Vous utilisez le même mot de passe à plusieurs endroits ? Vous avez des mots de passe qui n’ont pas été changés depuis 5 ans ? Souvent, on fait moins attention aux mots de passe utilisés sur des plates-formes qu’on juge de moindres importantes, ou on ne pense être assez intéressant pour être la cible pour des pirates. En réalité on ne mesure pas toujours les réelles conséquences de perdre le contrôle sur nos comptes sur internet, même lorsqu’il n’y a pas ou peu d’argent en jeu.
Avec cet article j’espère provoquer un éveil cher certain et vous proposez des stratégies qui vous sembleront faciles à mettre en place.
Qu’est-ce qu’un bon mot de passe ?
Si vous avez des comptes qui existent depuis longtemps, c’est possible que vous ayez des mots de passe qui ne contiennent pas certains des éléments de sécurité qui sont actuellement exigés. À l’époque il y avait moins de critères et peu de services obligent la mise à jour des mots de passe. Un mot de passe actuellement doit maintenant inclure :
- Lettres majuscules et minuscules
- Chiffres
- Caractères spéciaux
- Bientôt des symboles en japonais seront exigés… non je blague
À une époque on disait qu’un mot de passe de 8 caractères était sécuritaire, puis ça a monté à 12. Aujourd’hui c’est désuet comme façon de penser.
Un bon mot de passe… ou pas
Je vous invite à tester quelques mots de passe pour en faire la preuve sur un outil proposé par Kaspersky, je vous partagerai moi-même les résultats obtenus au moment de publier cet article.
Cette plate-forme nous permettra de tester la difficulté pour un pirate de briser des mots de passe. https://password.kaspersky.com/
- qwerty123456 (12 caractères)
Ce mot de passe ne sort pas très bien. Il est apparu 87399 fois dans une base de données de mots de passe ayant fait l’objet d’une fuite! Il ne prendra que 19 secondes avant d’être cassé lors d’une attaque.
Essayons l’ajout de caractères spéciaux voir si ont fait mieux.
- qwerty123456?? (14 caractères)
L’ajout de caractères spéciaux ici a peu d’effet. On est à 33 minutes. Certains mots de passes ou suite de caractères sont considérés brisés, car ils ont été utilisés beaucoup trop souvent par le passé.
De bons mots de passe
Nous allons partir d’un mot simple «Élément » dont l’orthographe sera modifiée un peu pour correspondre à des normes un peu meilleures. Je remplace un des (é) par un (e). Je remplace un autre (e) par un (3). J’ajoute à la fin un caractère spécial (%).
- Élem3nt% (8 caractères)
Nous avons ici un mot de passe de seulement 8 caractères qui supplante le mot de passe de 14 caractères précédent, puisqu’il durerait a une attaque en continu pendant 12 jours.
Diversifier les mots de passe
Même si un mot de passe parait bien, on ne doit pas l’utiliser partout. Un principe de la sécurité informatique est de segmenter.
Lorsque je retire une pelure sur un ognon, il y a une autre couche de protection. C’est la même volonté qu’on a ici. Avoir un ognon avec le plus de couches possible.
Plus facile à dire qu’à faire me direz-vous! Utiliser un mot de passe unique pour tous les services qu’on utilise parait compliqué. Entre les comptes Gmail, Microsoft, Facebook, Netflix, Amazon, Desjardins, PayPal, etc, si on fait le compte il y a beaucoup de services. Ça en fait facilement plusieurs dizaines. Retenir tous ces mots de passe différents ça devient plutôt lourd.
On va parfois se créer quelques mots de passe et considérer qu’on est blindé. Un pour les choses critique comme les comptes de banque et un pour le reste, comme Facebook ou les courriels. Pourtant, vos messages privés peuvent contenir de l’information sensible à votre sujet. Ils donnent parfois l’autorité sur vos autres comptes.
Mais alors, comment avoir des mots de passe différents partout, sans que ce soit compliqué? Mission impossible! Avec le même nombre d’éléments a retenir (réalistement 3 éléments) vous aurez des dizaines voir des centaines de mots de passe.
Créez-vous un algorithme de mot de passe personnel
Je vais vous expliquer une stratégie pour considérablement augmenter votre niveau de sécurité sans trop compliquer les choses. Le secret est de vous créer un algorithme que vous seul connaissez la clé.
Le terme parait compliqué, mais c’est en gros un calcul logique. Je reprends le mot de passe utilisé plus haut, Élem3nt%. Ce sera notre modèle de base.
Note: Bien sur, dans la réalité on voudra faire mieux que 12 jours, mais pour la mise en situation actuelle nous nous en contenterons.
À ce mot de passe, je décide d’un élément variable. Je vais remplacer la deuxième voyelle de mon mot de passe par la première voyelle du service que j’utilise. Il y a peu de chance qu’un pirate qui réussit à trouver un de mes mots de passe réalise la logique pour mes autres comptes.
- Microsoft : Élim3nt%
- Facebook : Élam3nt%
- Gmail : Élam3nt%
Cependant ma logique est tout de même simple et dépend des cinq voyelles existantes. On comprend qu’on aura certains doublons. Par exemple les comptes Facebook et Gmail qui ont tous les deux la lettre (a) comme première voyelle.
Intégré plusieurs calculs
Rien ne nous empêche de complexifier le mot de passe encore. En ajoutant par exemple le premier caractère du service utilisé à la fin:
- Microsoft : Élim3nt%m
- Facebook : Élam3nt%f
- Gmail : Élam3nt%g
On multiplie alors les possibilités. On a ici une possibilité de 5 voyelles multipliées par les 26 lettres. Ça nous donne 130 possibilités avec seulement 3 éléments à retenir!
Vous avez des mots de passe beaucoup plus sécuritaires, uniques et faciles à retenir. Si vous vous faites pirater un compte, il sera compliqué d’en découvrir d’autres pour celui qui n’a pas la clé de votre logique. Avec un seul de vos mots de passe impossible d’en trouver d’autres. Même si au final votre algorithme est très simple, il sera compliqué à interpréter pour celui qui n’a pas la clé de votre logique.
Des mots de passe beaucoup plus simples qu’il n’y parait
Pour que ça marche bien, vous devez toujours respecter vos propres règles. Traiter les exceptions de la même manière (un site qui demande des caractères supplémentaires par exemple). Si ça vous semble compliqué au départ avec le temps l’automatisme se fera dans votre tête en un coup d’œil. On a juste à se souvenir de son mot de base et de son calcul!
Des variables de temps
C’est une bonne idée pour s’obliger à changer ses mots de passe régulièrement. Certains systèmes vous y obligeront.
Plutôt que d’intégrer une date de fête (qui est invariable) ou l’année en court, pourquoi ne pas intégrer l’âge d’une personne que vous connaissez? C’est une valeur qui change et bien plus intéressante. Pour brouiller les cartes, vous pourriez même décider de faire un calcul; l’âge de votre mère auquel on soustrait 10 par exemple.
L’authentification a deux facteurs
C’est la stratégie qui fait qu’en plus du mot de passe, on vous envoie un code unique et valable pour une courte durée. L’envoi peut se faire sur votre adresse courriel ou votre cellulaire lorsque vous vous connectez à un service pour confirmer que vous avez bien initié la demande.
Les limites reliées à l’authentification à deux facteurs
En s’appuyant sur le fait que l’authentification à 2 facteurs permet un meilleur niveau de sécurité, certains en viennent à négliger d’avoir de bons mots de passe ou d’en avoir qui sont uniques.
Si les mots de passe de la banque et de votre courriel sont identiques, l’authentification à deux facteurs sera facilement déjouée. Un peu de recherche et la personne découvriront votre adresse courriel et elle y aura accès avec le mot de passe précédemment recueilli.
L’authentification à 2 facteurs peut également s’appuyer sur l’idée de recevoir un code SMS par cellulaire, ça apparait préalablement plus sécuritaire. Encore faut-il faire attention. Vous pouvez gérer votre compte de cellulaire en ligne?
Se faire voler son cellulaire … sans contact
On est plus à l’époque ou le pirate devait avoir de faux papiers pour se présenter en boutique pour faire changer le compte d’un cellulaire. De nos jours, en libre-service on peut soi-même changer la carte SIM attribuée à un compte de téléphonie cellulaire. Une carte SIM ça coute 10$, ce n’est pas compliqué à trouver.
Si le mot de passe du compte en ligne pour votre cellulaire se fait pirater; il sera facile pour le pirate qui a acheté une carte SIM compatible avec votre fournisseur de téléphonie cellulaire et de la remplacer lui-même en utilisant votre compte libre-service.
Vous vous êtes alors fait voler votre numéro de téléphone par un pirate qui risque fort d’avoir déjà remplacé votre mot de passe de la plate-forme en ligne au moment où vous en rendrez compte.
Si vous avez un mot de passe identique partout et vous fiez uniquement sur l’authentification à deux facteurs via SMS pour vous sécuriser, en cas de piratage vous risquez de vous faire vider vos comptes et de perdre votre identité numérique.
Conclusion
Souvent pour les comptes courriel ou Facebook piraté on a peu d’emprise et il faudra souvent en faire son deuil lorsqu’ils sont piratés de pair, ce qui est souvent le cas lorsque les mots de passe sont identiques partout.
Je veux quand même me montrer rassurant : La caisse et les banques ont des départements antifraudes et vont vous aider si jamais ça vous arrive, même si la fraude a été perpétrée par des services auxquels vous avez conféré autorité. Ils vont bien sûr enquêter, mais généralement ça se règle rapidement. Par exemple, si quelqu’un a piraté votre compte PayPal pour vider vos comptes de banque qui y était reliée, vous allez être protégé par votre caisse ou votre banque qui après enquête vous rembourseront.
Je précise que pour discuter de votre sécurité individuelle ou d’une entreprise on fait toujours preuve de discrétion.
Dans tous les cas, le temps que ça se règle ce sont des situations qui apportent un stress élevé alors je vous recommande vivement de faire en sorte de vous l’éviter. En espérant que ces quelques conseils vous serviront.
Note: Si nous ne parlons pas des méthodes d’entreposages de mots de passes (gestionnaires de mots de passe, carnet papier), c’est par choix. La quantité d’information à traiter est propice a faire un autre article complet prochainement.
