Le casse-tête des mots de passe

Avant tout, un mot de passe doit être compliqué. En effet, il faut éviter un mot de passe qui se trouverait dans un “dictionnaire” de piratage. Les pirates vont essayer tous les mots de passe fréquents. Pour vous donner une idée, voici la liste des 20000 mots de passe les plus utilisés chez les francophones : https://www.cyberveille-sante.gouv.fr/cyberveille/1347-le-projet-richelieu-une-liste-des-mots-de-passe-francais-les-plus-courants

Une autre information très importante, n’importe quel site peut se faire pirater, et dévoiler les mots de passe. Ça été le cas même de Facebook, Linkedin, Myspace. Votre mot de passe doit donc être UNIQUE pour chaque site. En effet, si par exemple votre mot de passe était le même sur Linkedin que sur Google, les hackers ayant dévoilé votre mot de passe Linkedin peuvent avoir dévoilé votre mot de passe Google. En effet, une fois le piratage fait, la liste des mots de passe circule très rapidement sur internet. Vous pouvez vérifier sur le site https://haveibeenpwned.com/ si votre mot de passe circule sur internet.

Complexifier un mot de passe

Changer de mot de passe régulièrement

Il faut changer votre mot de passe régulièrement. D’une part, une fuite suite à un piratage peut prendre du temps à être exploité. D’autre part peut être qu’une personne utilise votre compte sans que vous le sachiez, ce peut être aussi bien un pirate mais aussi un proche. Beaucoup de sites ou d’applications imposent de changer de mots de passe régulièrement. Malheureusement nous avons tous tendance à juste ajouter un chiffre après, pour garder notre super mot de passe.

Par exemple, le mot de passe proposé au chapitre précédent, JarmfJl14$95@M, deviendrait JarmfJl14$95@M1. Mais si on n’y pense tous, les pirates aussi.

Une chose simple, éviter 1, puis 2, puis 3.

Par exemple vous aimez le chiffre 17, vous pouvez très bien faire : JarmfJl14$95@M, puis JarmfJl14$95@M017 puis JarmfJl14$95@M034, puis JarmfJl14$95@M051… Ce peut être aussi des lettres, par exemple celle d’un prénom, celui de votre fils Christophe, mais pour complexifier, ajouter les lettres à 3eme place du mot de passe: JaCrmfJl14$95@M puis, JaHrmfJl14$95@M, puis JaRrmfJl14$95@M….

Utiliser un mot de passe unique par site

C’est la règle la plus importante mais la plus dure à suivre. Comme vu en préambule, les sites sont victimes d’attaque et peuvent dévoiler les mots de passe. Si un site fuit, et si vous utilisez le même mot de passe partout, associé à votre email ou un identifiant identique, c’est l’accès à tous vos sites, toutes vos applications qui aurait fuité.
Néanmoins, nous utilisons de plus en plus de mots de passe, nous pouvons en avoir facilement 50, et il est rare que nous soyons en mesure de retenir 50 mots de passe, mais il y a des méthodes pour cela. Nous allons en voir 3. A vous de choisir votre préféré.

Utiliser un gestionnaire de mot de passe

Il y a plusieurs types de gestionnaires de mot de passe. Nous n’allons pas les lister tous, mais les différencier en 2 parties. Le principe est simple, sauvegarder, de façon sécurisé tous vos mot de passe.
Il y a ceux en ligne, payants ou gratuits, de type Google (passwords.google.com), nordnet (NordPass), LastPass. Nous pouvons nous poser la question que se passerait-il si ces services avaient une faille de sécurité, et que tous nos mots de passe soient dans la nature. Mais ils ont un avantage, être accessibles à l’utilisateur de partout, même si l’utilisateur a perdu son ordinateur.
Il y a ceux qui sont de simples logiciels. Le plus connu, et le seul labellisé par l’ANSS, est KeePass. C’est un logiciel qui va créer un fichier très fortement crypté avec tous vos mots de passe. Ce fichier est lui-même protégé par un mot de passe. En utilisant cette solution, il est donc recommandé d’une part d’avoir un mot de passe très fort pour protéger ce fichier de mot de passe, et bien sur que ce mot de passe ne soit jamais oublié. Il est aussi recommandé de faire plusieurs backup du fichier de mots de passe, en l’enregistrant sur des disques durs externes, des clés USB, peut-être sur une solution en ligne. Mais dans tous les cas, ce serait assez compliqué pour un néophyte informatique.
Par ailleurs, tous ces gestionnaires proposent une fonction pour générer des mots de passe. Vu qu’ils sont enregistrés, plus besoin de se prendre la tête à chercher un mot de passe à retenir, le gestionnaire peut en générer un très complexe.

Utiliser un seul mot de passe, mais personnalisé pour chaque site

Nous avons vu qu’il ne faut pas utiliser le même mot de passe partout, mais rien ne vous empêche d’ajouter une “clé” dans chaque mot de passe qui correspond au site.

Par exemple JarmXXfJl14$95@M pour le site XX et JarmYYfJl14$95@M pour le site YY. En effet, un pirate ne va pas perdre son temps à examiner chaque mot de passe, s’ il ne marche pas ailleurs, il ne marche pas. Nous éviterons quand même de faire par exemple JarmfJl14$95@MFacebook. Le mieux est que chacun crée l’algorithme de sa clé.

Prenons l’exemple de prendre les 2 premières lettres de chaque site, et d’y ajouter 2 lettres (A=C, B=D) Mais ce pourrait très bien être la première et la dernière lettre, ajouter le nombre de caractères (par exemple F8 pour Facebook qui à 8 caractères), utilisé la lettre qui se trouve à droite sur le clavier… . De même, il faut éviter de mettre la clé en tout début ou en toute fin du mot de passe.

Voici un exemple:

Facebook: JarmfHBJl14$95@M

Twitter: JarmfVYJl14$95@M

Instagram: JarmfKOJl14$95@M

Google: armfIIQl14$95@M

Avec cette astuce, vous pouvez même écrire le mot de passe de base sur un post it, si c’est compliqué pour vous de le retenir avec l’astuce de la phrase vu au chapitre 2.

Noter tous vos mots de passe, mais pas n’importe comment

Sur un papier physique, cahier

Le premier conseil, qui est vrai, qui est donné en formation sur la sécurité des mots de passe est de ne jamais les noter en clair. Mais, en dehors des mots de passe très importants (compte professionnel, compte bancaires…) vous pouvez très bien noter vos mots de passe chez vous, sur un papier. Aucun pirate n’aura accès à chez vous. Attention tout de même au cambrioleur, ne notez pas des mots de passe importants sur du papier, comme celui de votre compte bancaire.

Si vous aimez l’informatique, vous pouvez les noter sur un document électronique MAIS, il est recommandé de le sécuriser. Si vous souhaitez le faire de manière électronique, et non sécurisé, veuillez à jamais le faire sur le disque de votre ordinateur, mais sur une clé.

Nous n’en avons pas parlé jusqu’ici, mais ne jamais envoyer via email le mot de passe que nous venons de créer pour ne pas l’oublier.

Faire un cryptage personnel et manuel

Mais il y a une méthode très simple pour noter les mots de passe. Cette méthode peut très bien être faite sur du papier, sur un document word, dans un email. Il faut simplement ajouter des faux caractères dans les mots de passe. Dans les exemples de mots de passe donnés jusqu’ici, il n’y avait jamais de I, jamais de A et jamais de S et jamais de 7. Il suffit d’ajouter aléatoire de I des A des S et des 7 dans le mot de passe. Vous pouvez penser que c’est compliqué pour imaginer les mots de passe, mais depuis le début nous avons remplacé les I par 1, les A par @, les S par $. Il ne devrait donc jamais y avoir ces caractères. Pour le chiffre, l’exercice est plus compliqué, nous pouvons se dire ne pas prendre un chiffre dans la fausse clé, ou par exemple si il y a un A retirer aussi le caractère d’après. Dans tous les cas, c’est à vous de créer votre cryptage.

Pour être plus claire les mots de passe utilisés dans l’exemple seront les suivants:

Facebook = JarmfJl14$95@M
Twitter= M0f1e$né18Jù05
Instagram= Mmh28rg@P15è
Google= J$fdT1nt1nej@lbdlC

Ils deviendront:

Facebook= Jarm7fJls14$a95@M
Twitte= M0f17e$anés18Jù05
Instarmgrae= Mmhi278rgi@P15è
Google = J$fdTs1nt&ane7j@lbdlC

Cette méthode peut aussi être utilisée pour envoyer un code à quelqu’un par email. En effet, il ne faut jamais envoyer un mot de passe par email sans le cacher. Mais vous pouvez ajouter quelques caractères.

Par exemple, si vous êtes né à Paris 15ème, 75015, vous envoyez “Jarm75fJl14015$95@M” à la place de “JarmfJl14$95@M” et vous dite à votre contact de retirer le 75 et le 015.

Faire un décalage

De même, sur votre liste de mot de passe vous n’êtes pas obliger de faire Facebook= Mot de passe de Facebook, mais par exemple Facebook = Faux mot de passe, et le mot de passe de Facebook sera 2 ligne après.
Ce qui faudrait noter de façon claire (en gras c’est pour l’exemple,et donc les pièges sont les 7 les I et les A, et il y a un décalage de 2 ligne dans le fichier, et l’indication en italique est pour expliquer l’exemple )

Facebook = CeùFM7dP529 (Faux mot de passe)
Twitter= C€uSnFm589P (Faux mot de passe)
Instagram= Jarm7fJls14$a95@M (Mot de passe de Facebook)
Google= M0f17e$anés18Jù05 (Mot de passe de Twitter)
Orange= Mmhi278rgi@P15è (Mot passe d’instagram)
Linkedin = J$fdTs1nt&ane7j@lbdlC (Mot de passe de Google)

Orange et Linkedin n’existent pas. Mais pour ajouter un nouveau mot de passe, il faudra juste ajouter une ligne avec “Orange” et le nouveau mot de passe, puis remplacer Orange par le vrai site. Par exemple si je crée un compte sur Amazon ma nouvelle liste sera :

Facebook = CeùFM7dP529
Twitter= C€uSnFm589P
Instagram= Jarm7fJls14$a95@M
Google= M0f17e$anés18Jù05
Amazon= Mmhi278rgi@P15è (Mot passe d’instagram)
Linkedin = J$fdTs1nt&ane7j@lbdlC
Orange= LeNiouve@uM07tDeP@$$e (Mot passe d’amazon)

Cela marche avec le décalage de 2 lignes, mais sera le même si ce serait un décalage d’une ligne, ou de 5 lignes. Si le décalage est trop complexe à gérer, les ajouts des faux caractères sont déjà un très bon exercice.

Vous avez des questions, n’hésitez pas à venir les poser dans le groupe Facebook