Et si on changeait de mots de passe ?
Un article de Quentin BESNARD et Thomas JULLIEN
Pourquoi utilise-t-on des mots de passe ? Un mot de passe sert à sécuriser l’accès à une information, par exemple, votre numéro de compte et un mot de passe sont nécessaires pour accéder à votre compte en banque. Autrement dit, les mots de passe protègent vos données sensibles sur Internet ! Ces petites chaînes de caractères sont devenus le véritable sésame de votre sécurité en ligne. Problème, les utilisateurs ont tendance à négliger leur force.
A travers ce guide, nous allons vous expliquer les risques existants sur l’utilisation des mots de passes sur Internet et vous apprendre à les gérer facilement. De nombreuses solutions s’offrent à vous, nous vous expliquons tout.
Des mots de passe, secrets et… différents !
Un mot de passe c’est comme une brosse à dent ça ne se prête pas. Même à sa moitié.
Vous n’avez jamais divulguer votre mot de passe ? C’est déjà une bonne chose.Mais maintenant, possédez-vous des mots de passe différents pour chaque site ? Imaginons que ce ne soit pas le cas, si un site sur lequel vous possédez un compte se fait pirater et que la base d’identifiants est dévoilée, n’importe qui peut utiliser votre mot de passe et se connecter sur un autre site sous votre identité, attention aux dégâts !
Pour vous sensibiliser sur le fait que le piratage et la fuite de base utilisateur sur Internet est monnaie courante, il existe le site Have I been pwned (Ai-je été piraté ?) qui répertorie ainsi plus de 2 milliards de comptes piratés depuis son lancement en 2013. Faites le test, rentrez votre adresse mail sur le site pour vérifier si l’un de vos comptes a déjà fuité !
Nous espérons qu’à présent vous avez compris qu’il faut utiliser des mots de passe différents ! Vous pouvez cependant choisir d’utiliser le même mot de passe sur des sites où la criticité de votre compte est faible. Par exemple pour votre site de cuisine préféré, il n’est pas forcément souhaitable d’avoir un mot de passe différent des autres sites à faible risques car avoir accès au compte ne vous atteint pas, à part éventuellement l’image de vous sur ce site si une personne s’amuse à la ternir. Mais hormis cela le préjudice est minime, une modification de mot de passe et le problème est réglé.
Ainsi quand vous définissez votre mot de passe sur un site, posez-vous la bonne question, quels peuvent être les impacts si mon compte est piraté ? Naturellement vous devriez décider ou non d’utiliser un mot de passe différent des autres.
Cependant, changer de mot de passe pour tous les sites à risque demande une mémoire importante ! Mais soyez rassuré, voici un tas de solution à votre disposition pour vous faciliter la vie !
Quand j’oublie ma tête, j’ai mon calepin !
La première méthode, un peu ancestrale, est de noter sur un calepin tous vos mots de passes en fonction de tous les services associés. Cette méthode peut être utilisée par les personnes qui se connectent régulièrement depuis un ordinateur à leur domicile. Ils n’ont pas besoin de se connecter à des services lorsqu’ils sont en déplacement.
Cette méthode est parfaite pour les personnes oubliant régulièrement leurs mots de passe et qui ont plus confiance en la sécurité de leur logement qu’en celle de leur ordinateur.
Afin d’améliorer cette technique il est possible d’écrire seulement une partie du mot de passe sur le calepin et de retenir la seconde partie qui sera la même pour tous les services.
L’inconvénient majeur est qu’il faut avoir en permanence sur soi le calepin pour se connecter à un service. Si le calepin contient les identifiants et les mots de passe ainsi que les services associées, tous les services seront corrompus si le calepin est dérobé. Pour les plus connectés, cette solution ne permet pas de s’utiliser facilement depuis un équipement mobile (téléphone, tablette, montre connecté, etc.).
Quand je perds mon calepin, j’ai mon calepin électronique !
Dans la même logique le calepin électronique, c’est à dire un fichier texte qui contient tous les mots de passe au service associé. Cette solution apporte une plus grande mobilité puisque le fichier peut-être placé sur une clé usb, facile à transporter.
Malheureusement cette méthode se veut très vulnérable, étant donné que la corruption de votre ordinateur est statistiquement beaucoup plus probable qu’une effraction de votre domicile, ou tout simplement si vous vous faites dérober votre clé USB !
Un fichier non chiffré et pas très pratique, n’existerait-il pas une meilleure méthode ?
Plus sécurisé et plus pratique, les gestionnaires de mots de passe !
Le gestionnaire de mot de passe est un outil qui permet de centraliser tous les mots de passes de vos comptes dans un “coffre-fort” qui sera protégé par un mot de passe maître. Tant que vous n’aurez pas verrouillé votre coffre fort avec ce mot de passe, les identifiants qu’il contient restent inaccessible.
En plus de centraliser vos mots de passe, les gestionnaires s’intègrent à vos navigateurs et permettent de remplir automatiquement les champs d’identifiants permettant de vous connecter sur vos sites. Si le gestionnaire détecte que vous n’avez pas enregistré des identifiants d’un site dans le coffre-fort, il vous propose de les ajouter par un simple clic. De nombreux gestionnaires proposent également un support multi-plateforme avec par exemple une application mobile ou tablette qui vous simplifie la vie sur tous vos terminaux !
La petite fonctionnalité qui vous plaira c’est la génération de mot de passe aléatoire. La création de vos mots de passe ne vont donc plus se limiter à votre imagination ! Ce petit plus permettra à vos mots de passe d’utiliser le maximum de caractères différents (caractère spéciaux, alphanumérique etc.), plus de possibilité donc plus de sécurité !
Il existe de nombreux gestionnaires qui peuvent être en ligne ou hors ligne, nous vous expliquons leurs différences, leur fonctionnement et leurs risques ci-dessous.
Le gestionnaire hors-ligne, késako ?
Le gestionnaire hors-ligne fournit toutes les fonctionnalités décrites ci-dessus en installant le logiciel du fournisseur, le coffre-fort contenant vos identifiants est cependant stocké sur votre ordinateur. De manière similaire au calepin électronique, vous devrez pour bénéficier de vos mots de passe sur tous vos terminaux, copier votre coffre fort sur chacun. Cet outil s’adresse donc aux personnes qui se connectent principalement à partir du même ordinateur.
Malgré que le coffre fort soit sécurisé, vous n’êtes pas à l’abris que votre fichier soit dérobé, mais tant que la personne ne connaît pas votre mot de passe maître, il sera difficile pour elle de pouvoir y exploiter quelque chose. Une technique appelée le bruteforce permet de tester tous les mots de passe possible pour déverrouiller votre coffre fort, mais elle est souvent peu concluante et très longue à réaliser pour arriver à ses fins.
Avec le gestionnaire hors-ligne, il faut veiller à sauvegarder votre coffre-fort sur un stockage externe (clé USB, cloud ou autre) car si votre ordinateur tombe en panne, vous perdez également votre coffre-fort ! Il vous faudra ainsi réenregistrer tous vos comptes, en espérant bien-sur que vous vous rappelez de vos mots de passe.
Une astuce rendant l’utilisation du gestionnaire hors-ligne plus pratique est de stocker votre coffre-fort sur un cloud, en plus du côté sauvegarde vous pouvez ainsi le récupérer sur d’autres terminaux et rendre votre gestionnaire pseudo-connecté.
Si le gestionnaire de mots de passe hors ligne est fait pour vous, KeePass est une référence sur la toile. Il existe également des alternatives telles que KeePassX et KeePassXC. Ces trois gestionnaires ont l’avantage d’être open-source et donc transparent ! On retrouve également Enpass, sur lequel on peut choisir de l’utiliser hors ligne ou en ligne.
Cette solution ne vous convient toujours pas ? Il nous reste une dernière solution à vous proposer, le gestionnaire connecté.
Le tout-en-un, le gestionnaire connecté
Le gestionnaire de mot de passe en ligne permet de stocker son coffre fort directement chez l’entreprise qui propose le gestionnaire. Il en existe de nombreux sur le marché actuellement. Le fait qu’il héberge votre coffre fort de mot de passe a un avantage, car il ne sera pas possible pour un hacker d’effectuer un bruteforce, le gestionnaire se rendra tout de suite compte que quelqu’un essaie de se connecter de manière abusive. Cette solution offre le package de gestion de mot de passe le plus complet, on retrouve le gestionnaire aussi bien sur son ordinateur portable que sur son mobile ou sa tablette, et il est généralement très simple d’utilisation.
Fournir votre précieux coffre fort au gestionnaire de mot de passe n’est pas sans risque, il faut avoir une totale confiance en l’entreprise qui propose cette solution, que son utilisation reste transparente et qu’elle n’ait pas de mauvaises intentions. Ces entreprises ne sont pas non plus à l’abri de se faire pirater et que votre coffre fort fuite sur Internet, à partir de là, on retombe sur le même scénario de bruteforce.
LastPass, 1Password et Dashlane sont des gestionnaires de mots de passe en ligne très connus. Ceux-ci ne sont par contre pas open-source. Au contraire de BitWarden, qui propose le service en ligne en toute transparence !
Voilà, maintenant vous êtes en mesure de choisir une solution de gestion de mot de passe qui conviendra à votre utilisation. Du calepin dans un tiroir au gestionnaire connecté il n’y a pas de sécurité par défaut pour vos mots de passes. Une technique adaptée peut être proposée pour chaque utilisation, et si cela est contraignant pour vous c’est que ce n’est pas la bonne ! C’est à vous de déterminer celle qui sera la plus adaptée à votre profil, en espérant que notre article vous ait apporté les informations nécessaires à ce choix
Sources
- Gestionnaire de mots de passe, est-ce que ça vaut la peine ?
- Un gestionnaire de mots de passe pour ne plus rien oublier
- Dashlane : Le gestionnaire de mots de passe ultime
