Mots de passe
Quasi inexistants au siècle dernier, ils font partie de notre quotidien. Combien de mots de passe et autres codes PIN de cartes à puce devons-nous quotidiennement entrer pour protéger nos ressources ? Mis bout à bout, le temps passé à cette tâche ennuyeuse représente sans doute quelques heures dans l’année. Le prix à payer pour se protéger de certaines menaces (cybercriminels et parfois entourage indélicat !).
Authentification et identification
L’identification consiste à décliner son identité et l’authentification à la prouver.
S’identifier sur une application, c’est donc décliner son identité, éventuellement assorti d’un identifiant. S’authentifier, c’est entrer un facteur de connaissance, de possession ou un caractère biométrique.
- Les facteurs de connaissance regroupent les mots de passe et les codes confidentiels. C’est ce que l’on connaît. Parfois, d’autres connaissances sont sollicitées pour déverrouiller un accès malgré un mot de passe oublié (nom de jeune fille de la mère ou nom de l’animal de compagnie, par exemple).
- Les facteurs de possession sont la preuve de la détention d’un objet (badge, pièce d’identité, carte bancaire…) ou d’un code à usage unique.
- Les éléments biométriques sont l’empreinte digitale, le visage, l’empreinte rétinienne, etc. Un système d’authentification biométrique est toutefois onéreux et pas toujours fiable s’il ne s’appuie que sur une seule caractéristique physique.
Une authentification simple s’appuie sur un seul de ces facteurs tandis qu’une authentification forte repose sur deux ou trois.
Une puce sous la peau, autorisée dans certains pays pour les humains et un peu partout pour les animaux relève à la fois de la possession et de la biométrie.
Mots de passe
L’intérêt d’un mot de passe est de sécuriser l’accès à un service. Mais il peut être attaqué. Plus sa qualité est bonne, moins il risque de l’être. Et pour une fois, la qualité ne coûte pas plus cher que le bon marché ! Il suffit de respecter quelques règles.
On parle de mot de passe fort lorsque son niveau de sécurité permet d’éviter les piratages. Bien sûr, le risque zéro n’existe pas et si un jour des ordinateurs quantiques arrivent sur le marché la technique des mots de passe sera vite dépassée. En attendant, on admet qu’un bon mot de passe comprend au moins dix caractères, dont des majuscules, des minuscules, des chiffres et des caractères spéciaux.
On ne peut pas donner de liste définitive de ces derniers (signes de ponctuation, par exemple). Un caractère peut être accepté par un système d’exploitation et refusé par un autre, une application et pas une autre… Quant aux caractères accentués, ils ne sont pas disponibles dans tous les pays et pas toujours facilement accessibles sur téléphone portable (si vous créez un mot de passe avec un ordinateur de bureau, vérifiez le cas échéant s’il est utilisable avec votre mobile).
Par ailleurs, il est recommandé qu’un caractère spécial se trouve entre le deuxième et la sixième position.
En revanche, il est fortement déconseillé d’utiliser un mot du dictionnaire, une suite de touches du clavier, un ou deux chiffres pour remplacer une sonorité, sa date de naissance, le nom du service pour lequel il a été conçu, etc.
En cas de changement de mot de passe (obligatoire de façon périodique dans certaines organisations), il est préférable de ne pas simplement incrémenter un chiffre de 1.
On peut parfois choisir entre un accès libre ou sécurisé. Par exemple, pour ouvrir une session sur son ordinateur personnel ou pour accéder à des services qui proposent de mémoriser le mot de passe et donc d’accéder directement à l’application. Du point de vue de la cybersécurité, il est bien sûr préférable de ne pas choisir cette option.
Il existe deux types d’accès à l’ordinateur : le compte administrateur et le compte utilisateur. Comme le premier permet d’accéder à toutes les données et fonctionnalités, il doit absolument être sécurisé par un mot de passe fort. Ceci n’est pas très gênant dans la mesure où l’on n’a pas un besoin quotidien de réaliser des tâches d’administrateur…
Quant aux téléphones mobiles, ils conservent des historiques de navigation et autre données susceptibles d’être exploitées. Il est toujours possible de paramétrer le verrouillage automatique et les moyens de déverrouiller avec un code (indépendant du code PIN).
Retenir un mot de passe
Toutes ces recommandations sont bien gentilles mais si vous devez retenir plusieurs dizaines de combinaisons de type eA%6fRTd21#P2, votre cerveau ne sera plus suffisamment disponible pour lire le contenu de ce site web. Fâcheuse perspective.
Sur une dizaine de caractères, il est parfaitement possible d’utiliser la phonétique. On parle de phrase de passe si cette phonétique est celle d’une phrase (qui peut être absurde du moment qu’elle est mémorisable).
Exemples :
Gu10%2raB! (j’ai eu \(10\%\) de rabais !)
CvH1fer@_D9 (c’est vache un fer à souder neuf)
1.3di2-DK7 (interdit de tirer des cassettes)
Une autre possibilité est de ne prendre que les premières lettres des mots d’une phrase (ou les deuxièmes lettres, ou les dernières, ou d’écrire la phrase à l’envers…).
À l’instar des abréviations, certains raccourcis vous sont peut-être soit familiers, soit très personnels.
Exemples (pour matheux) :
Ln4=1,3863 (le logarithme népérien de 4 est égal à 1,3863)
e1.2Apprx3,32 (exponentielle de 1,2 est approximativement égal à 3,32)
Divulgation
Si le mot de passe est faible, on parle de divulgation par négligence. De même si on l’écrit sur un post-it ou un papier caché sous son clavier.
On n’entre pas un mot de passe sur un site web non sécurisé (http). Mais les sites qui vous en demandent un le sont, en principe. Attention aussi aux réseaux wifi non sécurisés. Situation plus fréquente !
Enfin, veillez à ne pas divulguer vos secrets en étant piégé par des techniques d’ingénierie sociale. Si un cybercriminel cherche délibérément à vous piéger (vous et pas quelqu’un d’autre), les conséquences peuvent être dramatiques.
Trop nombreux !
Outre les nombreuses recommandations que nous avons listées, il en existe une dernière qui multiplie les difficultés : celle de ne pas utiliser le même mot de passe pour des applications différentes.
Et là, vous blêmissez certainement. Comment retenir des dizaines, voire des centaines de suites de caractères conçues pour être difficiles à trouver ?
Le point d’identification unique est un compte qui vous permet d’accéder à plusieurs services : compte Google, Facebook, LinkdIn, FranceConnect…
Cette solution est pratique mais pas forcément la plus sûre. Pourquoi recommander des mots de passe différents pour qu'en fin de compte vous en utilisiez un seul ? À vous de juger si telle ou telle application nécessite de grandes ou de petites précautions…
Le coffre-fort de mots de passe est un logiciel dédié à la gestion de vos précieux sésames. Son accès est chiffré et, étant sur le cloud, vous y avez accès partout. Il peut aussi générer des mots de passe particulièrement coriaces.
Deux problèmes : il peut être fastidieux de l’interroger plusieurs fois par jour et si l’on vous vole son code d’accès, ce sont toutes vos applications qui sont en danger.
Vous pouvez d’ailleurs construire votre propre coffre-fort sur un fichier texte ou un tableur que vous sécurisez et que vous conservez en local et sur le cloud (mais attention aux malwares !).
Exemple de coffre-fort :
Avec Word :
Fichier \(\Rightarrow\) Informations \(\Rightarrow\) Protéger le document \(\Rightarrow\) Chiffrer avec mot de passe.