Quelques règles de bonne pratique pour (bien) gérer ses mots de passe

Voilà la situation que tout le monde a déjà vécu : vous découvrez par hasard un site qui vend l’article que vous cherchiez depuis longtemps. Vous le mettez dans votre panier et vous cliquez sur « Passer en caisse ». Vous devez alors remplir le formulaire d’inscription et il faut choisir un mot de passe pour votre nouveau compte.

Et là, pour parvenir à ne pas systématiquement les oublier, vous faites comme la plupart des gens : vous indiquez le même que vous utilisez partout et vous avez fait en sorte qu’il soit facile à mémoriser (des dates de naissances, des prénoms, et un signe spécial à ajouter ici ou là parce qu’on y est obligé et l’affaire est faite).

Malheureusement, il existe des machines spécialisées qui peuvent découvrir tous ces mots de passe qui ne sont ni aléatoires ni particulièrement longs, simplement en essayant toutes les combinaisons possibles. Et ces machines vont *vraiment* très vite. Des mots de passe comme « 32JohnAnne28 » ou « ur/rU23#Çj » sont instantanément découverts.

Cet article qui date de près d’un an présentait une configuration avec 4 cartes GPU qui pouvait tester 40 milliards de combinaisons par seconde. On trouve aujourd’hui des configurations où on peut installer jusqu’à 19 cartes GPU, et ces GPU ont fait beaucoup de progrès en un an. Et on peut bien sûr mettre plusieurs machines complètes en parallèle.

Il n’y a que la longueur qui protège de ces outils pour le moment. Un mot de passe aléatoire de 30 à 40 caractères est assez sûr car l’effort en puissance de calcul et en temps pour le pirater n’est aujourd’hui pas raisonnable.

Evidemment, personne ne peut se rappeler d’un mot de passe de 40 caractères aléatoires! Et a plus forte raison d’un mot de passe différent pour chaque site fréquenté! Et cela ramène aux deux règles « j’utilise le même mot de passe partout » et « il doit être assez simple et court pour que je puisse m’en souvenir ».

Mais, est-ce que c’est vraiment grave si quelqu’un obtient mon mot de passe ?

Tout dépend de l’endroit où il est utilisé. Supposons que, comme beaucoup de monde, vous ayiez un mot de passe unique partout. Votre ordinateur se fait pirater, ou un site de vente en ligne (celui où vous venez d’acheter l’article que vous cherchiez depuis longtemps!) où vous vous êtes inscrit se fait pirater, et votre mot de passe est découvert.

Ceux qui l’obtiennent vont alors le tester sur tous les autres sites/services en ligne pour voir s’il est utilisé ailleurs. Et ce sera le cas bien sûr. Ils pourront ainsi accéder à votre compte Facebook, votre messagerie, tous les sites où vous vous rendez régulièrement. Ils pourront accéder à vos archives de messagerie (dans lesquelles se trouvent peut-être des correspondances avec votre banque ou la poste pour vos comptes d’épargne ?), à votre stockage en ligne (Dropbox par exemple, où se trouve une copie de vos documents personnels, par sécurité!).

Mais plus grave encore, votre adresse email est le point d’authentification de pratiquement tous les services en ligne. En effet, si vous perdez votre mot de passe pour l’un de ces sites, la procédure habituelle est que vous recevez un courriel avec un lien à cliquer pour changer le mot de passe en question. Et comme votre adresse de courriel n’est plus totalement à vous et que les pirates la lisent en même temps que vous, vous pouvez perdre le contrôle de tous vos comptes et de tous vos accès. La récupération sera extrêmement pénible et probablement impossible dans certains cas. Quelqu’un utilisera votre compte Facebook, votre adresse @gmail.com et votre compte instagram à votre place!!

Une solution : les gestionnaires de mots de passe

Ce n’est pas « LA » solution miraculeuse mais c’est « UNE » solution très efficace, et infiniment plus sûre que d’utiliser le même code partout ou de les noter dans un document Word synchronisé sur votre compte Dropbox!

Ils existent depuis longtemps et rendent le quotidien beaucoup plus confortable, plus facile et plus sûr. Le principe est le suivant :

• le gestionnaire de mot de passe est protégé par un mot de passe maître, unique et fort
• le gestionnaire de mot de passe enregistre de façon sécurisée tous les mots de passe qu’on lui confie
• pour accéder aux mots de passe enregistrés, on doit simplement indiquer le mot de passe maître

Ainsi, il n’est plus question de mémoriser 10 ou 20 mots de passe différents, ni même de les connaître : un seul et unique mot de passe sûr suffit.

Tous ces logiciels prennent en charge la génération de nouveaux de mots de passe eux-mêmes : ils les ajoutent à leur base de données, les soumettent aux divers sites web et vous ne les voyez même pas. Pour vous connecter sur un site de vente en ligne, il suffit d’un simple clic ou d’un raccourci clavier : le site s’ouvre automatiquement, le gestionnaire de mots de passe remplit le formulaire de connexion et le valide avec le bouton du formulaire. Tout ça automatiquement. Dès lors, il n’y a plus d’excuse et il faut attribuer un mot de passe différent à chaque site.

Mais alors, c’est quoi un bon mot de passe maître ?

Il faut distinguer deux types de mots de passe : ceux qui sont confiés à un gestionnaire de mots de passe, donc fabriqués et utilisés automatiquement et qui ne seront jamais saisis manuellement. Ils doivent être aussi longs que possible (en fonction du site où ils seront utilisés) et totalement aléatoires (tous les caractères mélangés, lettres, minuscules et majscules, chiffres et signes). Par exemple Q7zn4S+NhtkFRoIZS~8TC/OjRMK5?I.

Et il y a ceux qui devront être saisis manuellement. Le mot de passe maître de votre gestionnaire de mots de passe par exemple, mais aussi celui de votre compte iCloud chez Apple qui doit être saisi la première fois que vous démarrez votre nouvel iPhone ou iPad, ou ceux des -heureusement rares- applications qui ne permettent pas (encore) de « coller » du texte dans la zone réservée au mot de passe.

Il est aujourd’hui admis qu’un bon mot de passe peut être constitué de plusieurs mots (3, 4 ou 5) sans rapport entre eux et séparés par un signe. Comme une suite mémotechnique, quelque chose que vous seul savez construire. Par exemple « Forêt.pastèque.abeilles.Montagne » ou « océan-Montgolfière-Neptune-ciré ». Ils sont facilement mémorisables et ne peuvent pas être devinés. De plus, lorsqu’il faut les saisir ou qu’ils doivent être recopiés manuellement depuis le gestionnaire de mots de passe, c’est infiniment plus confortable de saisir « océan-Montgolfière-Neptune-ciré » que « Q7zn4S+NhtkFRoIZS~8TC/OjRMK5?I »!

Faut-il changer régulièrement son mot de passe ?

Les mots de passe conçus selon les règles que je viens de présenter n’ont aucun besoin d’être changés régulièrement. Si pour une raison ou une autre, l’un d’eux est découvert, il n’y a que le site où il est utilisé qui sera concerné et vous pourrez donc changer celui-ci le moment venu.

Quant à changer régulièrement le mot de passe maître de votre gestionnaire de mot de passe, cela n’apporte la plupart du temps aucune amélioration en terme de sécurité.

En effet, comme celui-ci doit être assez long et qu’il ne doit jamais être oublié, les « variantes suivantes » auront tendance à n’être que de légères altérations du mot de passe maître précédent ; on ajoute un signe, ou on remplace le « . » par un « – » par exemple. Et ces altérations n’apportent aucune sécurité supplémentaire parce que ce sont les premières choses qui seront essayées automatiquement en cas de fuite de votre mot de passe.

Et surtout, surtout, ne jamais oublier la règle fondamentale entre toutes :

« je ne communique jamais mon mot de passe. A personne. Même au helpdesk que j’ai appelé. Même à l’administrateur système qui veut m’aider. Même à l’ami qui est venu me dépanner. Jamais. Point. »