Internautes, voici les meilleurs outils et astuces pour sécuriser vos mots de passe !

Chaque année, des dizaines de milliers de mots de passe sont — facilement — dérobés à la faveur d’attaques informatiques. Il existe pourtant quelques astuces et outils (grand public et professionnels) pour renforcer votre sécurité sur le web grâce au mot de passe parfait. Voici comment faire :

123456, 123456789, qwerty, password, 111111. Voici les cinq mots de passe les plus utilisés et les moins sécurisés du web. La combinaison 123456 serait même employée par 23,6 millions d’internautes à travers le monde ! Une récente étude du NCSC, un organisme britannique dédié à la cybersécurité, confirme ce que l’on sait depuis longtemps déjà : les internautes négligent leurs mots de passe.

En attendant le développement de nouvelles méthodes d’authentification (voir encadré), le mot de passe reste la porte d’entrée la plus répandue pour accéder à notre écosystème numérique : messagerie, réseaux sociaux, espaces de stockage, applications diverses… Autant dire que les internautes ont tout intérêt à le soigner s’ils veulent éviter de se faire pirater.

Mots de passe sur le web : des chiffres et des lettres… et des majuscules

Dans bien des cas, les internautes n’ont de toute façon plus vraiment le choix. Les sites leur imposent désormais de choisir un mot de passe composé de lettres, bien sûr, mais aussi d’au moins un chiffre et d’au moins une majuscule. Certains imposent même le recours aux caractères spéciaux comme les signes de ponctuation par exemple. Avec une telle combinaison, l’internaute réduit sensiblement les risques de piratage.

« Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute) », explique la Cnil ; « on considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues ».

Les recommandations de la Cnil pour les mots de passe

Pour la Cnil, il convient d’adapter le mot de passe aux sites que l’on visite. Une longueur minimum de 12 caractères (minuscules, majuscules, chiffres, caractères spéciaux) est recommandée pour les sites qui n’ont que le mot de passe comme méthode d’authentification. C’est le cas de très nombreux sites comme les blogs et les forums de discussion.

Cette longueur peut être abaissée à 8 caractères lorsque le site a recours à des restrictions d’accès (blocage après des tentatives multiples, captcha…). Cela concerne essentiellement les sites de e-commerce et les comptes d’entreprise.

Elle peut encore être réduite à 5 caractères pour les sites qui demandent à l’internaute une information complémentaire ou qui procèdent à une identification du terminal de l’utilisateur via l’adresse IP. On trouve ces types de restriction dans les banques en ligne.

Enfin 4 caractères suffisent lorsqu’il s’agit d’un matériel détenu par le propriétaire comme le téléphone (carte Sim) ou la carte bancaire. Au bout de trois tentatives échouées, il n’est plus possible d’accéder au service.

Le mot de passe parfait : longtemps, je me suis couché de bonne heure = L,jmsc2bh

La création d’un mot de passe obéit à quelques règles simples. Il doit notamment ne rien dire de vous : adresse, prénom, année et ville de naissance sont donc à proscrire.

En revanche, une méthode se révèle assez efficace : mémorisez une phrase puis retenez la première lettre de chaque mot pour créer votre mot de passe. Ainsi, le célèbre incipit du roman « À la recherche du temps perdu » de Marcel Proust, « Longtemps, je me suis couché de bonne heure », donnera la combinaison suivante : L,jmsc2bh. Dans ce cas, le mot de passe contient une majuscule, L pour « Longtemps », un caractère spécial (la virgule) et le chiffre 2 pour « de » (« bonne heure »).

Il est bien entendu possible de compliquer ce petit jeu (et au passage d’étaler sa culture littéraire) avec d’autres incipit comme celui de « Bel-Ami » de Guy de Maupassant : « Quand la caissière lui eut rendu la monnaie de sa pièce de cent sous, Georges Duroy sortit du restaurant ». Cela donne : Qlclerlmdspd100s,GDsdr.

Autre méthode éprouvée, le mot de passe phonétique. « J’ai acheté huit cd cet après-midi » génère la combinaison suivante : ght8CD7am.

Certification des gestionnaires de mots de passe

Idéalement, nous devrions créer un mot de passe par compte. Autant le dire tout de suite, cela relève de la fiction ! Il est en revanche possible de recourir à des gestionnaires de mots de passe. Certains s’adressent au grand public, d’autres sont plus particulièrement destinés aux entreprises.

« Un gestionnaire de mots de passe permet de constituer une base de données de mots de passe chiffrée par un unique mot de passe “maître” dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres », explique la Cnil ; « les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place ».

Le marché des gestionnaires de mots de passe est relativement dynamique avec la présence de plusieurs produits gratuits et payants. Mais il est difficile de séparer le bon grain de l’ivraie entre KeePass, Dashlane, Lastpass, 1Password et autres solutions plus ou moins connues.

L’un d’entre eux mérite l’attention en raison de la certification (de premier niveau) délivrée par l’Anssi (Agence nationale de la sécurité des systèmes d’information). « Keepass permet à l’utilisateur de protéger ses mots de passe en confidentialité sur le disque de la machine ou sur un support externe », souligne Thalès qui a procédé à l’évaluation de la solution. Gratuit, l’outil est compatible avec les principales plateformes du marché (MacOS, Windows, Linux).

Mots de passe : des outils pour les entreprises aussi

Du côté des produits destinés aux entreprises, il existe des solutions payantes telles que Password manager pro, RoboForm ou Secret server. La tarification varie selon le nombre d’utilisateurs et le niveau de maintenance. Le ticket d’entrée se situe à plusieurs dizaines d’euros par collaborateur et par an auxquels il faut ajouter des options qui peuvent se chiffrer en centaines, voire en milliers d’euros. Ne pas hésiter à demander un devis.

+ repères

Bientôt, la fin des mots de passe ?

Au mois de février 2004, Bill Gates avait prédit la mort du mot de passe. Quinze ans plus tard, force est de constater que la prophétie du créateur de Microsoft ne s’est pas réalisée. Loin de là. Mais les choses commencent à bouger. Le W3C (l’organisme de normalisation des technologies du web) et l’Alliance FIDO (qui rassemble des éditeurs de services) viennent de finaliser une nouvelle norme d’authentification baptisée WebAuthn.

« Le moment est venu pour les services web et les entreprises d’adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du web », explique Jeff Jaffe le patron du W3C.

+ repères

Une clé d’authentification pour quelques dizaines d’euros

WebAuthn est une interface d’authentification fonctionnant à l’aide de clés asymétriques. Concrètement, cela peut se présenter, par exemple, sous la forme d’une clé comme celle proposée par le spécialiste de la cybersécurité Yubico. Baptisée Yubikey, cette clé est compatible avec de multiples appareils (ordinateur, tablette, smartphone) et se connecte via NFC, USB-A et USB-C. Un autre éditeur, Feidan, propose une clé fonctionnant sur le même principe : BioPass FIDO2. Ces deux clés sont commercialisées entre 20 et 50 euros.

À côté de la norme WebAuthn, on trouve d’autres supports d’authentification comme les capteurs d’empreintes digitales désormais installés sur la majorité des téléphones ou bien les outils de reconnaissance faciale. Mais dans ce dernier cas, les résultats ne sont pas encore à la hauteur des attentes.