Le temps de l'info : comment renforcer nos mots de passe ?

Un mot de passe peu sécurisé peut compromettre la sécurité de nos données : réseau Wi-Fi, réseaux sociaux, applications bancaires… Pour éviter de recourir à des combinaisons trop facilement devinables, quelques techniques et mécanismes existent !

La sécurité en informatique est un enjeu crucial ! La moindre faille peut être exploitée pour un usage malveillant. Celle-ci peut se trouver du côté des fabricants et concepteurs de logiciels et de matériels (d'où l'utilité de mettre à jour son environnement !), mais aussi du côté des utilisateurs eux-mêmes. Et dans ce dernier cas de figure, cela passe notamment par le fameux point de la complexité des mots de passe.

Et ce n'est pas étonnant que l'on évoque le sujet : "123456" reste toujours le mot de passe le plus utilisé au monde. L’an dernier, il s’est retrouvé plus de 23 millions de fois dans des fuites selon Nordpass, un gestionnaire de mots de passe. On y retrouve aussi des classiques "123123", "password", "12345678" ou encore "111111". Comment se fait-il que les gens continuent à recourir à des mots de passe aussi simples, malgré le fait qu'on répète que ce n'est pas sécurisé ?

"C'est un problème lié surtout au fait qu'on a peur d'oublier son mot de passe, explique le commissaire Olivier Bogaert, de la Computer Crime Unit. Donc on utilise des solutions toutes simples pour justement ne pas avoir ces problèmes de mémoire. Malheureusement, on le voit dans les statistiques, il y a 123456 ou encore 12345678, mais parfois aussi les habitudes du clavier azerty en français ou qwerty en anglais."

Autre usage récurrent, l'utilisation comme mot de passe d'informations que l'on diffuse en public, parce que peut-être requises par certaines plateformes : 

"Il y a aussi le fait que les gens vont par exemple utiliser leur date de naissance. Sauf que, et là, je mets en garde souvent, le problème est qu'on diffuse des informations relatives à nous sur les réseaux sociaux... et notamment la date de naissance ! L'information peut être récupérée par des visiteurs de notre profil qui peuvent à ce moment-là se dire que c'est peut-être son mot de passe."

Pourtant il existe des moyens mnémotechniques qui permettent de combiner facilité de mémorisation du mot de passe et en même temps sa robustesse face à une attaque pour tenter de le casser.

"On a la possibilité de se créer des mots de passe solide, rassure Olivier Bogaert. Le conseil que je donne généralement, c'est de prendre une phrase qu'on garde en tête et de pouvoir utiliser la première lettre de chacun des mots. Je donne souvent en exemple cette phrase qui est restée dans nos mémoires depuis l'enfance, parce que c'était les fables de Jean de La Fontaine : 'Mettre corbeau, sur un arbre perché, tenait dans son bec un fromage.' Si vous prenait la première lettre de chacun des mots avec des majuscules, '1 fromage' [en chiffre donc, ndla], un point d'exclamation devant, un point d'exclamation derrière, et vous avez 12, 13, 14 caractères. Dans ce cas-là, vous avez quelque chose d'extrêmement solide."

À vous donc de trouver une phrase de référence et, si possible, différente en fonction des comptes que vous utilisez !

Authentification double facteur et gestionnaires de mots de passe à la rescousse !

Autre technique pour renforcer la sécurité de ses comptes sur Internet : quand elle est disponible, activez l’authentification double facteur : à chaque connexion à un service (Google, Facebook, iCloud, Twitter, etc.), vous recevez un code unique par SMS ou bien au moyen d’une app dédiée (Authy, Google Authenticator, Microsoft Authenticator sont quelques exemples). Ce code sera à rentrer sur le site sur lequel vous vous connectez pour vérifier que vous êtes bien à l’origine de la connexion. Si jamais vous recevez une demande de connexion par SMS alors que vous n'aviez pas tenté de vous connecter à un compte donné, c'est le signe que votre mot de passe est dans la nature et qu'il est temps de le changer !

Par ailleurs, de plus en plus de sites permettent également de se connecter au moyen d’autres services. Ces boutons "Se connecter avec Facebook, Google ou encore Apple" se sont multipliés ces dernières années. Cette alternative semble pratique, mais est-elle suffisamment sécurisée ?

Olivier Bogaert : "On utilise alors l'adresse mail que l'on utilise, par exemple, pour se connecter à Facebook. Mais le problème, lorsque ces services sont disponibles, au niveau des plateformes intermédiaires, il y a un module qui est intégré aux autres applications, qu'on appelle module SDK et qui permet à ce moment-là de partager des données par rapport à l'utilisation que nous faisons d'une application tierce auprès de Facebook ou des autres fournisseurs de services. Donc je dirais qu'à ce moment-là, il vaudrait mieux se garder un identifiant et un mot de passe spécifique."

Vous l'aurez compris, ici aussi, solution de facilité ne rime pas forcément avec sécurité et robustesse... Un identifiant et un bon mot de passe dédiés restent la meilleure solution pour assurer sa sécurité en ligne.

Reste un dernier point à aborder, celui des gestionnaires de mots de passe. Chaque navigateur moderne (Chrome, Edge, Safari, Brave, Opera, Firefox, entre autres) permet de générer aléatoirement des mots de passe et de les stocker. Solution pratique, mais qui peut vite devenir un casse-tête si vous devez jongler entre plusieurs navigateurs et systèmes d'exploitation.

Heureusement, il existe des applications dédiées (1Password, LastPass, Dashlane, KeePass par exemple) qui se matérialisent par une app à installer sur Windows, macOS, Linux, iOS ou encore Android et qui, au moyen d'extensions, viennent se greffer dans les navigateurs et permet ainsi de générer des mots de passe forts, les centraliser en un seul endroit et de les synchroniser entre vos différents appareils. Il vous suffira qu'à choisir un mot de passe "maitre" qui protègera tous les autres. La plupart proposent une formule gratuite limitée et des abonnements payants avec des fonctionnalités plus avancées.

Dernier conseil : si jamais vous souhaitez tester la robustesse de votre (vos) mot(s) de passe actuel(s), le site Bee Secure en collaboration avec le service luxembourgeois de la jeunesse permet de déterminer si les mots de passe que vous avez choisis sont craquables rapidement ou si vous pouvez dormir sur vos deux oreilles...