Sécurité Internet : Bien choisir ses mots de passe

Mots de passe : l’essentiel

Je vais tenter de définir les caractéristiques d’un mot de passe solide :

• contient au minimum 8 caractères
• est constitué d’au moins 4 types de caractères différents
• ne doit pas être constitué à partir de données personnelles
• un mot de passe différent pour chaque compte Internet
• est retrouvable facilement dans votre tête. Il ne doit jamais être écrit sur papier ou tout autre support.

Si les mots de passes que vous utilisez quotidiennement sur Internet ne répondent pas à ces préconisations, la lecture de ce cours peut être instructif.

Mots de passe : ils sont partout sur le Net

Dès vos débuts dans l’informatique, vous allez être confronté aux problématiques d’identification. D’ailleurs, dès que vous démarrez votre ordinateur, vous êtes confronté à cette réalité. Pour utiliser un compte Windows, vous devez vous identifier avec un mot de passe.

Ensuite dans votre exploration d’Internet, vous allez devoir posséder différents mots de passe pour accéder à vos comptes en ligne :

• Messagerie électronique,
• Banque,
• Edf,
• Commerces en ligne,
• Réseaux sociaux,
• Communauté…

Tous ces lieux virtuels stockent des données personnelles que vous ne voudriez pas voir dans toutes les mains. Pour ce prémunir de cette menace, la première des précautions est de sécuriser ces espaces par de solides mots de passe.

Dans ce cours nous allons voir comment gérer tous ces mots de passe. Et pour commencer voyons si ce cours peut vous être utile en listant les mauvaises pratiques en terme de mots de passe.

Mot de passe : ce qu’il ne faut pas faire

Un mot de passe court

Oubliez de suite les mots de passe de type toto ou 1234. En cas d’attaque, les pirates les plus expérimentés mettront moins de 2 minutes à les trouver et à récupérer vos informations personnelles sur votre compte.

Idéalement votre mot de passe doit contenir au minimum 8. C’est beaucoup, mais dans la suite de l’article nous verrons comment créer ce genre de mot de passe facilement et surtout comment les retenir.

Un mot de passe contenant que des lettres ou des chiffres

Si vos mots de passe ne sont constitués que de chiffres ou de lettres, ceux-ci ne sont pas bons. Si les lettres correspondent à un mot ou une phrase, cette pratique est encore plus mauvaise. Les pirates peuvent s’appuyer sur des dictionnaires de mots pour essayer de vous subtiliser votre mot de passe.

Ainsi les mots de passe 12457756485 ou mabiche ou même fgetslef44 ne peuvent pas être considérés comme des mots de passe solides.

Pour un bon mot de passe, vous devez au moins utiliser 4 types de caractères différents :

• des chiffres,
• des caractères minuscules,
• des caractères majuscules
• des caractères spéciaux comme *#!,

Vous vous dîtes surement que ça va être compliqué de retenir des mots de passe avec des caractère tels que # ou !. Il existe des techniques simples et très efficaces pour se créer des mots de passe quasi introuvables et faciles à retenir.

Un mot de passe contenant des infos personnelles

N’utilisez pas le nom de votre chien, de vos enfants, votre date de naissance ou le nom de votre émission préférée pour vous constituer un mot de passe. Il faut qu’il soit le plus anonymisé possible.

Ainsi kiki35, monJerome ou Motus sont de très mauvais mots de passe.

Toujours utiliser le même mot de passe

Vous avez trouvez un superbe mot de passe que vous pensez inviolable. Vous en êtes très fier et vous l’utiliser pour tous vos comptes (Windows, boîte de messagerie, e-commerce…). Et bien c’est une grave erreur et vous avez malheureusement tort. Si jamais un pirate arrive tout de même de vous subtiliser votre mot de passe, cela veut dire qu’il a accès à toutes vos données personnelles sur tous les sites que vous utilisez habituellement.

Si vous aviez des mots de passe différents pour chaque compte, l’étendu des dégâts seraient moindre.

Il est donc fortement conseillé d’avoir un mot de passe différent pour chaque compte.

Maintenant, vous vous dîtes certainement que vous avez plus de 100 comptes sur Internet et que retenir 100 mots de passe c’est totalement impossible! Vous avez tout à fait raison. Mais, il existe des techniques de génération de mots de passe mais également des outils qui sont là pour vous faciliter la vie. Nous verrons ceux-ci dans la suite de ce cours.

Ecrire ses mots de passe

Vous n’arrivez jamais à retenir les mots de passe, donc pour vous simplifier la vie, vous les écrivez sur un post-it, un carnet ou un fichier d’ordinateur, smartphone ou tablette. C’est une très mauvaise idée. Imaginez le pire : vous vous faîtes cambrioler, en plus de vous voler vos biens matériels, l’escroc peut potentiellement vous voler vos données personnelles.

Un bon mot de passe est une chaîne de caractères que vous pouvez retrouver facilement dans votre tête. C’est tout à fait possible en utilisant des moyens mnémotechniques simples.

Tout ce que je viens de vous présenter peut vous faire peur. Construire un mot de passe solide vous semble être mission impossible? Pourtant, je vais dès le prochain chapitre vous présenter une méthode simple et efficace pour devenir une championne ou un champion des mots de passe et surtout acteur de votre sécurité sur Internet.

Comment se créer des mots de passe sécurisés?

Résumé de la méthode

Voici les étapes, que je décrirai plus précisément par la suite, pour se générer un mot de passe de qualité:

1. Trouvez-vous une phrase facile à retenir, qui contient au minimum 8 mots
2. Prenez les premières lettres de chaque mot et éventuellement les ponctuations (virgules, points…)
3. Définissez vous une règle simple pour remplacer une ou deux lettres par un caractère spécial ou un chiffre
4. Au final vous obtenez un mot de très bonne qualité qui pourra éventuellement vous servir de base pour tous vos mots de passe

Il existe des sites, notamment celui de la CNIL (accessible ici), qui vous proposent des générateurs de mots de passe. Je vous conseille plutôt de faire l’exercice sans aide logiciel. En effectuant seul cette gymnastique de l’esprit, vous retrouverez alors beaucoup plus facilement vos mots de passe.

Développons ces différents points qui s’appuient sur des exemples concrets.

Trouvez une phrase simple

Que ce soit une citation de votre auteur préféré, un slogan publicitaire ou encore n’importe quelle phrase, l’exercice est d’en trouver au moins une que vous serez sûr de retrouver facilement.

Voici des exemples de phrase :

• Si vous pensez que l’aventure est dangereuse, essayez la routine… Elle est mortelle (Paulo Coelho)
• Je m’appelle Jérôme et je suis le fondateur du site Le Coin Retraite

Faîtes cet exercice au moins une fois. Il faut réellement trouver votre phrase simple qui vous revienne le plus naturellement du monde. Cette phrase pourra être la base de tous vos mots de passe si vous le souhaitez.

Prendre les premières lettres de chaque mot

Faisons l’exercice sur nos deux phrases précédentes, j’obtiens alors :

• Svpql’ed,elr.Eem correspond à la citation de Paulo Coelho
• Jm’aJejslfdsLCR pour ma phrase personnelle

Avouez que j’obtiens déjà des mots de passe fort sympathiques et qui sont déjà bien solides. Pourtant, ils ne sont pas spécialement compliqués à retrouver.

Idéalement, il est préconisé d’avoir 4 types de caractères différents. Pour le moment, nos mots de passe ne contiennent pas de chiffre. Pour y remédier, passons à l’étape suivante.

Définir une règle simple de transformation

Pour cette étape, il suffit de définir arbitrairement et simplement une règle de transformation. Par exemple, je n’écrirai pas de caractères s en minuscule car je décide de les remplacer par le chiffre 2. Mon deuxième mot de passe devient alors : Jm’aJej2lfd2LCR

Le résultat répond à toutes les exigences qui caractérisent un mot de passe de qualité. Avec une gymnastique mentale moindre je le retrouve sans problème.

Pour le premier mot de passe vous pouvez décider de transformer les caractères e en chiffre 5. J’obtiens alors le résultat suivant : Svpql’5d,5lr.E5m

Pour vos transformations vous pouvez décider de changer des lettres en chiffre comme dans mes exemple mais aussi remplacer des lettres en caractères spéciaux (!,#) ou en Majuscule et vice versa…

Une base pour tous vos mots de passe

Comme je vous l’expliquais précédemment, il est conseillé d’avoir un mot de passe différent pour chaque site. Avec la méthode que je viens de vous présenter vous pouvez facilement vous constituer une base quasi introuvable pour tous vos mots de passe.

En partant de cette base, vous pouvez par exemple ajouter les premières lettres du site au début ou à la fin de votre mot de passe.

Dans l’idéal, trouvez-vous 2-3 phrases différentes qui vous serviront de base pour quelques catégories de site :

• 1 phrase pour les sites commerciaux,
• 1 deuxième phrase pour les sites administratifs,
• 1 autre phrase pour les réseaux sociaux, …

Avec cet attirail, vous devriez naviguer en toute sécurité sur Internet et vos données seront bien protégées.

Utiliser un gestionnaire de mots de passe

Si malgré mes conseils et la méthode que je viens de vous présenter, vous ne parvenez toujours pas à retenir tous vos mots de passe, vous pouvez utiliser en dernier recours un gestionnaire de mot de passe. Il s’agit le plus souvent d’un logiciel qui vous propose de stocker l’ensemble de vos mots de passe à un seul endroit. Vous n’avez alors plus que 1 seul mot de passe à connaître, celui qui vous permet d’accéder au logiciel.

Si vous souhaitez utiliser ce genre d’outil, je vous en conseille un : KeePass. C’est celui qui est recommandé par la CNIL et qui a fait l’objet d’une évaluation poussée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

La présentation vidéo de la CNIL de cet outil est disponible sur Youtube en cliquant ici.

Ce type d’outils présente toutefois quelques inconvénients :

• Lors de vos déplacements, vous n’avez plus accès à vos mots de passe. En effet, ceux-ci sont enregistrés sur votre ordinateur. Des solutions palliatives existent mais elles demandent quelques manipulations.
• Pour accéder à vos sites préférés vous devez toujours ouvrir votre gestionnaire de mots de passe.

Quelques derniers conseils

Pour vous faciliter l’existence, la plupart des navigateurs Internet propose d’enregistrer de façon sécurisée les mots de passe. Vous pourrez le constater lorsque vous remplirez un formulaire de connexion sur un site, une petite boîte de dialogue vous demandera si vous souhaitez ou non enregistrer le mot de passe. Si vous acceptez, le formulaire de connexion au site sera pré-rempli lors de votre prochaine visite.

Je ne conseille pas particulièrement d’abuser de cette option, mais si vous vous laissez tenter, faîtes-le uniquement lorsque vous êtes sur votre ordinateur personnel! Dans le cas d’un ordinateur partagé, une autre personne peut potentiellement se servir de vos identifiants/mots de passe sans grande difficulté et accédez à des informations privées. Donc restez vigilant.

Certains services vous proposent une double identification, c’est le cas de la messagerie Gmail par exemple. Pour l’activer, vous devrez fournir un numéro de téléphone ou une seconde adresse mail. Une fois activée, si une personne tente de se connecter à votre compte depuis un terminal inconnu, le service vous envoie un SMS ou un mail pour vous prévenir. A la réception de l’alerte, vous avez la possibilité d’autoriser ou de refuser l’accès ! Ce service peut donc être très intéressant pour protéger des données très sensibles.

J’ai rédigé ce cours d’après mes expériences personnelles et en m’appuyant également sur les recommandations fournies par la CNIL.