« Fichtre, j’ai encore oublié mon mot de passe ! » Si vous êtes du genre à prononcer régulièrement ce genre de phrase, cet article est pour vous. Vous savez, sans doute, qu’il ne faut jamais réutiliser le même mot de passe. Et que ce mot de passe ne doit être ni 12345, ni votre date de naissance, ni « password », ni même votre alcool préféré. Et pourtant, vous avez failli et cédé à la facilité. Au manque d’imagination. A la peur de ne pas vous souvenir. Et quand vous vient l’idée saugrenue de changer de mot de passe pour une formule c0mpl3 > < e, vous l’oubliez inévitablement.
Après des années d’usage intensif d’Internet, vous en avez créé, des comptes. Mais sur quels services ? Avec quel mot de passe ? Quelles informations personnelles ? Et, surtout, quelle vulnérabilité ? A l’heure où les opérations de piratage massives font les gros titres, vous vous dites, comme une bonne résolution sans cesse repoussée, qu’il faudrait faire le ménage, recommencer à zéro, cette fois avec une bonne hygiène informatique, promis, juré, craché, on ne nous y prendra plus. Ça tombe bien : chez Pixels, on a voulu faire pareil.
Par où commencer ?
Entre votre compte Lycos créé à l’ère des dinosaures et votre inscription sur Mastodon, le dernier réseau social à la mode, vous avez créé d’innombrables comptes, plus ou moins perdus dans les tréfonds des Internets. Faut-il les retrouver tous, un à un ? Pas forcément – d’autant que la tâche paraît presque impossible.
Commençons par classer les priorités dans une bonne vieille liste : qu’est-ce qu’il est vraiment important de protéger pour vous ? Voici notre liste, à vous de composer la vôtre.
Priorité numéro 1 :
Ma boîte e-mail perso
Ma boîte e-mail pro – et autres plates-formes sensibles utilisées au travail
Mon compte Facebook et autres réseaux sociaux utilisés fréquemment
L’espace client de ma banque
Mon compte Apple (le cas échéant)
Priorité numéro 2 :
Les sites marchands, à partir desquels on effectue des transactions bancaires (AirBnb, Amazon…)
Les sites d’administrations (Ameli, impôts…)
Choisir de bons mots de passe, faciles à mémoriser
Comment choisir un bon mot de passe ? Les critères qui définissent la robustesse d’un mot de passe sont multiples. Mais certains sont plus efficaces que d’autres.
- La longueur
Pendant longtemps, on a répété aux internautes qu’il fallait qu’ils choisissent des mots de passe comportant un maximum de « caractères spéciaux » et autres signes cabalistiques obscurs. Une consigne trompeuse : certes, ajouter des caractères spéciaux peut renforcer la sécurité des mots de passe. Mais cela les rend aussi plus difficiles à mémoriser, incitant donc les utilisateurs à les réutiliser sur plusieurs sites ou à les imaginer les plus courts possibles, et, donc à les rendre moins sûrs.
L’idéal [est] de recourir à une phrase de passe
Utiliser des caractères spéciaux est d’autant moins la panacée qu’il y a un facteur beaucoup plus efficace pour solidifier un mot de passe : le rendre plus long ! L’idéal étant même de recourir à une phrase de passe : une véritable suite de mots, beaucoup plus simple à mémoriser. Attention à ne pas choisir d’éléments en rapport direct avec vous (votre citation préférée, votre lieu de naissance…). L’idéal est de choisir des mots au hasard, mais une véritable phrase, avec ponctuation par exemple, est très efficace également.
En schématisant, le mot de passe « M0t-P@ss » (huit lettres, chiffres ou caractères spéciaux) est beaucoup plus facile à deviner qu’une suite de mots aléatoires comme « cactus lampe journal romarin pancetta » ou même une véritable phrase comme « On m’a dit le plus grand bien de vos harengs pomme à l’huile ! » (qui comporte, en plus, des caractères spéciaux).
L’adoption de ce sain réflexe rencontre un obstacle rageant et difficile à contourner : les sites et services en ligne sont encore trop nombreux à rendre impossible l’utilisation de phrase de passe, en interdisant les accents, les espaces ou en limitant la longueur acceptée. Dans ce dernier cas, afin de muscler tout de même la solidité du mot de passe, ajouter des caractères spéciaux peut servir de palliatif. Cela tombe bien : souvent, ces mêmes sites continuent de l’exiger.
- Son caractère unique
Il est très important d’utiliser pour chaque site un mot de passe unique. Une technique très courue des pirates consiste, lorsqu’un site est piraté et que ses bases de données sont publiées, à récupérer des couples identifiant et mot de passe et à les réutiliser sur d’autres sites. Varier les mots de passe permet de cloisonner les dégâts d’un piratage.
- Changer souvent de mot de passe ? Pas forcément
Il est souvent conseillé aux internautes de changer régulièrement de mot de passe. Ce conseil, contestable, figure dans les recommandations de l’autorité française de sécurité informatique en matière de mots de passe (à l’inverse de son homologue britannique). En réalité, les scientifiques qui étudient le comportement des internautes sont de plus en plus nombreux à penser que cette contrainte conduit les utilisateurs à recourir à des mots de passe plus simples, plus prévisibles et à les conserver de manière non sécurisée (sur un post-it par exemple).
« A part s’il y a des raisons de croire qu’un mot de passe a été compromis ou partagé, obliger à changer régulièrement un mot de passe peut faire plus de mal que de bien », écrivait par exemple en 2016 Lorrie Cranor, professeure à l’université de Carnegie Mellon et spécialiste du sujet. Autrement dit, dans la plupart des cas, il vaut mieux avoir un mot de passe fort dont on se souvient et qui ne change jamais que des mots de passe plus faibles mais différents chaque mois.
Pour résumer à grands traits : les mots de passe doivent être longs et uniques. D’autres facteurs (changement régulier, caractères spéciaux, caractère aléatoire) peuvent être mobilisés, dans la mesure où ils n’incitent pas à noter ou à réutiliser ledit mot de passe (et donc à en affaiblir la sécurité).
- Activer la double authentification : très fortement recommandé
En complément du mot de passe, il existe une technique que nous recommandons très fortement pour protéger les comptes les plus sensibles (boîtes mail, voire réseaux sociaux) : la double authentification. Elle consiste à demander à l’utilisateur un autre élément que le mot de passe pour se connecter. Cela peut prendre plusieurs formes : la plus commune est l’envoi par SMS d’un code à chaque connexion.
Mais elle peut aussi être réalisée sous forme d’application pour téléphone fournissant ledit code même sans connexion téléphonique (Google Authenticator par exemple, compatible avec de nombreux services) voire de clé USB spéciale (la méthode la plus simple et la plus sûre).
Et là, vous nous dites : « oui mais c’est casse-pieds* ». Pas tant que ça : il est possible d’être mémorisé sur un appareil que vous utilisez régulièrement, pendant une certaine durée, et de ne pas avoir à vous « double-authentifier » pendant un mois par exemple. Et là, vous nous dites : « oui mais c’est quand même casse-pieds* ». Certes, mais croyez-nous, moins que d’être piraté.