bien gérer ses mots de passe

Le logiciel de mind mapping Freemind peut être utilisé pour conserver et gérer ses mots de passe. DR

 

Les mots de passe sont à la fois un sésame et un élément de sécurité. C’est pourquoi ils doivent être judicieusement choisis et gérés. Vu le nombre que chacun fini par utiliser, une organisation s’impose.

Vous souvenez-vous à chaque fois de tous vos mots de passe ? Non, probablement pas. Les mots de passe sont omniprésents dans notre quotidien aussi bien professionnel que personnel. Actuellement, les mots de passe restent le dispositif le plus répandu pour s’authentifier auprès d’un système d’information car ils ne nécessitent pas de dispositif technique élaboré (1).

Pourtant, bien souvent, ils sont choisis à la légère. De plus, ils sont systématiquement perçus comme une véritable contrainte. Concocter un bon mot de passe, connaître les différentes attaques possibles, ça s’apprend !

1- que faut-il protéger ?

 

Les mots de passe offrent la possibilité de sécuriser différents accès à :

votre ordinateur

L'accès à l'ordinateur pourra être restreint au niveau du Bios. Le mot de passe Bios permet de restreindre l'accès dès le démarrage de la machine. Sur la plupart des ordinateurs, l'accès au Bios se fait par la touche F1 au démarrage. Attention, toutefois, le mot de passe du Bios peut se réinitialiser.

L'accès pourra aussi être restreint au niveau de la session du système d'exploitation. Idéalement, le mot de passe administrateur ne devrait pas être utilisé pour surfer sur internet.

Enfin, le mot de passe au niveau de l'écran de veille permet de sécuriser à votre ordinateur lorsque vous vous absentez.

votre messagerie

Votre messagerie dispose habituellement d'un mot de passe. Toutefois, si vous utilisez une messagerie installée en local sur votre ordinateur, vous pouvez ajouter un mot de passe de veille sur votre messagerie.

vos logiciels

vos services web

Attention à votre navigateur web ! De nombreuses applications se retrouvent désormais en version intranet. Le navigateur web devient dès lors le point d’accès au service. Or, par défaut, un navigateur web propose régulièrement d’enregistrer les mots de passe pour ne plus vous obliger à les retaper. Ce paramétrage peut être dangereux. En effet, un pirate pourra accéder facilement au fichier contenant les mots de passe. Il pénètrera facilement au sein du système d’information.

De même, sur internet, l’authentification par mot de passe est aussi la plus répandue. Par facilité, de nombreuses personnes utilisent le même mot de passe pour l’ensemble des services, qu’ils soient personnels ou professionnels. D’une part, nous ne savons pas qui se cache derrière la multitude des services gratuits sur internet. Or, l’administrateur du site aura bien souvent accès aux mots de passe de l’utilisateur. D’autre part, une fois le mot de passe trouvé, le pirate ouvrira toutes les portes du système d’information de cet utilisateur. Naturellement, il conviendra d’utiliser un mot de passe différent pour chaque usage.

2- comment les pirates attaquent les mots de passe

 

Comment les pirates informatiques déjouent-ils les mots de passe ? Répondre à cette question permet de se prémunir à l'avance de ces attaques classiques. Le plus souvent les pirates informatiques utilisent les techniques suivantes :

- l’attaque par dictionnaire : elle consiste à tester une série de mots issus de dictionnaires (prénom, auteur, etc.).

- l’attaque par ruse : elle consiste à récupérer votre mot de passe à votre insu, par la capture des frappes clavier (via des logiciels appelés keyloggers), par l’interception des communications, par hameçonnage (phishing), le pirate se faisant passer pour un organisme connu (exemple : La Poste) via email ou grâce à un faux site web pour soutirer des informations. La ruse peut encore consister en attaques par ingénierie sociale : il s’agit d’une forme d’escroquerie informatique dans laquelle le hacker va utiliser ses connaissances, son charisme, l’imposture ou le culot pour jouer sur l’ignorance ou la crédulité de personnes possédant ce qu’il tente d’obtenir, à savoir le nom d’une personne, son adresse, ses codes d’identification, son numéro de téléphone… Cela peut passer par tous les moyens (le téléphone, l’email, rarement l’entrevue).

3- les secrets d'un bon mot de passe

un méli-mélo de caractères

 

Actuellement, en raison de capacités techniques toujours plus évoluées, le bon mot de passe doit posséder une taille de dix caractères minimum. Cette chaîne de caractères doit être :

- non signifiante (notamment pour éviter les attaques par dictionnaire) ;

- composées de lettres majuscules, minuscules, de chiffres et si possible de caractères spéciaux.

changer régulièrement

 

Les mots de passe, c'est comme les chaussettes, ça se change régulièrement ! Le meilleur mot de passe ne résistera pas à l'usure du temps. Changez-en régulièrement. Les administrateurs, notamment des serveurs, peuvent contraindre les utilisateurs à changer leurs mots de passe à intervalles réguliers par la mise en place d’une stratégie de sécurité.

 

4- cryptez vos mots de passe grâce à un logiciel

 

Pour contourner la difficulté de mémoriser vos mots de passe, vous pouvez les conserver dans un logiciel dédié. Un seul mot de passe sera à retenir, celui pour accéder au logiciel. Seul inconvénient, de taille : si un pirate informatique découvre ce mot de passe, il accèdera à votre coffre-fort !

Parmi tous les logiciels dédiés à la sécurisation des mots de passe, PINs sort du lot (2). Fonctionnant sur toute plateforme Windows 32 bits et gratuit, il comporte des fonctionnalités des plus intéressantes, notamment :

- accès par un mot de passe (conservé nulle part, si ce n’est dans votre tête, naturellement !) ;

- cryptage des données à l'aide d'un algorithme Blowfish avec une clé de 448 bits ;

- création de mots à l'aide de séquence ;

- gestion de la durée de vie des mots de passe ;

- portabilité, PINs pouvant se placer sur une clé USB, cela permet d’emporter vos mots de passe avec vous.

Vous pouvez également détourner certains logiciels de leurs fonctions habituelles. Ainsi, certaines personnes utilisent Freemind, un logiciel libre et gratuit de mind mapping pour conserver leurs mots de passe (3). Freemind offre la possibilité de bloquer l'accès à une carte par un mot de passe. Attention, toutefois, ce cryptage n'atteint pas le niveau de sécurité de logiciels comme PINs, par exemple.

Utiliser Freemind pour conserver et gérer vos mots de passe présente de nombreux avantages :

- accès à la carte sécurisée par un mot de passe ;

- navigation plus aisée dans ses mots de passe ;

- suivi de mise à jour des mots de passe à l'aide des attributs, c'est-à-dire des marqueurs qui permettent de filtrer la carte à partir de paramètres définis par l'utilisateur, par exemple, à mettre à jour, date de validité, etc.

5- mémorisez vos mots de passe

 

La difficulté à mémoriser vos mots de passe dépendra naturellement du fait qu’ils vous sont imposés ou non.

à vous de jouer pour créer votre mot de passe

 

Votre tête reste sans doute l'endroit le plus sûr pour conserver vos mots de passe. Encore faut-il réussir à les mémoriser ! Différentes mnémotechniques s’offrent à vous :

la méthode phonétique. Cette méthode consiste à utiliser les sons de chaque syllabe pour concevoir une phrase facile à retenir. Par exemple, la phrase « Oui, je t'aime à cent pour cent » deviendra wiGTMa100%.

la méthode des premières lettres. Elle consiste à utiliser les premières lettres d’une phrase (citation, paroles de chanson, etc.). Attention à utiliser des minuscules et des majuscules. Par exemple, la phrase « Heureux qui comme Ulysse a fait un bon voyage ! » donnera le mot de passe HqcUaf1bv!.

la méthode de la séquence

Dans son livre Lifehacker (4), Gina Trapani propose une astuce intéressante pour créer un mot de passe différent pour chaque utilisation : mettre en place une règle. Pour tous vos mots de passe, prenez toujours la même séquence (exemple : la séquence Toi591). Ajoutez ensuite les deux premières voyelles puis les deux premières consonnes du service ou du logiciel utilisé (pour Outlook, vous obtiendrez Toi591outl). Cette méthode rencontre toutefois des inconvénients, certains services web imposant le mot de passe, d’une part, et, d’autre part, lorsque vous devez changer le mot de passe d'un service, vous devez changer les mots de passes des autres services.

quand le mot de passe s'impose

Parfois, le mot de passe s'impose à nous. Dans ce cas, comment le mémoriser ? Supposons que vous deviez par exemple retenir le mot de passe suivant : M@h:76hju=8%. Le plus simple sera d'utiliser la méthode des premières lettres. Ce mot de passe compliqué se transformera en une phrase plus simple à retenir : Michel et son @mi hussein : 76 heures à jouer du ukulélé = 8%.

 

(1) L’authentification consiste à établir une identité annoncée par un utilisateur pour contrôler l’accès à des données ou autoriser des actions. Elle permet d’assurer l’imputabilité dans l’usage de ces droits d’accès. Source consultée le 13/12/2011 :

à www.securite-informatique.gouv.fr/gp_rubrique33.html

(3) Technique graphique pour organiser l'information.

(4) Gina Trapani et Adam Pash, Lifehacker: The Guide to Working Smarter, Faster, and Better, 3e éd. (John Wiley & Sons Inc, 2011).

Le chiffre du jour

C'est le nombre de documents relatifs aux attentats du 13 novembre 2015 et mis en ligne sur le site des Archives municipales de Paris.

Recevez l'essentiel de l'actu !

Le Mag

Tout Archimag, à partir de 9,50 €
tous les mois.