Dev
Digital-Tips

L'enfer des mots de passe

By Christophe Cluizel

- 9 minutes read - 1714 words

Cet article est adressé à toutes les personnes souhaitant en finir avec la perte incessante de ses mots de passe et améliorer la gestion et la sécurité de ces derniers.

Mais qui donc perd ses mots de passe ?

Ne vous est-il jamais arrivé de perdre votre mot de passe pour vous connecter à un de vos comptes en ligne ou de perdre le bout de papier sur lequel il était écrit ?

Si vous me répondez que non, que vous avez un mot de passe différent pour chacun de vos comptes, que vous les connaissez tous par cœur et que vos mots de passe contiennent plus de 12 caractères avec minuscules, majuscules, chiffres et caractères spéciaux, alors bravo ! Votre politique de gestion de mots de passe semble efficace et vous pouvez vous rendre directement à la section Le coffre-fort de mots de passe, la solution à tous nos problèmes ? pour découvrir une alternative à l’apprentissage par cœur de vos mots de passe.

Sinon, il est fort possible que votre gestion des mots de passe comporte des risques plus ou moins critiques et je vous conseille de lire cet article dans sa totalité. Nous verrons ce qu’est une bonne politique de mots de passe, quels sont les risques d’une mauvaise gestion de mots de passe et comment réduire ces risques.

Qu’est-ce qu’un “bon mot de passe” ?

Même s’il est difficile de donner des règles absolues caractérisant un “bon mot de passe” (plutôt appelé mot de passe fort), il est possible d’énoncer quelques critères de base. Un mot de passe doit :

  • avoir une longueur minimum de 12 caractères
  • contenir des minuscules
  • contenir des majuscules
  • contenir des chiffres
  • contenir des caractères spéciaux (exemple : &,;:!%@#-*+)

Plus votre mot de passe respecte les critères ci-dessus, plus il sera considéré comme robuste et difficile à “deviner” par une tierce personne (dans le domaine de la cryptographie, le terme utilisé pour “deviner un mot de passe” est casser un mot de passe). La façon la plus simple et la plus efficace pour générer un mot de passe fort est d’utiliser un générateur de mot de passe aléatoire configuré pour respecter les critères énoncés précédemment. Le générateur aléatoire de Lastpass est un très bon exemple.

Pour estimer la robustesse de vos mots de passe, vous pouvez utiliser des sites comme celui-ci ou celui-là (Attention : ne jamais entrer un mot de passe que vous utilisez, mais une variante de celui-ci. En effet, rien ne vous garantit que le site en question n’enregistre pas les mots de passe testés à des fins malveillantes).

Pourquoi est-il difficile de gérer des mots de passe forts ?

Avoir un mot de passe fort n’est pas la seule garantie pour une bonne politique/gestion de mots de passe. Il ne convient pas d’avoir un seul mot de passe fort pour tous vos comptes, mais d’en avoir un différent pour chacun d’eux. En effet, si vous utilisez le même partout, il suffit qu’une personne malveillante récupère ce mot de passe d’une façon ou d’une autre (piratage, fuite d’informations, etc.) pour que tous vos comptes soient compromis instantanément. Il faut donc avoir un mot de passe fort et unique pour chacun de vos comptes.

La multiplicité des mots de passe forts engendre une nouvelle difficulté. Comme un mot de passe fort est compliqué à retenir et qu’il faut en avoir plusieurs, vous pourriez être tentés de les écrire sur un support quelconque et non-sécurisé (feuille de papier, document Excel, etc.). Hors cela affaiblit la sécurité de vos mots de passe, car il suffit de mettre la main sur ce document pour que l’ensemble de vos comptes soient accessibles. Il faut donc ne jamais écrire ses mots de passe sur un support non sécurisé.

Quels sont les risques à utiliser un mot de passe faible ?

Mais pourquoi utiliser des mots de passe forts, car personne n’essaiera de trouver mon mot de passe Facebook lilou1994 en essayant tous les mots de passe possibles à la main. En effet, une personne malveillante ne testera pas tous les mots de passe manuellement. Elle utilisera un programme ou logiciel pour tester des mots de passe automatiquement et de façon très rapide (plusieurs milliers par seconde). Il existe plusieurs techniques pour trouver un mot de passe.

La plus basique est la technique d’attaque par force brute. Celle-ci consiste à tester toutes les combinaisons possibles d’un mot de passe. Par exemple, si le mot de passe comporte 3 lettres, le programme va remplacer la première lettre par chacune des lettres de l’alphabet et tester à chaque fois si le mot de passe est le bon. Il va ensuite faire de même avec la seconde et troisième lettre. Cette technique n’est pas utilisée, car la longueur du mot de passe et la diversité de caractères (minuscule, chiffre, etc.) augmentent le temps de calcul très très rapidement. En effet, si l’on considère que le mot de passe a une longueur de 8 caractères et contient uniquement des lettres de l’alphabet en minuscule, alors il faut tester 26^8 combinaisons (soit 209 milliards combinaisons). En ajoutant seulement les lettres majuscules, on passe alors à 52^8 combinaisons (soit 53 billions combinaisons).

Une technique beaucoup plus utilisée est la technique d’attaque par dictionnaire. Plutôt que de tester toutes les combinaisons une à une, le logiciel va tester des mots contenus dans un dictionnaire. Celui-ci peut être composé des mots de la langue française (ou autre langue), mais aussi de mots de passe très usités comme 123456, password, 111111. Le programme va également tester des variantes de ces mots, en ajoutant par exemple un chiffre au début ou à la fin d’un mot (pomme8, chat2000) ou en remplaçant certaines lettres par une majuscule ou un chiffre (mAison, mai5on). Cela réduit drastiquement le nombre de combinaisons à tester tout en augmentant les chances de trouver la bonne. De plus, un grand nombre de personnes utilisent des mots de passe déjà référencés dans ce type de dictionnaire, par facilité et manque de vigilance.

Il existe plusieurs autres techniques d’attaque de mots de passe, mais l’objectif ici était de vous présenter les deux plus accessibles et non pas une liste exhaustive.

Le coffre-fort de mots de passe, la solution à tous nos problèmes ?

Un coffre-fort de mots de passe (aussi appelé gestionnaire de mots de passe) est un logiciel qui s’installe sur l’ordinateur ou dans le navigateur (Firefox, Chrome, etc.) et qui permet de stocker de façon sécurisée des mots de passe. Pour “ouvrir” le coffre-fort et accéder à vos mots de passe, vous avez besoin d’une “clé”. Cette clé est elle-même un mot de passe qui doit être très robuste et apprise par cœur. En effet, il est primordial de conserver cette clé secrète, car elle donne accès à tous vos mots de passe stockés.

Keepass est un exemple de gestionnaire de mots de passe open-source qui s’installe et stocke les mots de passe sur votre ordinateur. Efficace et fiable, sa faiblesse est due à son installation sur un ordinateur donné et donc l’impossibilité d’accéder à vos mots de passe à partir d’un autre appareil (ordinateur, smartphone, etc.).

Pour pouvoir avoir accès à ses mots de passe sur plusieurs supports, il faut donc se tourner vers un gestionnaire de mots de passe qui stocke les mots de passe en ligne et qui puisse les synchroniser sur plusieurs appareils. Pour ma part, j’ai choisi Bitwarden que j’utilise quotidiennement. Celui-ci peut notamment s’installer en tant que plugin dans votre navigateur ou en tant qu’application sur votre smartphone. Il permet de stocker des mots de passe, contient un générateur configurable de mots de passe forts et le plugin remplit automatiquement les formulaires de login. Le stockage en ligne des mots de passe et la synchronisation permettent de pouvoir y accéder de n’importe où. Vous pourriez légitimement vous demander s’il est fiable de confier tous vos mots de passe à une entreprise tierce, qui plus est sur Internet. Bitwarden a publié un article pour répondre à cette question.

Pour résumer, voici les deux points qui garantissent la fiabilité du logiciel Bitwarden :

  • C’est un logiciel open-source, ce qui signifie que le code source est public sur le web. N’importe qui peut lire et vérifier le code pour trouver d’éventuelles failles ou opérations malveillantes.

  • Les mots de passe ne sont pas stockés en clair chez Bitwarden. Cela signifie que lorsque vous ajoutez un nouveau mot de passe dans votre coffre-fort, par exemple toto2000!, celui-ci est transformé (le terme technique est haché) avant d’être envoyé et stocké sur Internet, par exemple en 4e#df7zfsd89. Cette opération est irréversible. À partir de cette nouvelle chaîne de caractères, il n’est pas possible de retrouver votre mot de passe original. Bitwarden possède donc tous vos mots de passe, mais ne peut pas les utiliser car ils sont chiffrés/codés.

Voici les avantages à utiliser un gestionnaire de mots de passe :

  • vous ne pouvez plus perdre vos mots de passe ;

  • vous pouvez les stocker de manière sécurisée et les consultés de n’importe où ;

  • ce gestionnaire peut remplir automatiquement les formulaires de login ;

  • vous pouvez créer un mot de passe fort et unique pour chacun de vos comptes, tout en ayant un seul mot de passe à retenir.

Les inconvénients peuvent être :

  • devoir retenir un mot de passe fort par cœur (la clé de votre coffre-fort) ;

  • se discipliner pour créer et stocker les nouveaux mots de passe dans le coffre-fort ;

  • faire confiance à une entreprise tierce pour la gestion et stockage de vos mots de passe (Il y a toujours un compromis à faire entre sécurité et facilité d’utilisation. Pour une meilleure sécurité, il vaut mieux utiliser un coffre-fort de mots de passe installé sur son ordinateur, comme Keepass, mais cela ajoute des contraintes d’utilisation).

Conclusion

Une bonne gestion de mots de passe exige d’avoir un mot de passe fort et unique pour chacun de vos comptes. Pour cela, un gestionnaire de mots de passe est grandement recommandé. Cet outil permettra de stocker vos mots de passe de manière sécurisée et de les rendre consultables à tout moment.

Références

Tool
Security