés avant d’être enregistrés et sont moins facilement récupérables. Dans la plupart des cas, ils sont chiffrés. Et si vous n’avez vraiment pas de chance, ils sont directement enregistrés tels quels.
Donc, en presque deux coups de cuillère à pot, on trouve votre mot de passe de 9 caractères pour le site XYZ. Bien. Et ensuite ? C’est là que ça devient intéressant et qu’on répond à « A quoi ça pourrait leur servir ? ».
Puisque vous utilisez le même mot de passe (ou presque) partout, comme tout le monde, on peut désormais tenter d’accéder à votre profil Facebook, votre compte Twitter, ou LinkedIn, et votre messagerie GMail évidemment. Une fois qu’on a accès à votre messagerie, on prend le contrôle de toute votre vie numérique car la majorité des systèmes d’authentification ou de réinitialisation de mots de passe se servent du courriel. On peut alors changer votre mot de passe Facebook ou LinkedIn et en prendre le contrôle total. Ou voir sa carte de crédit enregistrée dans son profil être utilisée pour d’autres achats sur d’autres sites.
Cela ouvre par exemple la voie à l’extorsion pour récupérer l’accès à vos comptes, mais c’est aussi le point de départ nécessaire pour le pirate lorsqu’il a l’intention d’arnaquer d’autres personnes : il lui faut un moyen d’approche qui mette en confiance, et quoi de mieux qu’un message provenant de quelqu’un que vous connaissez ?
Mais alors, avec toutes ces règles compliquées imposées, qui a raison ?
Il est vraiment dommage que des organismes étatiques qui devraient montrer l’exemple donnent encore des consignes dépassées voire dangereuses. En France, le Ministère de l’économie, des finances et de la relance le dit encore pas plus tard que le 28 juillet 2021 dernier :
- règle n° 5 : il faut changer ses mots de passe tous les 3 mois
- créer un mot de passe à partir d’une phrase en ne conservant que les initiales (« Je crée un mot de passe super sécurisé ! Plus de 12 caractères et 4 types différents ! » donne le mot de passe « Jcumdpss!Pd12ce4td! »)
Pour le premier point, il n’y a aucune raison de changer un mot de passe régulièrement s’il est suffisamment sûr et qu’il n’est pas réutilisé. On ne doit changer un mot de passe que lorsque sa confidentialité est remise en question. Le seul effet qu’un changement régulier produit est le recours aux variantes où on ajoute l’année, le mois, la saison ou un chiffre à la fin du précédent mot de passe. Et le gain en sécurité est absolument nul.
Pour la seconde consigne, recommandée par la CNIL, sérieusement ? Qui va se souvenir de 25 phrases différentes de ce type, puis saisir un mot de passe impraticable au clavier si on ne possède pas de l’ADN de poulpe ? Jcumdpss!Pd12ce4td!, vous avez essayé, sérieux ? Là encore, la solution n’est pas de trouver comment mémoriser de longs mots de passe mais de trouver comment ne pas avoir besoin d’en arriver là.
Le seul objectif à atteindre avec un mot de passe c’est la longueur
Le seul et unique critère qui renforce la sécurité d’un mot de passe, c’est sa longueur. Pas sa complexité. Pas la présence ou non de mots dans une langue ou une autre. Pas le mélange majuscules/minuscules. Pas les signes spéciaux.
Il vaut mieux un mot de passe très long mais simple qu’un mot de passe plus court mais complexe. Dans ce sens, « Mariage-Pluton-orange-tactique » (30 caractères !!!) est à l’abri des pirates de toute catégorie, alors que « Bah(/&*ç3 » est potentiellement découvert en 3 semaines.
Qu’en pensez-vous en terme de confort de mémorisation ?
Je suis presque sûr que vous avez déjà mémorisé le premier, presque inconsciemment. Notre cerveau est particulièrement entraîné à identifier et mémoriser les mots. Ça rentre tout seul, sans même y faire attention. Et hop, on vient de mémoriser un mot de passe de 30 caractères l’air de rien, particulièrement confortable à saisir au clavier et qui est parfaitement sûr.
Il faut tenir compte du fonctionnement du cerveau humain, dans quels domaines il est performant, et trouver la meilleure solution à partir de là. Et on est mauvais à mémoriser « oprAeP_8sQ4FYQJsN@Mkm2Pgujq », c’est comme ça.
Oui, mais quand même, comment se souvenir de 50 mots de passe différents ?
La réponse est simple : on ne peut pas. A moins d’être aussi performant que les acteurs de théâtre qui peuvent mémoriser un livre entier (soyons honnêtes : ce n’est pas votre cas, ni le mien).
Alors que faire ?
Il n’y a -à ce jour- qu’une seule et unique solution : utiliser un gestionnaire de mots de passe.
Ce sont des logiciels spécialisés qui choisissent les mots de passe pour vous chaque fois que vous avez besoin de vous inscrire auprès d’un service particulier, les enregistrent en excellente sécurité pour vous et vous n’avez plus besoin de vous en souvenir.
En fait, vous ne les connaissez même pas car ils ont été fabriqués par le gestionnaire. Et c’est inutile de tenter de s’en souvenir car ils ressemblent tous à « GsC-KGe-!TW.WjmyDAy-7eCT9!9-cZczG.oprAeP_8sQ4FYQJsN@Mkm2Pgujq.P » et en plus ils sont différents pour chaque site, chaque adresse de courriel, chaque service.
L’accès au logiciel est protégé avec un mot de passe évidemment mais ce sera le seul et dernier que vous aurez besoin de mémoriser. A tout jamais. Un mot de passe que vous choisirez bien sûr avec la méthode décrite plus haut (des mots séparés par un signe libre). Un mot de passe facile à mémoriser, parfaitement sûr, qui n’est réutilisé à aucun endroit et qui protège tous les autres.
Mais est-ce que ces logiciels spécialisés ne sont pas faillibles ? voir la cible des pirates justement ?
Certes, aucun logiciel n’est à l’abri d’une faille de sécurité. Mais ils sont néanmoins ultra spécialisés et on peut dès lors raisonnablement penser qu’ils investissent leurs ressources dans la sécurité puisque c’est leur gagne-pain : un logiciel de mot de passe qui se fait pirater signifie la fin de l’entreprise quasi immédiatement.
Et malgré ce risque bien réel, cette solution est bien meilleure que d’utiliser le même mot de passe partout, même varié. Vous gagnez en sécurité de façon incomparable et vous faites disparaître cette question traumatisante de savoir quelle-variante-de-votre-mot-de-passe-vous-avez-choisi-avec-ce-site-le-dernière-fois-où-vous-avez-du-le-changer d’un seul geste.
Cette phrase vous fait peut-être sourire mais vous connaissez cette situation puisqu’elle vous arrive très régulièrement, n’est-pas ? Nous sommes tous pareils.
Où est le défaut caché ? les conditions en police taille 0.2 qu’on ne parvient jamais à lire ?
L’utilisation du gestionnaire de mots de passe demande un tout petit effort pour en apprendre le fonctionnement, découvrir comment il s’intègre avec les navigateurs pour effectuer la connexion à vos sites automatiquement, savoir comment changer un mot de passe lorsque c’est nécessaire ou ajuster les règles de fabrication des nouveaux mots de passe lorsqu’un site impose des règles d’un autre âge (pas plus de 12 caractères ou avec 2 chiffres précisément).
C’est un effort qu’il faut effectivement fournir, cela demande un peu de temps et nous en manquons tous cruellement.
Cela dit, réfléchissez à tout le temps perdu à tenter de vous rappeler quelle variante de votre mot de passe de base a été utilisée pour tel site, à trouver comment on demande la réinitialisation du mot de passe sur ce site, à attendre que le courriel contenant le lien arrive, qu’on retrouve sur laquelle des 4 adresses que vous possédez il doit arriver, puis celui à tenter de fabriquer une nouvelle variante en respectant les 🤬 règles. Chaque jour. A presque chaque connexion.
Et mettez ce temps en balance avec celui nécessaire une fois pour découvrir un nouveau logiciel conçu pour vous faciliter la vie et qui vous en fera gagner beaucoup.
Vraiment, cela en vaut la peine. N’hésitez pas. N’attendez plus. Vous avez certainement déjà entendu ce message une fois ou l’autre, mais là c’est vraiment le bon moment. Prenez 15 minutes, installez l’un de ces logiciels et découvrez l’autre côté du miroir.
Parce qu’il s’agit vraiment d’un autre monde, littéralement. Une fois cette (toute petite) étape franchie, vous aurez l’esprit significativement allégé. Vous surferez en toute décontraction, vous vous connecterez sur vos sites habituels sans même vous en rendre compte, y compris ceux qui ne demandent votre mot de passe que de temps en temps. Un clic sur la souris et vous êtes connecté. En tout sérénité.
Et en sécurité en plus. Parce c’est ça, la 🍒 sur le 🍰 : vous obtenez une sécurité incomparable en même temps que vous faites disparaître les contraintes. Franchement, il faudrait être fou pour s’en passer, non ?
Quelques références et pistes à explorer
Certains de ces logiciels sont payants (3.- à 4.- par mois environ pour 1password.com), d’autres totalement gratuits (comme lastpass.com ou KeePass) et il y a de très nombreuses alternatives à disposition.
Pour le moment, j’ai une préférence pour les solutions payantes. Ce coût relativement modeste permet d’assurer le développement et les recherches en sécurité qui sont indispensables. Alors que les versions gratuites doivent soit trouver de l’argent ailleurs (vos données vendues ? la publicité ?) soit se baser sur une participation volontaire de la communauté de développeur.
Les deux variantes ont leurs avantages ceci dit, et c’est un sujet qui n’a pas de réponse universelle. Il faut trouver la vôtre.
En termes de confort d’intégration et de facilité de prise en main, j’ai une nette préférence pour ce que fait 1password (hint: ce message n’est pas sponsorisé, je ne connais personne chez eux !). Ils font un excellent travail, leur logiciel est simple à prendre en main, parfaitement ergonomique, bien intégré aux navigateurs, disponibles en plein de langues et ils pratiquent une communication plutôt transparente sur leurs outils. En plus, 1Password est fabriqué avec ❤️ au 🇨🇦 et tout le monde sait que le Canada ne produit que de bonnes choses et qu’ils sont tous gentils.
Mais qu’importe en finalité. Cherchez le produit qui vous convient, testez-le et consacrez-y un tout petit peu de temps. Partagez ensuite vos expériences et vos préférences, quels ont été les difficultés ou ce que vous avez préféré ici ou là, et faites suivre la bonne parole.
Et je profite de l’occasion pour rappeler à ceux qui m’ont lu jusqu’ici qu’il faut activer l’authentification à deux facteurs partout où elle est disponible, sans hésiter. La plupart des gestionnaires de mots de passe sont capable de la prendre en charge en même temps que vos mots de passe. Alors oui, c’est moins bien qu’une Yubikey parce que c’est enregistré dans le même logiciel que votre mot de passe, mais ça complique beaucoup la tâche des pirates et cela réduit considérablement votre surface d’attaque.