Le point essentiel à retenir en matière de mots de passe est de privilégier la longueur. On recommande généralement un minimum de 15 caractères. Il est aussi déconseillé de réutiliser les mêmes mots de passe d’un site à l’autre. En effet, si c’est le cas et que votre mot de passe est divulgué ou déchiffré, rien n’empêche alors les attaquants d’accéder à d’autres comptes avec le même mot de passe.
Nous vous suggérons de vous abonner à https://haveibeenpwned.com/ afin d’être informé(e) lorsque des identifiants sont divulgués. Si une fuite de données contenant votre adresse électronique est détectée sur Internet, vous serez certainement prévenu(e). Vous pourrez alors changer votre mot de passe avant qu’il soit utilisé abusivement.
Comment mémoriser des mots de passe uniques plus facilement ?
Se souvenir de nombreux mots de passe uniques n’est pas une tâche facile. Beaucoup de ceux qui utilisent des mots de passe uniques créent des listes numériques ou papier. Si quelqu’un accède à ces notes, il/elle peut alors se connecter à tous les sites consignés. Comment empêcher cela ?
Les gestionnaires de mots de passe
Les gestionnaires de mots de passe sont des logiciels chargés de « se souvenir » à votre place des mots de passe et d’autres informations confidentielles. Ils chiffrent les données que vous y stockez, si bien que vous serez le/la seul(e) à pouvoir les utiliser. La sécurité des gestionnaires de mots de passe dépend, comme nous allons le voir dans l’un des chapitres suivants, d’une clé et pas de l’algorithme utilisé. Autrement dit, si vous perdez l’accès à la base de données qui contient tous vos mots de passe chiffrés, personne d’autre ne pourra y accéder sans cette clé.
Mémoriser une longue clé est impossible. Vous avez donc la possibilité d’employer un mot de passe principal pour déchiffrer cette clé qui est à son tour utilisée pour déchiffrer les données. Fondamentalement, la clé et le mot de passe principal partagent le même niveau de sécurité. C’est un gain en matière de facilité d’utilisation au prix d’une perte de sécurité. Un mot de passe principal est plus facile à mémoriser qu’une longue clé pleine de bits aléatoires. Un mot de passe principal doit toutefois être très sécurisé : c’est-à-dire long et difficile, voire impossible à deviner. Certains gestionnaires de mots de passe vous proposent d’autres moyens de récupérer votre compte. Méfiez-vous si ces informations sont stockées hors de votre contrôle. Cela signifierait alors que quiconque ayant accès à ces données de récupération pourrait déchiffrer vos mots de passe.
Les gestionnaires proposent également des fonctionnalités d’aide à la création de mots de passe robustes. De nombreux gestionnaires mesurent également la sécurité de votre mot de passe grâce à un outil semblable au calcul d’entropie que nous avons examiné plus tôt. Presque tous les gestionnaires de mots de passe offrent des modules complémentaires optionnels pour navigateurs qui vous permettent de remplir automatiquement les informations d’identification sur les sites Web que vous consultez. La plupart fonctionnent également sur différentes plateformes – vous pouvez ainsi utiliser la même application sur vos ordinateurs, tablettes et mobiles.
Autre fonctionnalité utile : il est parfois possible de recevoir des notifications lorsque des fuites de mots de passe ont lieu sur des services que vous utilisez. Quand vous recevez une notification de ce type, le gestionnaire vous aide à changer votre mot de passe et empêche ainsi les attaquants d’accéder à votre compte à partir des identifiants divulgués.
Lorsque vous choisissez un gestionnaire, tenez compte des modalités de stockage des bases de mots de passe et des clés de chiffrement. Où et comment sont-ils stockés ? Certains services vous permettent de stocker vos mots de passe dans une base de données en local. Vous êtes alors la seule personne à avoir accès au fichier de la base de données. En fonction du logiciel, vous pourrez peut-être synchroniser la base de données sur votre ordinateur et vos autres appareils par le biais de divers services comme Dropbox ou iCloud. Certains gestionnaires de mots de passe stockent la base de données sur leurs serveurs. La sécurité dépend alors de la gestion du chiffrement et des clés de chiffrement. Certains services doivent stocker la clé de chiffrement principale sur leurs serveurs – ce qui leur donne également la possibilité de déchiffrer la base de mots de passe. D’autres services, notamment 1Password, stockent la base de mots de passe soit dans un lieu de votre choix (version autonome) soit sur leurs serveurs (version par abonnement). Dans tous les cas, vous êtes le/la seul(e) à avoir la clé de chiffrement principale.
Comme vous l’avez peut-être déjà compris, utiliser un gestionnaire de mots de passe, c’est en quelque sorte « mettre tous ces œufs dans le même panier ». Si un(e) attaquant(e) accède à votre base de mots de passe et parvient à la déchiffrer, vous les perdez tous d’un coup. Néanmoins, utiliser un gestionnaire de mots de passe comporte généralement plus d’avantages que de risques. Ce service vous permet de stocker de manière sécurisée des mots de passe longs et uniques, autrement quasi impossibles à mémoriser. Si vous perdez un mot de passe lors du hacking d’un site Web, vous ne mettez pas en danger vos autres comptes, car vous n’utilisez jamais le même mot de passe. Utilisez un mot de passe principal adapté et long pour protéger votre base de données. Vous pouvez même utiliser une phrase secrète (ou une série de mots aléatoires) pour que votre mot de passe soit encore plus long.
Si vous craignez qu’on accède à vos identifiants, vous avez la possibilité de mettre en place une protection complémentaire, par exemple, un système d’authentification multifactorielle.
L’authentification multifactorielle
L’authentification multifactorielle consiste à s’authentifier auprès d’un service en employant plusieurs facteurs. Ces facteurs sont généralement définis comme :
Quelque chose que vous savez (une connaissance, p. ex. un mot de passe).
Quelque chose que vous avez (une possession, p. ex. un mobile ou un jeton d’authentification).
Quelque chose que vous êtes (quelque chose d’intrinsèque, p. ex. une empreinte digitale ou rétinienne).
La double authentification (ou vérification en deux étapes) est l’authentification multifactorielle la plus courante. Le paiement par carte bancaire en est une bonne illustration. Lorsque vous payez par carte bancaire, vous utilisez quelque chose que vous avez (la carte de crédit) et quelque chose que vous savez (votre code PIN) afin d’autoriser le paiement.
Un nom d’utilisateur et un mot de passe ne forment qu’un seul facteur. Ils entrent tous deux dans la catégorie « quelque chose que vous savez ». Certains sites continuent d’utiliser des questions de sécurité – notamment pour récupérer un mot de passe. Une fois de plus, cela entre dans cette même catégorie. Et pire... les réponses à ces questions de sécurité sont généralement très faciles à trouver sur Internet.
L’objectif de l’authentification multifactorielle est de renforcer la sécurité de l’authentification. Vous avez peut-être déjà entendu parler d’atteintes à des sites Web que vous utilisez ou de fuites de noms d’utilisateur et de mots de passe sur Internet. Si vous n’utilisez pas de système d’authentification multifactorielle (p. ex. de double authentification, sa déclinaison la plus commune), quiconque possède ces identifiants peut alors accéder à votre compte. Si vous utilisez un même mot de passe pour plusieurs services, chacun est alors exposé à des abus commis par quiconque aura accès à vos identifiants. Si vous disposez d’un service de double identification, l’attaquant(e) doit également disposer d’un accès à un second facteur pour pouvoir se connecter à votre compte.
Quelques exemples courants de seconds facteurs :
Les SMS (il faut avoir accès à un mobile pour pouvoir se connecter).
Les mots de passe à usage unique, à partir d’une application ou d’un jeton d’authentification (un petit appareil qui génère des mots de passe à usage unique).
Les clés de sécurité, comme Yubikey ou la clé Titan de Google.
Les notifications push (p. ex. l’application Google ou Microsoft Authenticator).
Les empreintes digitales ou la reconnaissance faciale.
Restez prudent(e) avec les SMS
Les SMS sont toujours aujourd’hui le facteur additionnel le plus courant. Ce sont pourtant des portes ouvertes aux abus (page en anglais). De nombreux types d’attaques peuvent balayer les gains de sécurité tirés de l’usage des SMS. En outre, certains criminels utilisent des astuces pour pousser les utilisateurs à saisir leurs mots de passe à usage unique à partir de demandes inopinées dans le but de s’en servir lors de leurs attaques.
Les attaques qui s’appuient sur l’ingénierie sociale peuvent prendre la forme d’un SMS vous « informant » que votre compte est en train d’être piraté. Il vous demande de saisir un mot de passe à usage unique pour permettre au service de vérifier qu’il ne vous confond pas avec l’attaquant(e). Autre stratégie régulièrement utilisée : quelqu’un prétendant travailler pour votre banque ou une autre institution vous demande de confirmer votre identité avec un mot de passe à usage unique. Cette personne tente ensuite de se connecter à votre compte en vous transférant la demande de mot de passe à usage unique. L’attaquant(e) peut sembler sincère, car il/elle vous conseillera peut-être de vous méfier et de ne jamais confier vos identifiants à qui que ce soit (alors que vous venez tout juste de le faire !). Garder à l’esprit qu’une banque, une administration ou une institution officielle authentique ne vous demandera jamais de lui communiquer votre mot de passe ou votre code PIN.
Autre type de dispositif : les applications d’authentification. De nombreuses applications offrent des services équivalents, vous avez donc le choix. La plupart des applications fonctionnent sur différentes plateformes – vous pourrez donc les utiliser sur la plupart des mobiles et ordinateurs. Google Authenticator, Authy et Microsoft Authenticator sont les applications d’authentification les plus courantes, mais vous en trouverez bien d’autres. Les applications d’authentification ont souvent besoin d’une valeur aléatoire – une « graine » – du serveur afin de générer un mot de passe à usage unique à votre intention. La méthode la plus courante de nos jours est de scanner un code QR grâce à l’appareil photo de votre mobile. La graine ou code temporaire se renouvelle généralement en 30 secondes. La durée de vie du code est courte, environ une minute.
Les clés de sécurité
Parmi les différents facteurs d’authentification multifactorielle cités précédemment, les clés de sécurité sont les plus sécurisées. Leur utilisation est un peu plus complexe qu’une application d’authentification, mais elles sont également plus sécurisées. Si vous perdez votre téléphone et son application d’authentification, vous perdez peut-être aussi toutes les informations qui protègent vos comptes. Quand vous utilisez une clé de sécurité, vous disposez d’un appareil en plus de vos identifiants. Si vous perdez l’appareil avec les mots de passe, personne ne pourra se connecter à votre compte. On considère généralement qu’il est bon de garder une copie dans un endroit sûr, au cas où vous perdriez ou casseriez votre clé principale. En principe, une manipulation supplémentaire est nécessaire afin de protéger les données contenues dans la clé. Vous devez généralement presser un bouton avant de pouvoir utiliser le code. Cette action physique obligatoire empêche un logiciel malveillant présent sur votre ordinateur de lire le jeton de sécurité.
Les connexions sans mot de passe
Les mots de passe ont de nombreuses faiblesses. Les utilisateurs privilégient les mots de passe mémorisables et peu robustes. Leur stockage n’est généralement pas sécurisé. Une fois divulgués, les identifiants peuvent être exploités à mauvais escient – parfois même sur différents sites si un même mot de passe est utilisé plusieurs fois. Étant donné l’augmentation de la puissance des ordinateurs, ainsi que les avancées de la compréhension des algorithmes et de l’informatique quantique, les rainbow tables et les attaques par force brute risquent d’être de plus en plus employées. Les connexions sans mot de passe visent à lutter contre cela en recourant au chiffrement à clé privée-publique. Dans cette méthode, la clé privée ne passe pas par le serveur. Si la clé publique stockée dans le serveur vient à être perdue, personne, à part le propriétaire de la clé privée, ne peut se connecter au compte. L’authentification Windows Hello de Microsoft est un exemple de connexion sans mot de passe.
Windows Hello peut être utilisé de différentes façons : code PIN, empreinte digitale ou même reconnaissance faciale. L’authentification initiale est réalisée en local sur votre ordinateur et n’est jamais transférée au serveur. Votre code PIN ou empreinte digitale est utilisée « en coulisse » pour autoriser un échange chiffré entre votre ordinateur et le serveur qui vous permet en fin de compte d’accéder à l’ordinateur.
Connexion sans mot de passe et authentification multifactorielle
On confond parfois connexion sans mot de passe et authentification multifactorielle, car l’expérience de l’utilisateur final est assez semblable dans ces deux situations. Dans la connexion sans mot de passe, le système sollicite généralement des informations d’identification, comme un nom d’utilisateur ou une adresse électronique. L’authentification dépend de différents facteurs qui sont les mêmes que ceux de l’authentification multifactorielle. La différence réside dans le fait que la connexion sans mot de passe ne requiert pas que vous vous souveniez d’un « secret » partagé avec le serveur – un mot de passe, par exemple. Même si vous utilisez un code PIN (qui constituerait en l’occurrence un mot de passe épouvantable), il n’est pas transmis au serveur, mais utilisé pour activer l’authentification par chiffrement en local sur votre ordinateur.
Sign up to solve exercises
À l’issue du chapitre 2, vous devriez être en mesure :
De reconnaître les données qui doivent être protégées et celles qui peuvent au contraire rester ouvertes.
D’expliquer où et comment vous laissez des traces de données, et comment elles sont exploitées.
De comprendre comment identifier vos droits et vos devoirs en matière d’utilisation des données.
De comprendre, de façon générale, comment créer un bon mot de passe et renforcer la sécurité de vos connexions à vos comptes en ligne.
