Le mot de passe

5 janv 2024 - Mise à jour : Ajout d'Hetzner comme fournisseur du service de cloud Nextcloud
28 nov 2022 - Nouvel article du Blog : Comment réduire la taille d'un fichier PDF avec LibreOffice ?
1 oct 2022 - Nouvelles alternatives : applications de suivi du cycle menstruel
30 jui 2022 - Nouvel article du Blog : Écologie : faut-il supprimer ses e-mails ?
29 jui 2022 - Mise à jour : Suppression de StandardNotes dans les alternatives pour la Prise de Notes

Qu'est-ce qu'un mot de passe vraiment solide, et comme se souvenir de tous ses mots de passe ?

Depuis que nous utilisons internet à la maison, on nous demande des mots de passe toujours plus compliqués à retenir. Une lettre majuscule, une minuscule, un chiffre et un caractère spécial…
Cette norme vient à l'origine d'une étude publiée en 2003 par le chercheur William E. Burr qui faisait l'apologie du mot de passe complexe. Le guide stipulait qu’un bon mot de passe devait contenir au moins une lettre majuscule, une minuscule, un chiffre et un caractère spécial pour être sécuritaire. Il encore aujourd'hui sert de référence à un bon nombre d’experts dans le domaine de la sécurité informatique.

Oubliez les mots de passe compliqués et difficiles à retenir pour notre mémoire !

Utilisez plutôt des mots de passe longs mais faciles à retenir.

En effet, dans une entrevue au Wall Street Journal, ce fameux chercheur chercheur William E. Burr admet en 2017⁽¹⁾ que ses recommandations quant à la complexité des mots de passe sont pratiquement inutiles, qu'elles étaient basées sur des connaissances sommaires et incomplètes et qu’il n’était pas un expert en sécurité lorsqu’il les a rédigées.

Les journalistes spécialisés en cybersécurité du magazine web The Intercept recommandent l’utilisation d’une « phrase de passe » au lieu d'un « mot de passe »⁽²⁾. Les phrases de passe sont constituées de plusieurs mots du dictionnaire placés les uns après les autres sans nécessairement inclure de caractère spécial, de chiffre ou de lettre majuscule.

Voici un exemple de phrase de passe

cantal-tenir-vague-taille-réparation-ciseaux

Malgré son allure simpliste,
cette phrase de passe est virtuellement impossible à deviner pour un pirate.

Plus la phrase contient de mots, moins elle sera faillible. Et vous pouvez utiliser des mots qui n'ont de sens que pour vous ! On recommande d’utiliser au moins cinq mots, mais libre à vous d’en utiliser davantage.

Selon le lanceur d’alerte spécialisé dans la sécurité informatique Edward Snowden, une phrase de passe de 7 mots prendrait 27 millions d’années à découvrir à un pirate qui serait capable de tester 1000 milliards de combinaisons par seconde.

L’avantage des phrases de passe, c’est qu’elles sont faciles à retenir tout en étant extrêmement difficiles à découvrir. Toutefois, il ne suffit pas de choisir les premiers mots qui vous viennent à l’esprit pour que cette méthode fonctionne. Le secret de la sécurité des phrases de passe est “l’entropie”⁽³⁾. C'est à dire le hasard au service de votre sécurité.
Retenez seulement que l’entropie est une mesure du hasard et qu’un mot de passe est plus sécuritaire s’il est généré de façon aléatoire.

En effet, les pirates informatiques se servent habituellement de logiciels qui permettent de tester plusieurs milliers de mots de passe uniques par seconde, lorsqu’ils tentent de pénétrer de force dans un système sécurisé. C'est ce qu'on appelle la technique de Brute Force.
Pour ce faire, ils se basent sur certains des mots les plus fréquemment utilisés et leurs permutations. Parmi les permutations les plus répandues, on trouve l’usage d’un point d’exclamation à la fin d’un mot commun ou le remplacement de certaines lettres par des chiffres similaires (les « O » par des zéros, par exemple).

Ces permutations, bien qu’elles augmentent légèrement le temps requis par un pirate pour les découvrir, n’améliorent pas la sécurité de façon significative puisqu’elles sont basées sur des comportements humains prévisibles.

Malheureusement, l’être humain n’est pas très doué pour générer du hasard. C’est pourquoi on recommande d’utiliser la méthode Diceware (ou dés à jouer en anglais) pour créer une phrase de passe.

Fabriquez votre phrase de passe

C'est tout simple ! Il vous faut au moins 1 dés et télécharger le tableau des mots.

Suivez les étapes :

Lancez un dé cinq fois ou lancez cinq dés une fois.
Vous obtenez par exemple : puis puis puis puis . Ca donne 42633.
Vous associez cette série de chiffre à un mot dans le tableau des mots. Dans le tableau 42633 = micmac
Vous recommencez jusqu'à obtenir le nombre de mots que vous souhaitez !

Générer automatiquement votre phrase de passe

Il existe un site internet qui permet de reproduire la méthode des dés directement en ligne et en un clic.
Suivez les étapes :

Rendez-vous sur le site : https://www.rempe.us/diceware/#french (le site est en anglais, mais les mots générés sont en français).
Il ne vous reste plus qu'à cliquer sur le bouton 5 Words si vous voulez une phrase de passe avec 5 mots, sur 6 Words pour 6 mots, et ainsi de suite …
Le site vous affichera le nombre de mots voulu (avec leur équivalence en chiffre de la méthode des dés) et vous affichera cette phrase de passe avec ou sans tirets.

(Si vous parlez un peu anglais, le site vous explique combien de temps il faudrait à un adversaire professionnel pour deviner votre mot de passe en utilisant la technique de Brute Force mentionné plus haut, une technique qui consiste à essayer toutes les combinaisons possibles.)

Et voilà, un simple dé à six faces peut vous permettre de générer un mot de passe infaillible !

La prochaine fois qu’un site web vous obligera à choisir un mot de passe contenant une majuscule, une minuscule, un chiffre et un caractère spécial, vous pourrez donc dire que vous en savez plus sur le sujet que celui qui a déterminé ces règles .

Testez la robustesse de vos mots de passe

Vous pouvez tester la robustesse d'un mot de passe ici: Tester la robustesse d'un mot de passe
Ce test est Open SourceQuand un logiciel révèle son code source au grand public, en permet sa libre redistribution, et la création de travaux dérivés. et ne stock aucun mot de passe. Il va simuler jusqu'à 1 milliard de tentatives par secondes d'attaque par Force Brute (en essayant toutes les combinaisons possibles de lettres, chiffres et caractères spéciaux) et par Dictionnaire (en essayant des mots du dictionnaire).
D'après ce test, il faudrait plusieurs siècle pour craquer le mot de passe que j'utilise pour accéder à ce serveurOrdinateur connecté 24h/24h sur internet et qui héberge le plus souvent un ou plusieurs sites internet., au rythme de 1 milliard de tentatives par seconde.
Si cela vous parfait démesuré, sachez que la NSA a une capacité d'essais de 1000 milliards de tentatives par seconde⁽⁴⁾.

Régulièrement, des failles sur les sites internet permettent à des hackers de récupérer les bases de données des utilisateurs·rices à savoir, le plus souvent, le mot de passe et l'adresse mail et parfois d'autres données stockées sur le site (dont certaines plus grave encore comme les coordonnées bancaires).
Lorsque les hackers sont en possession de ces identifiants, ils vont essayer de les faire correspondre à d'autres services à commencer par le fournisseur de votre adresse mail. Par exemple, si votre adresse est exemple@free.fr, les hackers vont essayer de se connecter avec le mot de passe qu'ils ont volé sur le site free.fr.

On comprend donc l'intérêt de diversifier ses mots de passe !

Vérifier si mon adresse mail ou mon mot de passe ont été compromis

Tester une adresse mail Tester un mot de passe
Grâce à ce site, vous pouvez vérifier si votre adresse mail ou votre mot de passe n'a pas été retrouvé dans des données volées par les hackers.
Ce site est en anglais mais c'est très simple : tapez votre adresse mail et cliquez sur Pwned?. Si la fenêtre devient rouge, c'est que votre adresse mail ou votre mot de passe s'est retrouvée dans un vols de données. Dans ce cas, changez de mots de passe.

Le premier conseil que je peux vous donner et qui permet de se prémunir de nombreux piratages, est de séparer les services les plus importants en utilisant des mots de passe différents !
Et oui, vous n'utilisez pas la même clé pour ouvrir votre maison et pour ouvrir votre voiture, votre coffre fort, votre cave, votre garage, votre boite aux lettres et votre cadenas de vélo. En effet, vous trouveriez ça absurde.

Pour ma part, j'utilise des mots de passes différents pour :

Si l'un de ces identifiants est piraté, les autres services sont préservés !

L'idéal serait de créer un mot de passe différent pour chaque service. Mais bon, comment fait-on pour les retenir ?
Lisez la suite !

Mais comment je fais pour retenir tous mes mots de passe ?

Il existe des gestionnaires de mots de passe. A quoi ça sert ? Tout simplement à stocker de façon chiffrée tous vos mots de passe et vos cartes bancaires dans un coffre fort que vous verrouillez avec un mot de passe principal. De plus, il évite que vous n'ayez à écrire vos mots de passe ou vos numéros de carte bancaire avec votre clavier, vous protégeant ainsi des virus “enregistreur de frappe”, ces virus qui récupèrent tout ce que vous tapez au clavier.
C'est un outil qui est extrêmement recommandé aujourd'hui.

Je vous propose un gestionnaire de mots de passe qui est gratuit, Open Source et reconnu pour sa sécurité: Bitwarden

Captures d'écran du logiciel Bitwarden

Bitwarden est créé en 2016 par Kyle Spearrin après le rachat d'un logiciel du même genre : LastPass en 2015. Kyle ne trouvant pas d'alternative Open Source, ouvre une campagne de financement participative et se lance dans le développement du logiciel qui dura 1 an.
En 2017, il organise un bug bounty (un concours qui récompense les bugs trouvés).
En 2018, il commande un audit à la boite allemande indépendante “Cure53”. Le rapport a été rendu public en novembre 2018 et des correctifs apportés.
Bitwarden est très reconnu pour sa sécurité et son ouverture (si par exemple vous décidez de changer de gestionnaire de mots de passe, vous pouvez très simplement les exporter).

Oui. Votre coffre fort est chiffré de bout en bout. Cela veut dire que Bitwarden ne peut pas accéder à vos données stockées sur son serveur. Seul·e vous en avez accès.
Mais si vous perdez votre mot de passe principal, Bitwarden ne sera pas en mesure de vous aider, car il n'a aucune possibilité de déchiffrer vos données.
(Bitwarden propose même aux personnes qui le souhaitent d'installer son logiciel Open Source sur un serveur personnel ou même de stocker son coffre sur une clé USB ou un disque dur pour avoir un contrôle total de ses données.)

Nouvel audit - le 22 juillet 2020
Bitwarden a commandé et publié les résultats d'un deuxième audit (le premier était en 2018). Aucun problème majeur n'a été détecté et les quelques problèmes moins importants révélés par le premier audit ont tous été corrigés par les mises à jours. Plus d'infos

Comment je mets en place Bitwarden ?

Suivez les étapes !

1. Créez un compte en cliquant ici : https://vault.bitwarden.com/#/register
Sauvegarder bien votre phrase de passe principale (appelée mot de passe maitre sur le site) ! Si vous la perdez, Bitwarden ne pourra rien faire pour vous.
Voilà ! Vous êtes sur votre coffre fort à mot de passe !

2. Installez l'extension Bitwarden sur votre navigateur :

Installer l'extension sur Firefox

Installer l'extension sur Brave

Installer l'extension sur les autres navigateurs

3. Connectez-vous à votre compte Bitwarden depuis l'extension.

4. Je vous conseille de désactiver le gestionnaire de mots de passe d'origine de votre navigateur puisque c'est maintenant l'extension Bitwarden qui prend en charge la gestion des mots de passe.

Pour Firefox, rendez-vous dans les paramètres en cliquant tout en haut à droite sur les trois lignes horizontales puis dans le menu qui s'affiche, cliquez sur Paramètres. Ensuite, cliquez sur Vie privée et sécurité dans le menu de gauche puis décochez la case Proposer d'enregistrer les identifiants et les mots de passe pour les sites web

5. Afin de ne pas avoir à taper votre mot de passe à chaque fois que vous ouvrez l'extension Bitwarden sur votre navigateur, vous pouvez mettre en place un code PIN et faire en sorte que le verrouillage s'effectue seulement à chaque fermeture de votre navigateur.

Pour ce faire, cliquez sur l'icône de Bitwarden dans votre navigateur puis cliquez sur Paramètres en bas à droite de la fenêtre qui s'affiche. Enfin, cochez la case à droite de la phrase Déverrouiller avec un code PIN, choisissez un code PIN, décochez la case Verrouiller avec le mot de passe maître lors du redémarrage du navigateur, cliquez sur OK, puis sélectionnez Au redémarrage du navigateur sous la phrase Délai d'expiration du coffre.

et voilà !

Importer ses anciens mots de passe

Voici un article du blog qui vous explique comment importer les mots de passe déjà stockés dans votre navigateur (si vous avez besoin d'explication, demandez-moi !) : lire l'article

A savoir

À chaque fois que vous vous connecterez à un site, Bitwarden vous proposera de retenir le mot de passe pour le stocker dans votre coffre à mot de passe. Et lorsque vous retournerez sur le site, il vous le proposera.
Vous pouvez aussi y stocker des notes, des papiers d'identité ou des cartes bancaires
À chaque redémarrage du navigateur, Bitwarden sera verrouillé et vous redemandera votre mot de passe principal. Petit conseil : dans les paramètres de l'extension vous pouvez choisir de déverrouiller votre coffre dans l'extension avec un code PIN. Plus simple !
Vous pouvez aussi installer Bitwarden sur votre téléphone ou comme logiciel à part entière sur votre ordinateur : https://bitwarden.com/#download
Vous pouvez accéder où que vous soyez à votre coffre fort depuis l'adresse: https://vault.bitwarden.com

Depuis avril 2021, Bitwarden propose un outil qui permet d'envoyer des fichiers ou des notes sécurisées.

Comment ça marche (voir images ci-dessous) ?

Directement dans votre navigateur ou sur votre application de téléphone, ouvrez Bitwarden et cliquez sur Send . Cliquez sur ajouter un send. Vous pouvez ensuite paramétrer votre envoi : de mot passe, usage unique, date d'expiration … Vous n'avez ensuite plus qu'à partager le lien que vous donne Bitwarden (obtenez-le en cliquant sur l'icône représentant deux feuilles à côté de l'icône “poubelle”.

L'avantage ?
Vos fichiers et autres données sensibles ne trainent pas dans les boites mail de vos correspondante·es. par exemple: je m'en sers pour envoyer mon rib, mes informations d'employés ou des photocopies de papiers d'identités.