Le mot de passe parfait

Trop de gens négligent les risques de sécurité qu’implique l’utilisation de mots de passe simples en ligne. Mais en vous évitant les tracas des mots de passe solides, vous mettez en danger vos informations à caractère personnel.

« Un bon mot de passe doit pouvoir être mémorisé, tout en étant difficile à deviner », déclare Joseph Bonneau, scientifique en cryptographie et candidat au doctorat dans le Groupe Sécurité au Laboratoire Informatique de l’Université de Cambridge. L’un de ses domaines d’expertise concerne les systèmes d’authentification d’individus, notamment les mots de passe, codes PIN et autres moyens par lesquels les individus prouvent leur identité sur un ordinateur.

L’utilisation de phrases mnémotechniques est une technique qui a démontré son efficacité pour créer des mots de passe solides.

« Prenez une phrase que vous vous rappelez facilement, comme « Je vais toujours boire un verre chez Moe’s le vendredi » que vous transformez en mot de passe : ‘jvtb1vcMlv’. Plutôt difficile à deviner. »

Les mots de passe trop simples sont souvent étroitement liés à votre nom d’utilisateur ou au site que vous visitez. Par exemple, il n’est pas conseillé n’utiliser le mot de passe ‘Facebook’ pour votre compte Facebook. A bannir également le mot de passe ‘JohnDoe, si votre adresse électronique est Contact.

L’un des mots de passe les plus populaires dans le monde reste, tout simplement ‘mot de passe.’ Sont également régulièrement utilisés ‘123456’ et ‘qwerty’, les premières touches du clavier.

« Les pirates amateurs essaieront d’accéder à des comptes avec ces mots de passe, en se disant que peut-être 1 pour-cent de la population les utilisent », explique M. Bonneau.

Pour créer un mot de passe solide, Dr. Ann Cavoukian recommande d’utiliser le même mot dans deux langues différentes, avec des nombres intercalés.

« Comme je suis Arménienne, j’utilise toujours une combinaison du même mot en anglais et en arménien », explique Dr. Cavoukian, Commissaire à la Vie Privée pour la Province d’Ontario, au Canada. « Si vous faites cela, puis séparez les mots par un nombre et insérez un point d’exclamation, vous avez considérablement renforcé votre mot de passe. Et comme vous n’utilisez pas de mots provenant d’un dictionnaire, vous vous mettez à l’abri des attaques dites par dictionnaire. »

Une attaque par dictionnaire essaie successivement tous les mots d’une liste exhaustive, habituellement un dictionnaire. Ces attaques ont un taux de réussite élevé car de nombreux utilisateurs choisissent des mots de passe courts et sans nombres intercalés, qui peuvent donc être trouvés dans un dictionnaire.

Mais la force d’un mot de passe dépendra également de son utilisation.

 « La création et l’utilisation d’un mot de passe doivent prendre en compte le système pour lequel il est destiné et les variables environnementales », explique Dr. Cavoukian. Par exemple, le code PIN que vous saisissez sur un distributeur de billets comporte seulement quatre chiffres, mais il est protégé par l’infrastructure de sécurité autour du distributeur, comme les caméras de sécurité. De plus, vous ne disposez que de trois essais avant de bloquer le système.

« Mais dans la plupart des autres cas, notamment sur votre ordinateur ou sur votre lieu de travail, vous ne disposez pas de cette infrastructure sécurisée », poursuit-elle. Les utilisateurs doivent donc prendre eux-mêmes en charge leur propre sécurité.

M. Bonneau recommande de gérer ses mots de passe en fonction de leur importance. Par exemple, pour un blog ou un autre site web informel, on peut souhaiter utiliser un mot de passe plus simple. Mais pour des sites contenant des informations à caractère personnel ou bancaires, utilisez toujours vos mots de passe les plus solides.

D’autres facteurs que la simplicité des mots de passe peuvent également vous mettre en danger.

M. Bonneau explique que des pirates ont volé une base de données contenant 32 millions de mots de passe de RockYou, un site de jeux sociaux populaire, en décembre.

« L’insuffisance de sécurité sur les sites web continue d’exposer les mots de passe », note-il. « En plus, beaucoup de gens utilisent les mêmes mots de passe pour plusieurs sites. » Cette pratique est à bannir car si votre mot de passe est découvert, il risque d’être utilisé pour accéder à des informations stockées sur d’autres sites.

« Une bonne démarche consiste également à enregistrer ses mots de passe le moins possible », poursuit M. Bonneau. « Evitez d’enregistrer votre mot de passe, sauf si vous pensez revisiter fréquemment le site. »

L’option ‘mot de passe oublié’ proposée sur de nombreux sites peut aussi être un point faible pour la sécurité. Elle consiste à vous envoyer une question présélectionnée au cas où vous oublieriez votre mot de passe. Si la question sélectionnée est simple, avec une réponse facile à trouver, comme ‘Dans quelle rue habitez-vous ?’, beaucoup de personnes pourraient accéder à vos informations.

La sécurité des mots de passe implique également de garder votre mot de passe secret et confidentiel.

Le hameçonnage – qui consiste à piéger quelqu’un en l’amenant à entrer son mot de passe sur un site web frauduleux, reste la technique la plus couramment utilisée par les pirates pour obtenir le mot de passe d’un utilisateur. Il faut toujours être très vigilant à n’entrer son mot de passe que sur des sites authentiques. Microsoft donne quelques conseils pour reconnaître les courriers électroniques ou liens de hameçonnage.

Tandis que chacun doit contrôler la solidité et la sécurité de ses mots de passe, les entreprises et institutions ont également la responsabilité de protéger les mots de passe de leur personnel.

« Il incombe à la direction de faire circuler régulièrement des messages sur la sécurité des mots de passe », souligne Dr. Cavoukian. « L’administrateur système d’une société doit également protéger la base de données de mots de passe avec le niveau de sécurité maximum. »

Mais le fait d’encourager les entreprises à utiliser des mots de passe plus solides peut également entraîner des problèmes de sécurité, explique M. Bonneau.

« Des recherches ont montré que pratiquement toutes les sociétés essaient et encouragent leur personnel à utiliser des mots de passe plus solides, comme, par exemple, un nombre de caractères minimum, ou des changements périodiques. Mais la conséquence est que les gens écrivent leurs mots de passe car ils n’arrivent pas à s’en souvenir », explique M. Bonneau. « Cela ne fait qu’empirer la situation de sécurité. »

Parfois, les nouvelles mesures de sécurité qui demandent aux utilisateurs de renforcer leurs mots de passe peuvent en effet être néfastes, admet Dr. Cavoukian. De plus en plus populaires, les systèmes d’évaluation de mots de passe peuvent rejeter les mots de passe proposés par les utilisateurs jugés trop faibles. Mais ces systèmes sont souvent critiqués pour la frustration occasionnée.  

Pourtant, les utilisateurs remercieront un jour tous ceux qui travaillent pour assurer la sécurité de leurs mots de passe, note Dr Cavoukian.

« Même si cela peut en rendre certains fous », conclut Dr. Cavoukian, « en définitive, c’est une très bonne chose ».

Par Rachel Sa

* Indique un champ obligatoire


Comment

You must be logged in to post a comment.