25 novembre 2021

Arrêtez de gérer vos mots de passe n’importe comment

Godefroy de Compreignac - CEO

Il m’arrive régulièrement qu’un membre de la famille m’appelle paniqué après avoir perdu un mot de passe ou s’être fait pirater un compte, ou qu’un nouveau collègue n’ait pas de très bonnes pratiques à ce sujet, j’ai donc écrit cet article pour expliquer les risque et les bonnes pratiques de base.

Vous avez quelques mots de passe différents ? Avec des chiffres et des symboles pour que ce soit super dur à trouver ? Vous avez bien quelques mots de passe simples ou utilisés à plusieurs endroits mais vous vous dîtes que ce n’est pas si grave et que vous verrez plus tard ?

Peut-être même que vous avez un système super malin pour définir de tête un mot de passe différent par service ? C’était mon cas pendant des années et je me suis rendu compte que j’étais loin d’être le seul. Très mauvaise idée. (voir la partie “Leaks” plus bas).

Prenez 30 min pour comprendre et mettre en place les bonnes pratiques, ça vous évitera de fâcheuses pertes capillaires plus tard 😄

Quels sont les risques ?

Vos mots de passe peuvent être compromis de nombreuses manières et pour de nombreuses raisons. Outre les faits largement connus qu’il faut éviter de noter un mot de passe quelque part ou d’en choisir un trop simple, nous allons voir ici les principaux risque pour vos mots de passe.

📧 Boîte mail

Votre point de faiblesse principal sur internet est votre boîte mail, car :

  • C’est par mail qu’on peut récupérer le mot de passe de n’importe quel service sur lequel on est inscrit en utilisant la fonctionnalité “Mot de passe oublié”,
  • Elle contient bon nombre de vos communications depuis plusieurs années (conversations privées, liste de tous vos services, etc) ainsi que tous vos contacts,
  • Une fois qu’on y a accès, on peut se faire passer pour vous pour faire à peu près n’importe quoi.

Si on ne la protège pas correctement, des personnes mal intentionnées peuvent s’en servir pour vous nuire ou pour vous demander une rançon. On peut par exemple vous bloquer des services ou vous faire du chantage (diffusion de données confidentielles à tous vos contacts) si vous ne payez pas une rançon en Bitcoin.

💦 Leaks

De nombreux gros sites ont été piratés ces dernières années, ils y passent tous les uns après les autres : LinkedIn, Facebook, Adobe, Dropbox, etc. C’est au total plus de 11 milliards de comptes qui sont compromis dont on a connaissance, et probablement beaucoup plus.

Par exemple : LinkedIn s’est fait pirater sa base de données en 2016. Si vous vous connectez actuellement à votre boîte mail avec le même mot de passe que vous utilisiez en 2016 sur LinkedIn, il y a des chances pour que votre adresse email et votre mot de passe figurent dans une liste que des pirates peuvent utiliser pour se connecter à votre boîte mail.

Vous pouvez vérifier si votre adresse mail figure sur une des listes majeures sur : https://haveibeenpwned.com/

Attention, même si votre adresse n’y figure pas, cela ne veut pas nécessairement dire que vos identifiants sont en sécurité.

🎣 Phishing

Les sites de phishing sont des sites se faisant passer pour un autre dans le but de vous subtiliser des informations.

Par exemple : vous recevez un email de partage d’un document Google Drive. Vous cliquez sur le document dans l’email, cela vous emmène à une fausse page de connexion Google pour accéder au soi-disant Google Drive. Vous entrez vos identifiants, le site frauduleux les enregistre et vous redirige vers une autre page ou vous dit qu’ils sont incorrects.

Idem pour votre banque, la CAF, l’URSSAF, Ameli, etc.

🔨 Brute force

Si vous utilisez un mot de passe couramment utilisé, présent dans le dictionnaire ou trop court (moins de 10 caractères), il est souvent possible de trouver votre mot de passe en tentant de nombreuses combinaisons. Cette technique est appelée “brute force” .

Comment sécuriser mes mots de passe ?

✨ Principes

De grands principes découlent des observations précédentes, il faut :

  • Choisir un mot de passe long et complexe
  • Utiliser un mot de passe différent sur chaque boîte mail et service
  • Ne pas noter ses mots de passe sur papier, dans un fichier numérique ou sur un service en ligne non spécialisé
  • Faire attention aux pages de connexion frauduleuses

“ Mais ça a l’air compliqué ! ”

En fait non, il existe maintenant des outils et des méthodes permettant de simplifier tout cela et de vous protéger bien plus efficacement.

Je les utilise pour sécuriser tous mes identifiants, ceux de mon entreprise et de mes collaborateurs. Je recommande fortement d’en faire autant 😉

🗄 Gestionnaire de mot de passe

Certains services offrent un outil et un stockage en ligne pour :

  • Générer automatiquement un mot de passe complexe
  • Enregistrer les mots de passe de tous vos sites web et applications
  • Enregistrer des notes (code d’entrée de l’immeuble, journal intime, etc)
  • Utiliser un mot de passe principal pour accéder au tout
  • Remplir automatiquement les formulaires de connexion
  • Auditer la sécurité de l’ensemble de vos mots de passe

Le tout de manière sécurisée, sur votre ordinateur et sur votre smartphone

Toutes les données sont d’abord chiffrées sur votre ordinateur avec votre mot de passe principal, avant d’être envoyées sur le stockage en ligne. Le service de gestion de mots de passe utilisé ne peut donc pas accéder à vos mots de passe, il est d’ailleurs audité régulièrement pour sa sécurité.

Quelques solutions intéressantes du marché :

  • Bitwarden : Open source, offre gratuite pour un compte individuel. Offres payantes très accessibles.
  • LastPass : Gratuit pour un seul appareil. Puis payant à partir de 2,90 €/mois. C’est le service que j’utilise. L’interface n’est pas incroyable mais ça marche bien !
  • Dashlane : Gratuit jusqu’à 50 mots de passe stockés. Puis payant à partir de 2,49 €/mois.
  • 1Password : Un des leaders du marché. Offre à 2,99$/mois pour un compte individuel.
  • KeePass : Gratuit et open source, mais nécessite de sauvegarder vous-même la base de données chiffrée (sur Dropbox ou Google Drive par exemple).

Une autre solution semble très intéressante : Lesspass, qui a l’avantage de ne rien stocker sur un serveur, d’être gratuite et open source. C’est une solution “stateless” qui génère un mot de passe en fonction d’une clé secrète et de critères propres au site utilisé.

🔑 Choix du mot de passe principal

Aussi appelé “master password” ou “mot de passe maître”, Le mot de passe principal doit être unique et particulièrement complexe.

Mais c’est le seul dont vous devez vous souvenir et vous ne devez pas le noter. Vous devez donc avoir une méthode particulièrement bonne pour qu’il soit inviolable et facile à mémoriser pour vous.

La méthode la plus efficace est de choisir 4 ou 5 mots de manière aléatoire et de les écrire tels quels séparés par des espaces.

Votre mot de passe peut être : “mets les asperges dans le babouin”

(en fait non, n’utilisez pas ce mot de passe puisqu’il est écrit ici 😋)

Cette BD illustre très bien l’idée :

XKCD 936 : Password Strength

📱 Validation en deux étapes

Une méthode complémentaire particulièrement efficace est l’utilisation de la validation en deux étapes, appelée Two Factor Authentication (2FA) en anglais.

Il s’agit d’ajouter un code de validation à vos identifiants habituels, pouvant être obtenu sur votre mobile uniquement.

Vous avez probablement déjà du recopier un code SMS envoyé par votre banque pour valider un paiement sur internet. C’est l’idée.

Les grands acteurs d’internet proposent désormais tous des méthodes de validation en deux étapes utilisant soit les SMS soit une application mobile, la plus répandue étant Google Authenticator.

Je vous recommande de l’activer sur tous vos comptes lorsque c’est possible :

De nombreux service proposent d’utiliser Google Authenticator comme méthode de validation en deux étapes. C’est particulièrement pratique et efficace.

Je recommande l’application Authy qui est compatible avec Google Authenticator et qui peut faire une sauvegarde sécurisée de toutes vos clés de validation (il vaut mieux éviter de les perdre !) sur ses serveurs.

Pour s’inscrire et l’installer, c’est gratuit : https://authy.com/

Et bien sûr pour stocker le mot de passe de votre compte Authy, utilisez votre gestionnaire de mots de passe (Dashlane ou Lastpass).

🏆 Ca y est, vous détenez maintenant les clés de la sécurité de vos comptes !

Pour résumer, appliquer ces trois solutions à l’unisson est pratique et vous protège :

  • Un gestionnaire de mots de passe
  • Un bon mot de passe principal
  • La validation en deux étapes

Il existe des méthodes complémentaires (hardware spécialisé par exemple) pour les besoins en sécurité plus avancés, mais déjà si vous appliquez bien ces 3 points, votre risque se rapproche de zéro 😉