Pendant 20 ans d’efforts, vous avez été conseillés d’utiliser des mots de passe difficile à retenir par des humains, mais faciles à deviner pour des ordinateurs en une fraction de seconde.
( comme évoqué dans ce strip de XKCD sur les mots de passe , en anglais)
Pourquoi on s’emmerde à faire des mots de passe déjà ?
500.
C’est à peu de choses près le nombre de sites sur lesquels j’ai créé un compte depuis que j’ai commencé à utiliser internet, et c’est très facile de faire monter ce nombre en s’inscrivant par SSO (vous savez, ces boutons qui disent « s’inscrive via google, via facebook, via gitlab, via mastodon« . C’est très probablement sur un nombre similaire de sites web que vous avez un compte perso.
Le web est comme la nuit, sombre et pleine de terreurs, c’est pourquoi vous ne voudriez vraiment pas que n’importe qui accède à n’importe quelle info cruciale vous concernant, vous et vos proches.
Et parfois, avoir un bon mot de passe est le seul rempart entre ce que vous avez de plus précieux et de grosses emmerdes.
Ce n’est pas la première fois que j’évoque le sujet. Il ne se passe pas un mois sans que ne se produise une fuite de données ou la révélation d’une grosse faille de sécurité dans une boite plus ou moins énorme, impliquant des milliers ou des millions de personnes. La sécurité informatique est cruciale, voire stratégique, mais malgré tout ce sont des choses négligées par la plupart des boites et des particuliers. C’est pourquoi la grande majorité des boites mails et des opérateurs téléphones traitent tout ce que vous leur passez comme des cartes postales: vos emails sont lisibles non seulement par le facteur, mais par toute personne ou machine du chemin de votre email. et des points d’arrêts, il y en a des tonnes entre le départ et l’arrivée d’un email, à moins que vous utilisiez quelque chose comme Protonmail, ou Signal pour vos SMS.
La question que vous devriez vous poser ce n’est pas « pourquoi est ce qu’il faudrait que je sécurise mes communications? » mais plutôt « pourquoi est ce que préfèrerai que n’importe qui – voire les pires salauds – aient accès à tout ce que je communique à mes proches et le conservent sans que j’en ai le contrôle ? »
Le crackage de compte ne s’effectue pas en majorité par des types en sweat à capuche qui portent des lunettes noires et écrivent sur un ordi en vert sur fond noir dasn une sombre pièce pour être pas gentil précisément envers quelqu’un (vous), mais par des scripts qui scrutent chaque machine reliée au net (mais pas que) à chaque instant afin d’exploiter leurs vulnérabilités.
C’est pourquoi une fois qu’une faille de compte est découverte sur un site il est très simple de tester automatiquement des milliers d’autres sites avec ce couple identifiant / mot de passe en un millième de seconde.
C’est ainsi que vous subissez une invasion de virus / spywares / une usurpation d’identité / un braquage de vos comptes en banque / une atteinte à votre réputation / la fuite de données médicales et profil psychologique / le vol de vos photos ou de votre graphe social (bien que ce genre d’infos sont souvent données avec joie par les utilisateurs de réseaux sociaux sans qu’ils en comprennent les conséquences)
Les gens n’y sont pas forcément très civilisés, mais la plus grosse faille dans les systèmes informatiques sécurisés ce sont le plus souvent les individus eux mêmes (hacking social). On peut obtenir pas mal d’infos sur vous et vos proches en vous demandant de répondre rapidement ou en vous mettant en situation de stress, ou en vous séduisant.
Il est d’ailleurs très probable que vous ayez déjà fait au moins une de ces erreurs:
- utiliser un mot de passe tout pourri facile à retenir mais comportant 5 caractères
- utiliser le nom de votre animal de compagnie comme mot de passe
- utiliser un seul mot de passe tout pourri sur tous les sites où vous avez un compte.
- faire connaître votre mot de passe tout pourri à vos proches, des fois que vous l’oubliez.
- exiger de connaître le mot de passe de votre conjoint ou ses codes de carte bleue.
- garder les identifiants par défaut sur toutes les machines que vous employez.
- utiliser le même mot de passe pourri partout depuis 15 ans.
- utiliser votre vrai nom partout.
- mettre un disque ou une clé usb que vous avez trouvé par terre à votre ordi sans prendre de précautions.
- perdre l’accès à un site sur lequel vous avez un compte.
- perdre des fichiers auquels vous teniez juste parce que vous ne les avez pas copiés sur plus d’un disque à la fois.
- laisser un ordinateur portable ou un téléphone sans mot de passe de login.
- subir un vol d’un ordi ou d’un portable non sécurisé.
- donner des informations de carte bleue par téléphone.
- communiquer par email ou SMS un mot de passe.
- vous faire avoir par du hameçonnage avec un email frauduleux.
- ne pas chiffrer intégralement votre disque dur d’ordi grâce à un mot de passe.
- ignorer ce qu’est l’authentification multi factorielle, ou à deux facteurs (ou 2FA) alors que vous possédez un smartphone.
Pour toutes ces erreurs, vous aurez beau avoir un système informatique parfaitement bien fait, si les utilisateurs font n’importe quoi, il ne restera pas sécurisé bien longtemps.
De plus, les endroits où l’on est en droit d’attendre un maximum de sécurité ne sont pas forcément les mieux placés sur le secteur et défient parfois tout bon sens en facilitant le travail à n’importe quelle attaque par force brute, rien qu’en mettant une limite ridicule dans la taille et la diversité possible d’un mot de passe.
Sauf que ce genre de chose est une donnée stratégique, et puisque le monde est entièrement connecté, il est aisé d’obtenir des infos cruciales à partir d’infos bénignes. Retenez aussi qu’il est plus facile de vous identifier avec moins d’une dizaine de méta données qu’avec une empreinte digitale.
Ok, vous allez me dire que c’est chiant d’avoir à retenir cinquante mots de passe hyper compliqués, ne serait-ce qu’un seul qui comporte des chiffres et des lettres c’est la galère. Encore plus de devoir les écrire.
Et je suis entièrement d’accord avec vous, c’est pour ça que j’ai adopté une solution qui me permette de résoudre tous ces problèmes de complexité tout en améliorant la sécurité de mes logins.
50 heures, c’est selon Lastpass, le temps moyen par an que passe quelqu’un à rechercher ses mots de passe et à les taper dans des formulaires de login. C’est aussi le temps que vous économisez en ne les tapant pas vous même si vous adoptez un gestionnaire de mots de passe.
Heureusement il existe des solutions très pratiques pour gérer vos mots de passe sans devoir les confier à un tiers auquel vous ne faites pas confiance, ou les écrire sur papier pour les recopier ensuite.
Les solutions à la gestion de mot de passe.
Si vous êtes ici vous avez bien deux minutes pour mettre en place une meilleure gestion de vos mots de passe. Je ne saurais donc que trop vous conseiller d’utiliser un gestionnaire de mot de passe comme Bitwarden (gratuit et autohébergeable dont j’ai contribué à la traduction en Français), Keepass ou Lastpass (payant et centralisé, 9€ par an mais ça vaut carrément le coup notamment pour sa fonction de changement automatisé, propose une offre famille qui fait un prix de groupe pour 6 personnes).
Un gestionnaire de mots de pass c’est BEAUCOUP MIEUX.
C’est capable de créer et de remplir vos identifiants sur demande / automatiquement sur tous les sites web du monde sans avoir à retenir un million de mots de passe différents, tout en étant capable d’utiliser ce genre de mot de passe:
exemple:
pour ma boite mail pro j’utilise ce mot de passe:
identifiant: troubadourdudimanche@laboitemail.com
pass: !zswL*t0!X@3P9$OnCL$*jccJe9%kQ5SxWwgKRu0AjHKaaMddpO1onbU@%ln%1LOOj5DyO4otv0Atd6hfmY7nhfiX*
pour mon réseau social préféré j’utilise celui ci:
identifiant: bébertDuchmoll
pass: EMLocF9FgLesVW$RtJwbZG&FuqvbC%9a&3!4v8!!i@optNLmk5iZkvYMZQBpKkH94Qb4Nd@q&tMYz^p#RuXSi!iYvL&UEIH^
pour mon blog j ‘utilise ça:
identifiant: leadmin_Kivabien
pass: sRpKuHwGZ9k!dkBWY$UBIHR#Q#WVYzzpzAy5Igr9gqPLRh@@3yoKj&dgkBE4qAGzwyTGcm%ixHP*JBry@q9cjJbed*dS7t!
Et aussi de prendre des notes de façon sécurisée.
Vous allez donc me dire: Wololo! Mais comment c’est possible d’utiliser tout ça sans avoir à se péter le crâne ?
C’est simple, c’est géré par le gestionnaire de mot de passe qui est intégré à Firefox (ou autre navigateur), qui stocke ces infos dans un fichier illisible jusqu’à ce que je le déverrouille par une phrase de passe. Et une phrase de passe c’est vachement mieux qu’un mot de passe ET plus facile à retenir.
Prenez par exemple cette phrase:
miaou le chat est un boulet qui ronfle
Elle fait déjà un bon paquet de caractères et est donc de fait très longue à deviner par un script qui essaierait toutes les combinaisons de caractères (attaque par force brute). on personnalise un peu, et hop, on a une phrase de pass longue et difficile à deviner, qui mettrait des millions de milliards d’années à être trouvées par un ordinateur capable de faire un trillion d’essai par seconde.
miaow! le chat 3st un boulet qui RONFLE
Sérieusement, prenez dix secondes pour installer un gestionnaire de mots de passe (il suffit de s’inscrire avec une phrase de passe, et d’installer une extension firefox/chrome/autre et vous n’aurez jamais plus besoin de réfléchir à plein de mots de passe différents tout le temps pour chaque site que vous utilisez). Vous gagnerez énormément de temps et d’argent à ne pas avoir à récupérer vos comptes ou à affronter des situations douloureuses pour vous et vos proches (j’insiste) évoquées ci dessus qui vous en prendront bien plus.
Tous les gestionnaires de mots de passe permettent la portabilité, c’est à dire que si vous souhaitez changer de gestionnaire à un moment donné, vous pourrez faire un export / import de vos données. Formidable non ?
Voilà, donc pour faire un premier pas, inscrivez vous sur bitwarden et ensuite ajoutez leur extension firefox/chrome/autre. Puis utilisez l’application mobile (android ou pomme) qui synchronisera vos infos de passe et de notes sécurisées, et proposera de remplir les champs dans les autres applis si vous le lui permettez.
Vous pouvez aussi installer votre coffre fort sur votre ordi pour une utilisation hors ligne.
Et utilisez le!
Pour aller plus loin, des guides généraux:
Le guide de l’hygiène générique du gouvernement français en 42 mesures, dispo en pdf.
Recherchez « hygiène numérique » avec duckduckgo, un moteur de recherche à adopter car il ne vous surveille pas, contrairement à google et beaucoup d’autres.
intéressez vous à l’authentification multi factorielle et activez la. Il existe aussi des clés usb qui permettent de générer des mots de passe à usage unique, qui ne nécessitent même pas de copier ces mots de passe, yubikey étant une marque parmi d’autres.
en englishe:
https://www.lockdownyourlogin.org
https://stopthinkconnect.org/tips-advice/general-tips-and-advice
Enjaillez!
Bonjour,
Merci pour cet article. 🙂
LastPass est, selon moi, à proscrire. Dans le cas d’un test pour une utilisation pro dans une société, j’ai vu que l’administrateur pouvait voir quand et sur quels sites les utilisateurs se connectent.
=> LastPass ne chiffre pas les métadonnées. Et c’est un gros problème !
(Je doute que pour les utilisateurs classiques ils fassent mieux… Et en plus ce n’est pas libre.)
-KeePass : +1
-BitWarden m’a semblé lourd, difficile à auto-héberger, c’est du C# et c’est maintenu par un seul dév… Ça ne m’a pas convaincu.
-PassBolt semble très prometteur.
-Passman, intégré à owncloud/nextcloud me semble aussi très intéressant
Bonjour, merci pour ces éclaircissements.
En effet LastPass est loin d’être parfait pour les points que tu évoques précisément, mais il bénéficie d’une simplicité d’usage qui ne peut que faciliter l’adoption générale des gestionnaires de mots de passe.
Keepass semble très bon, mais il est pénible à utiliser je trouve.
J’ai voulu installer Bitwarden sur un de mes serveurs et effectivement c’est un de ces programmes qui s’installe « facilement en 52 étapes » 😀
mais pour les néophytes (mme michu qui angoisse à l’idée d’installer un programme sur son vieux windoze) il me semble plus facile à apréhender que des projets du style keepass.
Ayant installé un nextcloud récemment je n’avais pas remarqué la présence de Passman, mais effectivement ça a l’air bien prometteur. (d’ailleurs je n’ai pas encore trouvé comment installer une application tierce sur nextcloud et je cherche toujours une solution de remplacement à google Drive sur nextcloud qui ferait aussi bien que Drive de synology)
Hello !
J’utilise beaucoup Keepass, mais pour les mots de passe de mail, j’ai pas encore passé le pas ; tout simplement parce que si je suis loin de mon ordi, et que mon téléphone est en rade, je veux pouvoir accéder à mon webmail sur n’importe quelle machine, et donc il me faut pouvoir me souvenir du mot de passe à ce stade ^^’ Je pense me créer une phrase de passe à la « correct batterie cheval agrafe », ou comme celle que tu donnes en exemple plus haut, mais j’arrive pas à prendre ce temps…
go go go, réalise tes rêves et utilise l’auto complete de keepass et ses extensions firefox et mobile 🙂
yes you can!