A l'heure du cloud et des services Web qui numérisent toujours un peu plus nos vies, la vigilance ne saurait souffrir de négligences. De l'importance de sécuriser ses mots de passe, nous vous expliquons le pourquoi et le comment.
Password, admin, 123456, abcdef, qwerty, j'en passe et des meilleures... Voilà des mots de passe encore bien utilisés si l'on en croit le palmarès 2013 des 25 mots de passe les plus fréquents (publié par la société SplashData, éditrice de logiciels). Mais de véritables passoires en termes de sécurité !
On a beau être d'un naturel plutôt stoïque, la lecture du rapport P@$$1234: the end of strong password-only security publié en janvier 2013 par le cabinet d'expertise Deloitte donne tout de même quelques sueurs froides... Il s'appuie sur un travail intéressant de Mark Burnett (du site Xato.net), lequel a décortiqué une liste de 6 millions de duos login plus mot de passe uniques pour en extraire des statistiques.
- 98,8 % de cette base d'utilisateurs emploient les 10 000 mots de passe les plus fréquents ;
- 91 % se concentrent sur 1 000 mots de passe ;
- 40 % font avec 100 mots de passe ;
- 14 % (soit 840 000 personnes tout de même) piochent dans le top 10 !
Et le problème de ces mots de passe ultra bateau, dont « password » et « 123456 », c'est qu'ils représentent le degré zéro de sécurité, puisqu'ils seront les premiers à être testés par tout hacker qui se respecte. Le souci de sécurité n'est visiblement pas encore rentré dans toutes les têtes...
Pourquoi faut-il sécuriser son mot de passe ?
Comment les hackeurs fonctionnent-ils ? Pour mieux se protéger de l'ennemi, il faut tenter de le comprendre ! Quatre scenarii sont à envisager : le piratage en direct, le vol de bases de données, le phishing (ou plus globalement le social engineering précise Paul Rascagnères, analyste malware chez l'éditeur d'antivirus G DATA) et les virus. Le premier, qui consiste à tester tous les mots de passe possibles et imaginables dans une interface de connexion sur la base d'un identifiant connu, n'est plus possible aujourd'hui ou très rarement. Cela, parce que la grande majorité des sites sérieux bloquent les comptes au bout de quelques tentatives ratées, trop peu nombreuses même pour un mot de passe évident (quoique avec password et 123456...).
Non, le gros des dangers tient dans le vol, les virus et le social engineering. Pour ce dernier, une sorte de vol avec consentement non éclairé, la complexité d'un mot de passe n'a pas d'intérêt : le hackeur se fait passer pour quelqu'un d'autre (email, coup de fil ou faux site officiel), et s'il parvient à duper l'utilisateur, il en profite pour récupérer ses identifiants, en clair. La pratique est courante, les données sont ensuite utilisées ou revendues sur des marchés parallèles. Le seul remède dans ce cas, c'est la vigilance. Idem pour l'aspect virus, un malware avec keylogger peut intercepter vos saisies au clavier ou chiper les identifiants stockés dans le navigateur par exemple : votre ordinateur doit être protégé par un antivirus, à jour, et en programmant des analyses régulières.
“ Un hash qui part d'autant plus vite en fumée que le mot de passe est simple ”
C'est en matière de vol qu'il est intéressant de comprendre les mécanismes. Tous les couples identifiants / mots de passe des services Web sont stockés sur les serveurs des entreprises respectives, et forment ainsi autant de bases de données. Ces vols sont assez ponctuels mais malheureusement massifs (par milliers voire millions d'entrées). Très rarement (et normalement pas en France puisque c'est illégal), ces bases de données sont stockées en clair. Si dérobade il y a, la complexité du mot de passe sera vaine.
Mais dans la majorité des cas, les identifiants et mots de passe sont hachés, c'est-à-dire brouillés par un algorithme. Quand quelqu'un veut se connecter à son service, le mot de passe qu'il entre est également haché en temps réel, puis comparé à celui stocké sur les serveurs. Les hackeurs qui se procurent pareilles bases de données vont devoir utiliser des logiciels spécifiques pour déterminer quelle fonction de hachage (hash en anglais) a été utilisée, après quoi ils peuvent automatiser les tests. Tests qui vont consister à choisir un mot, le hacher, le comparer à l'empreinte hachée de la base de données volée : s'il y a correspondance, le mot de passe est trouvé, sinon il faut tester un autre mot, etc. Un hash qui part d'autant plus vite en fumée que le mot de passe est simple.
Le hasard fait parfois bien les choses, mais les statistiques les font encore mieux. Pour éviter de tâtonner au doigt mouillé, les hackeurs recourent à des dictionnaires, ou mieux encore, à des listings de mots de passe qui ont été établis au fil des différents vols de données, comme la base du réseau communautaire RockYou.com et ses 32 millions d'entrées évaporées dans la nature en 2009. De vrais mots de passe, couramment employés, et qui ne changent pas beaucoup, comme en témoigne la constance des palmarès des mots de passe les plus fréquents, d'une année sur l'autre. Les cas de vols de données ne manquent pas : Ebay, Orange, Domino's Pizza ou encore Adobe pour les exemples les plus récents.
Les listings contiennent des mots simples, les logiciels pirates proposent donc des règles complexes. Mais faciles à mettre en oeuvre d'après le journaliste Nat Anderson. Son expérience est instructive. En tentant de se mettre dans la peau d'un hacker, il a potassé le fonctionnement des logiciels pirates, et notamment de Hashcat, qui sont, sans surprise, très bien conçus.
En quelques clics, on peut étoffer la recherche, de sorte à ce que sur un mot de passe comme « clubic » (à tout hasard), le logiciel teste également des ajouts de chiffres ou de lettres (« clubic10 » ou « clubicz »), mais aussi l'ordre inversé (« cibulc »), les ajouts de préfixes et suffixes courants (man, 123, mad, me...), la version leet, c'est-à-dire avec des caractères alphanumériques ASCII (« ( |_ |_| |3 | ( ») voire des inversions de lettres. De quoi multiplier les chances du malfaiteur d'arriver à ses fins.
“ Un mot de passe à 8 caractères hacké en 5 h 30 ”
Plus efficace encore mais exigeante en ressources, la bonne vieille attaque de force brute. Sur une quantité donnée de caractères, mettons six, la technique un brin bourrine consiste à hacher et tester « aaaaaa », puis « aaaaab », etc. Sachant qu'un clavier français peut produire 142 caractères (avec tous les accents, la casse, les symboles, les chiffres, et encore 103 si on exclut les accents) et que la statistique est exponentielle, ça nous fait 8 198 418 170 944 de combinaisons possibles (8 200 milliards pour ceux qu'autant de chiffres perturberait). Dans l'exemple donné par l'étude du cabinet Deloitte, un mot de passe à 8 caractères (6,1 millions de milliards de possibilités sur un clavier américain à 94 caractères) pourrait être hacké en 5 h 30 par une configuration dédiée haut de gamme (estimée à 30 000 $ en 2012), mais en près d'un an avec un PC correct de 2011.
Représentation visuelle de ces chiffres astronomiques
Qu'est-ce qu'un mot de passe sécurisé ?
Rien qu'en passant à 10 caractères, courbe exponentielle oblige, on fait grimper les combinaisons sur un clavier français à 3 333 369 396 234 118 349 824 (3 333 milliards de milliards !!!). La même machine de compétition mettrait alors 343 ans pour tester toutes les combinaisons... A cette parade, les hacker répondent par le crowd-hacking : ils confient des fragments de calculs à faire à des milliers de PC normaux infectés (les fameux PC zombies). C'est supposé aller beaucoup plus vite ainsi, mais bon, les hackers préfèrent tout de même les mots de passe courts et basiques.
“ nous peinerions à retenir plus de sept chiffres dans notre mémoire à court terme ”
Le remède est simple, sa mise en oeuvre plus délicate. D'après une étude de l'Université de Toronto que cite le rapport Deloitte, les êtres humains limités que nous sommes peinerions à retenir plus de sept chiffres dans notre mémoire à court terme, et même plus que cinq en prenant de l'âge. L'ajout de symboles, de lettres majuscules et minuscules produirait un mix encore moins aisé à retenir. Le rapport se fait plus accablant en ajoutant que la nature humaine a tendance à suivre des schémas de pensée limités par rapport aux possibilités offertes. La majuscule ? En première position dans les mots. Les chiffres ? À la fin. Des 32 symboles présents sur un clavier américain ? Une demi-douzaine seulement est utilisée. De quoi rendre l'aléa théorique plus prédictif pour les hackers. Rien de nouveau cependant. A moins que... le rapport ne pointe du doigt un nouveau frein, imputable aux usages mobiles. L'absence ou la moindre accessibilité des caractères spéciaux sur les claviers des smartphones amène le nomade à simplifier son mot de passe. Tout comme le temps de saisie supérieur qui inciterait un quart des personnes sondées à utiliser un mot de passe plus court pour gagner du temps. De 4 à 5 secondes pour taper un mot de passe de 10 caractères sur un clavier standard d'ordinateur, il faudrait entre 7 et 30 secondes pour faire la même chose depuis un smartphone tactile.
Comment protéger son mot de passe ?
L'étude de Deloitte, comme la plupart des spécialistes de la question, s'accordent sur un point : le plus important, c'est d'avoir des mots de passe différents pour tous ses comptes. Un hacker qui réussit à pirater un compte va en effet très probablement tenter le même mot de passe sur d'autres types de services. Soit... Mais ça commence à se compliquer, pour l'utilisateur moyen qui posséderait 26 comptes protégés par mot de passe. L'étude précise que cet utilisateur n'emploierait que cinq mots de passe différents. Voici d'abord les règles de base qu'il faut impérativement suivre, sous forme de liste :
Nous attirons l'attention sur le fait que les mots de passe des messageries sont particulièrement sensibles, puisque les adresses email sont demandées par tous les services en ligne pour s'inscrire, puis utilisées pour retourner ou réinitialiser les mots de passe oubliés... ou qu'un pirate pourrait faire croire qu'il a oubliés.
- Ne JAMAIS utiliser le même mot de passe pour tous ses comptes ou plusieurs d'entre eux (nous le répétons, mais c'est important) ;
- Quitte à n'utiliser que quelques mots de passe pour une multitude de comptes, bien scinder ses univers (ne pas choisir un même mot de passe pour un réseau social et ses comptes bancaires en ligne, par exemple) ;
- Ne jamais utiliser le mot de passe de sa messagerie comme mot de passe pour une inscription à un autre site ;
- Ne pas utiliser d'élément pouvant être facilement connu (nom de son enfant, date de naissance, adresse, etc.). D'une, ces éléments peuvent se trouver facilement (réseaux sociaux, pages jaunes) et de deux, un pirate peut aussi être un proche...
- Bannissez les grands classiques (password, admin, toto, etc.), les suites (123456, abcdef, etc.) et les mots des dictionnaires (toutes langues confondues) ;
- Changez de mot de passe assez régulièrement (Microsoft préconise tous les trois mois pour les messageries et comptes bancaires)
- Ne stockez pas vos mots de passe en clair sur votre ordinateur, effacez les emails de confirmation d'inscription qui affichent vos identifiants et mots de passe ;
- Ne communiquez jamais vos mots de passe, ni pour une quelconque demande « officielle » (phishing), ni par email.
Comment créer un mot de passe sécurisé ?
Les tuyaux en la matière ne manquent pas sur le Web. Aussi, ce que nous vous proposerons là sera une synthèse des meilleures idées. Le premier point qui fait consensus peut être théorisé sous la forme d'un triptyque : longueur, diversité et aléa. Huit caractères au minimum (nous serions tentés de vous en suggérer dix) ; des lettres (en majuscule et minuscule), des chiffres et des symboles ; un ordre totalement dénué de sens ou de logique. Très bien, sauf que retenir 26 mots de passe (puisque tous doivent être différents, rappelez-vous) du type de « sP7#e)ÿX9# » n'est pas concevable. Ni même un seul d'ailleurs... L'idée, c'est donc de créer son propre algorithme de formation de mots de passe, ou pour faire moins scientifique, de trouver des moyens mnémotechniques.
Dans tous les cas de figure, on commence par créer la base, et ensuite on améliore son mot de passe avec les combines habituelles (variation majuscules/minuscules, ajout de symboles et de chiffres). Évitez tout de même les caractères spéciaux trop exotiques, genre µ, que vous ne pourrez pas taper depuis un smartphone, par exemple. Il faut s'en tenir aux symboles directement accessibles depuis un clavier standard. Voici différentes possibilités :
La phrase de passe
Une phrase se retient plus facilement qu'une séquence absconse de caractères, et on peut facilement l'allonger. Ça peut être une citation (« Mon ennemi, c'est la finance »), un proverbe (« tant va la cruche à l'eau qu'à la fin elle se brise ») ou une phrase inventée par vos soins ( « Merci Cluclu pour cet article super complet »). A partir de là, vous avez plusieurs options : simplement enlever les espaces, ne prendre que la première ou les deux premières lettres de chaque mot, enlever toutes les voyelles ou consonnes, etc. Dans le cas du proverbe, ça pourrait donner « tvlcàl'eq'àlfesb ». On peut ensuite s'imposer une majuscule aux mots composés d'un nombre de lettres impair et mettre des « @ » à la place des « à » pour donner « tvlc@L'Eq'@lFesB ». Et si votre chiffre préféré, c'est le 25, vous pouvez l'incorporer scindé en début et fin pour arriver à « 2tvlc@L'Eq'@lFesB5 ». Notez qu'il est préférable de condenser sa phrase plutôt que de coller les mots sans espace. Dans le cas d'une attaque par dictionnaire, il sera plus « simple » de trouver « mercicluclupourcetarticlesupercomplet » que « meclpocearsuco ». Encore mieux si vous transformez le mot de passe avec quelques règles pour arriver à « MeClu²po7Arsuco ».
Les jeux de clavier
Les jeux de clavier consistent à « crypter » son mot de passe sur la base de l'agencement des touches. Si vous vous dites que vous décalez votre frappe de trois touches vers la gauche, vous passerez par exemple de « ILOVECLUBIC » à « THYWPNHRXTN ». Autre astuce possible : remplacer une lettre sur deux par le chiffre situé dans la même rangée. « ILOVECLUBIC » devient « I9O4E3L7B8C ». Libre à vous ensuite de faire varier majuscules et minuscules, et d'ajouter des symboles. Les possibilités offertes par cette technique sont nombreuses, mais attention, dès que l'agencement des touches (la clé de votre code) change, vous êtes perdus : un clavier tactile sans les chiffres sur le même écran, un clavier américain, suisse, ou allemand lorsque vous voyagez, etc. Et ces mots de passe impliquent une gymnastique mentale qui rend la saisie longue.
L'imbrication
Le meilleur souvenir de votre vie, c'est votre voyage de noces à Bali et cette fabuleuse nuit d'étreinte dans la chambre 0315 ? Imbriquez donc ! B0a3L1i5 par exemple. Remplacez le « a » par un « @ » ou un « à », ajoutez un « # » en début et un « ! » en fin de mot de passe (c'est un bon souvenir, un point d'exclamation n'est pas de trop), et vous obtenez un mot de passe facile à retenir et qui respecte les codes de sécurité (« #B0@3L1i5! »).
La phonétique et/ou le visuel
Pour les friands de langage SMS ou les utilisateurs qui ont l'oreille développée, vous pouvez « coder » avec les sons. « Demain j'ai cours de linguistique » devient par exemple « 2m1Gkour2L1g8stik ». L'idée est simple : on remplace des syllabes par autre chose formant le même son. « attitude » peut devenir « @Ttu2 ». Ceux qui préfère exploiter le leet en jouant plus sur les correspondances de formes entre lettres et chiffres/symboles pourrons écrire « 47717ud3 » (le 4 remplace le A, le 3 se substitue au E, le 7 au T, etc.). Mais attention, les logiciels de piratage connaissent bien cette astuce, pour laquelle il existe d'ailleurs des convertisseurs en leet.
Un mot de passe par site
Maintenant que vous vous êtes concocté un mot de passe fort, l'objectif c'est de le décliner pour les différents sites et services demandant une connexion sécurisée. Parce qu'aussi pertinent soit votre algorithme de codage, il n'est pas question que vous reteniez 26 mots de passe de ce type ou plutôt, lequel correspond à quel site. Mozilla a publié un billet intéressant à ce sujet. Vous gardez la même base complexe, et vous lui ajoutez des préfixes ou suffixes en relation avec les services. Dans son exemple, Mozilla part du mot de passe « #Lbedaur@tld: » créé depuis la citation « Le bonheur est d'avoir un remède à toutes les démangeaisons », attribuée au poète américain Ogden Nash. La fondation suggère ensuite de modifier ce tronc commun comme suit
La technique consiste ainsi à ne conserver du nom du service que la première lettre et les deux premières consonnes qui suivent. La règle est renforcée en alternant majuscules et minuscules, et en ne commençant par une majuscule que si la première lettre est une voyelle. Enfin, ce complément passe en préfixe s'il commence par une consonne, et en suffixe s'il débute par une voyelle. Une bonne technique, assez malléable, que vous pourrez appliquer à votre sauce.
Les outils pour sécuriser ses mots de passe
Tester la sécurité de ses mots de passe
Vous vous êtes fixés sur une méthode, ou une combinaison de ces méthodes, et vous avez désormais un mot de passe qui vous convient. Première chose, vous pouvez tester son efficacité sur un des multiples outils en ligne dédiés à la cause : celui de Microsoft a priori digne de confiance, ou le Passwordmeter, qui a l'avantage de lister les forces et faiblesses de votre mot de passe. Maintenant, comme transmettre un mot de passe à un service en ligne dont on ne sait pas grand-chose peut être potentiellement risqué, vous pouvez toujours tester une logique et garder pour vous votre mot de passe final.
Générer automatiquement ses mots de passe
Maintenant, si l'idée de vous créer un mot de passe par compte vous rebute, parce que vous en avez trop ou que vous savez votre mémoire fragile, il vous reste l'option du gestionnaire de mots de passe. L'offre est assez conséquente dans ce domaine, via des logiciels à installer en local et/ou via des interfaces Web parfois accompagnées de leurs apps mobiles. Leur but, c'est de vous simplifier la tâche en conservant à l'abri (c'est-à-dire cryptés) tous vos mots de passe : il ne vous restera qu'un seul mot de passe à retenir, celui du service en question. On pourra citer LastPass Password Manager, KeePass Password Safe, Dashlane, Password Box, Sticky Password, 1Password ou encore la solution de l'éditeur d'antivirus Identity Safe de Norton. Tous proposent une version gratuite, s'ils ne sont pas totalement gratuits, certains ajoutent des fonctionnalités complémentaires qu'ils facturent à l'année (synchronisations, assistance, sauvegarde sur Cloud, etc.). A vous de faire votre choix selon vos usages et votre budget.
Reste la grande question : est-ce bien sûr d'héberger tous ses mots de passe à un seul et même endroit ? Nous n'avons pas la réponse. Ces plateformes risquent d'attirer les pirates comme des mouches, à mesure qu'elles deviendront célèbres. Privilégiez donc celles qui précisent bien les méthodes de sécurité employées : chiffrement AES 256, authentification en plusieurs étapes, etc...
Conclusion
L'état des lieux d'une année sur l'autre est toujours le même : beaucoup trop d'utilisateurs se contentent de mots de passe archiconnus et faibles sur le plan de la sécurité. Mais surtout, face à la multiplication des services en ligne exigeant une identification, la majorité des internautes utiliserait le même mot de passe pour la plupart voire la totalité des services (étude Ofcom, l'équivalent de l'Arcep en Grande-Bretagne). Et pour enfoncer le clou, l'usage croissant du smartphone et de la tablette conduirait à une simplification des mots de passe par commodité (étude Deloitte). Autant d'aubaines pour les hackers, alors qu'une prévention relativement simple est possible.
Un mot de passe long (8 voire 10 caractères), composé de majuscules, de minuscules, de chiffres et de symboles, le tout dans un ordre aléatoire, rend la tâche très complexe pour le pirate. Sauf que complexe à déchiffrer rime avec difficile à mémoriser. Mais là aussi, pas de panique : on peut aisément s'inventer des moyens mnémotechniques pour créer, « crypter », retenir et donc « décrypter » des mots de passe alambiqués. Phrases de passe, contractions, imbrications, jeux de clavier, phonétique, etc. Nous en avons listés quelques uns qui fonctionnent bien et forcent à une petite gymnastique du cerveau qui ne fera pas de mal à la mémoire. Les créations peuvent être diversifiées de manière logique pour s'adapter à tous les sites et services Web sécurisés : le seul impératif, ça sera de ne pas oublier la règle inventée, votre algorithme personnel. Et pour ceux qui auraient vraiment la mémoire qui flanche, un gestionnaire de mots de passe - et un peu de confiance - régleront les choses.
Une démarche pro-active côté utilisateurs ne saurait toutefois dispenser les prestataires de services de renforcer leur sécurité. Les pistes à suivre ne manquent pas : éradiquer le stockage des données en clair, systématiser le refus des mots de passe trop simples ou courants, proposer des rappels de changement de mot de passe, trouver des méthodes de réinitialisation moins périlleuses qu'en demandant le nom de jeune fille de sa mère, et surtout, généraliser l'authentification multi-facteurs.
Les clients fibre de Bouygues ne sont pas autorisés à utiliser des symboles et des majuscules : une aberration !
Le multi-facteurs représente certainement l'évolution la plus logique vers laquelle vont tendre les services en ligne. Un mot de passe et un code par SMS comme le propose par exemple Google à ses utilisateurs qui activent la « Validation en deux étapes ». Microsoft, Yahoo !, Facebook, Twitter, Linkedin ou encore Dropbox proposent eux aussi des systèmes équivalents, mais inactifs par défaut.
La validation en deux étapes proposée par Google, entre autre, est un bon moyen pour sécuriser davantage sa messagerie et tout ce qui gravite autour
L'implémentation de capteurs biométriques sur plusieurs smartphones grand public récents (Apple, Samsung, HTC) pourrait également venir renforcer le processus d'authentification, en complétant le mot de passe par l'empreinte digitale. Certes, aucune technologie n'est infaillible (iris, empreinte, voix...), mais en sécurité aussi, l'union fait la force.