La compromission de mots de passe est un vecteur majeur de violation de données, voire de cyberattaque. Utiliser des mots de passe « robustes » et différents pour chaque site est une mesure de sécurité de base, indispensable au risque d'engager sa responsabilité.
Le casse-tête des mots de passe
Mais concrètement, comment faire pour créer des mots de passe « robustes » et mémorisables, et gérer un grand nombre de mots de passe ?
Pour créer des mots de passe « robustes », il est nécessaire de comprendre comment un mot de passe peut être compromis.
Cinq méthodes principales
1. Le vol, copie ou photo d'un fichier non protégé (type fichier Excel) ou d'un répertoire papier contenant vos mots de passe : les mots de passe ne doivent être conservés que de façon sécurisée.
2. Le vol d'une base de données contenant des mots de passe et insuffisamment protégée (ou l'achat d'une base de données volée). Cela ne concerne pas que des sites amateurs ou « louches » : en 2022, la CNIL a condamné EDF pour manquement à son obligation de sécurité, car les mots de passe de certains comptes clients étaient conservés de manière non sécurisée. La meilleure façon de limiter ce risque est d'utiliser un mot de passe différent pour chaque site.
3. L'utilisation d'un logiciel (en vente libre) pour « casser » les mots de passe. Ce type de logiciel peut :
- essayer toutes les combinaisons possibles (attaque par force brute). La longueur du mot de passe et la combinaison des 4 types de caractères vont ici jouer un rôle crucial pour augmenter l'entropie du mot de passe.
- utiliser des listes de mots, en commençant par les plus courants (attaque par dictionnaire). Des variantes, comme remplacer « a » par « @ » ou « S » par « {content}nbsp;» sont aujourd'hui éventées, et le logiciel testera toutes les combinaisons possibles.... Prudence si vous utilisez une « phrase de passe » (succession de mots) : pour avoir une entropie suffisante, il vous faudra utiliser 7 mots du vocabulaire courant. Par contre, l'utilisation de mots rares (par exemple issus d'un vocabulaire professionnel) ou de différentes langues rendra votre mot de passe plus robuste.
- exploiter des informations facilement accessibles concernant l'établissement ou la personne visée et ses proches (nom, prénom, date de naissance...) Avant de choisir un mot de passe, réfléchissez à ce que vous divulguez sur les réseaux sociaux ! C'est la notion de « devinabilité » du mot de passe.
Des attaques « hybrides » combinant ces méthodes sont évidemment possibles.
4. Par tromperie et manipulation psychologique (ingénierie sociale), en incitant la personne à divulguer elle-même son mot de passe.
5. Grâce à un logiciel malveillant (keylogger) qui enregistre la frappe au clavier.
Dans ces deux derniers cas, la conception du mot de passe n'est pas en cause.
Choisir un mot de passe robuste
Selon la dernière recommandation de la CNIL[1], un mot de passe « robuste » :
- est composé de 14 caractères au minimum. Ce nombre peut être réduit s'il existe un autre mécanisme de sécurité, comme le blocage du compte au bout de x tentatives ou une authentification à double facteur (utilisation d'une carte et d'un code par exemple)
- combine des majuscules, des minuscules, des chiffres et des caractères spéciaux
- ne fait pas référence à des informations personnelles facilement accessibles
- n'est utilisé que sur un seul site
- est mémorisé ou conservé de façon sécurisée. Attention, la fonction « gestionnaire de mots de passe » des navigateurs n'est pas suffisamment sécurisée et il est conseillé de désactiver l'enregistrement automatique des mots de passe.
Utiliser des moyens mnémotechniques
Pour créer plusieurs mots de passe mémorisables, il faut adopter un moyen mnémotechnique.
Un moyen qui fonctionne très bien consiste à utiliser la première lettre de chaque mot d'une phrase. Par exemple, « J'ai un chien qui s'appelle Médor » donnera : J'a1cqs'aM.
Pour rallonger ce mot de passe et le personnaliser pour chaque site, on ajoute des caractères propres au site auquel il se rapporte, par exemple les 3 premières lettres, séparées du « tronc commun » par un caractère spécial. Ainsi, pour un compte Amazon, cela pourrait donner : J'a1cqs'aM+ama.
Bien entendu, vous pouvez choisir d'ajouter les 3 dernières, ou toutes les voyelles : la règle d'or sera d'utiliser toujours la même logique dans la conception de vos mots de passe. Par exemple, on pourrait décider :
- de toujours remplacer « un » par « 1 », mais jamais « de » par « 2 » ;
- de toujours mettre la dernière lettre en majuscule plutôt que la première ;
- de toujours utiliser le même caractère spécial pour séparer le « tronc commun » de l'élément personnalisé.
Deux recommandations toutefois :
- pour l'authentification sur un site contenant des données « sensibles », utilisez un mot de passe 100% unique et activez si possible une authentification à double facteur ;
- utilisez un poème, une fable ou les paroles d'une chanson. En cas de doute sur un mot, vous le retrouverez facilement. D'autre part, vous pourrez créer autant de mots de passe que ce qu'il y a de vers. Petite astuce : pour s'assurer d'avoir toujours au moins un chiffre et un caractère spécial, insérez le n° du vers accompagné d'un caractère spécial. Par exemple : (V1)MCs1ap.
Cependant, si vous avez des dizaines de mots de passe à gérer, n'hésitez pas à recourir à un gestionnaire numérique de mots de passe. C'est d'ailleurs la solution recommandée par la CNIL et autres autorités en matière de cybersécurité.
Ce type de logiciel chiffre avec un algorithme fort vos couples identifiants/mots de passe et les centralise dans une base de données. Cette base est accessible par un mot de passe appelé « mot de passe maitre ». Il doit être particulièrement robuste car la sécurité repose sur lui en cas de tentative de piratage. Si vous le perdez, il est impossible de le récupérer.
La base de données peut être stockée en local, sur un support amovible, ou sur le web en mode SaaS. Chaque solution présente ses avantages et ses inconvénients.
Choisir le gestionnaire de mots de passe
Outre qu'il permet de se conformer aux recommandations de la CNIL en matière de sécurité, le gestionnaire de mots de passe vous fera gagner beaucoup de temps :
- Il peut générer automatiquement des mots de passe totalement aléatoires répondant aux règles que vous aurez déterminées. Ceci est particulièrement utile si vous devez renouveler en urgence plusieurs mots de passe parce que vous craignez une compromission.
- Il remplira automatiquement les champs identifiant/mot de passe sur les sites web.
Les autorités publiques recommandent Keepass[2], logiciel libre et gratuit certifié par l'ANSSI. Cependant, vous pourriez préférer un des nombreux autres gestionnaires de mots de passe qui existent en version gratuite ou payante, comme Bitwarden. Aucune concession n'est faite sur le niveau de sécurité. Simplement les versions payantes offrent plus de fonctionnalités, par exemple en permettant de partager plusieurs comptes.
Un conseil : prenez le temps de paramétrer convenablement les options de sécurité, comme le délai dans lequel le gestionnaire se verrouille lorsqu'il n'est pas utilisé, le délai d'effacement des valeurs copiées dans le presse-papier ou une authentification à deux facteurs.
Mais bonne nouvelle, la CNIL a abandonné l'obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, qui s'avérait contreproductive. Le renouvellement régulier reste requis pour les comptes « à privilèges » (comptes administrateurs). En cas de compromission, suspectée ou avérée, les mots de passe doivent toujours être immédiatement changés.
