Des infos et conseils de prudence pour le web ou la vraie vie, mais aussi des sujets de toutes sortes.
5 Mai 2016
Ce jeudi 5 mai 2016 est déclaré Journée Mondiale du Mot de Passe. C'est ainsi, pour la quatrième année consécutive, à l'initiative originelle du groupe Intel Security, que se tient cette journée du World Password Day 2016.
C'est à cette occasion que je vous rappelle quelques règles dites de "bonne pratique" permettant d'assurer à minima la sécurité de ses différents comptes sur les sites internet, de vos accès à vos sessions utilisateurs et autres. En effet, un reportage vu il y a quelques temps précisait qu'aujourd'hui, même un mot de passe complexe ne demandait pas plus de 15 minutes pour être trouvé par un pirate équipé d'un ordinateur puissant. D'autres pistes de sécurisation des données privées sur le net étaient donc avancées comme la carte à puce ou encore la biométrie.
Seulement voilà, avant que de tels procédés soient déployés au niveau du grand public, il va encore s'en couler de l'eau sous les ponts. On a vu l'arrivée des smartphones équipés de lecteurs d'empreinte digitale évitant la saisie fastidieuse d'un code pin. Oui, c'est bien... tant qu'on ne se blesse pas au(x) doigt(s) qui auront été numérisés pour servir à verrouiller l'appareil ! C'est peut-être rare, mais ça peut se produire. Donc nécessairement il y aura une deuxième méthode d'accès par code pin traditionnel intégrée, faute de quoi l'appareil ne sert plus à rien. Un peu comme ce qui se fait sous Windows depuis la version 10 avec le verrouillage au moyen d'un mot de passe image. L'image choisie est celle sur laquelle il faut reproduire trois gestes dans un ordre précis. Après plusieurs tentatives infructueuses, l'utilisateur peut toutefois déverrouiller son compte avec son mot de passe traditionnel.
La biométrie pose également un autre problème je pense, à savoir le stockage des données numérisées. Outre l'aspect sécurité du stockage, quelles pourraient être les utilisations de ces données en cas de vol de votre appareil. Un mot de passe, ça se change. Une empreinte digitale ou l'image d'un iris, non, ça ne bouge pas. Alors si votre index gauche sert à sécuriser votre véhicule, votre compte bancaire, vos comptes internet et que sais-je d'autre, on peut s'interroger sur leur éventuelle récupération et utilisation. Le mot de passe, on vous le vole, vous le modifiez vous même.
Le moyen qui me paraîtrait le plus efficace serait par contre un système de type carte à puce intégrant des données chiffrées de l'utilisateur avec déverrouillage par saisie d'un code pin, comme ce qui se fait sur les distributeurs automatiques de banques. Mais là aussi, il y a un coût à évaluer. Qui finance les cartes et les lecteurs et pour quelles utilisations ? S'agirait-il d'une sorte de carte d'identité virtuelle vous permettant de vous connecter à l'ensemble des services que vous pourriez détenir dans la société ou sur internet (banque, état civil, accès professionnel, cartes de fidélité, santé, abonnements internet...) ou s'agirait-il d'une carte délivrée par chaque service à son titulaire ? Dans le premier cas, les opposants au "fichage" ne laisseront pas faire sous le motif du respect des libertés fondamentales (pas de flicage inutile) et dans le second cas, l'utilisateur risque de se retrouver rapidement avec des brouettes pleines de cartes à puce à stocker. Faites le tour des services que vous utilisez, ça va très vite.
Alors oui, je pense que le mot de passe n'est pas mort mais qu'il mérite d'être judicieusement créé. On voit encore bien trop souvent des identifiants de systèmes informatiques du type "admin... admin" ou "admin.... 1234" pour ne citer que ceux-ci. Malgré ce que l'on peut lire sur la toile comme dans cet article que j'ai trouvé pas mal au sujet d'un programme de cassage de mots de passe il ne faut pas s'alarmer. Même si l'outil indiqué est capable de casser des mots de passe d'une longueur de 55 caractères pour certaines applications, il n'est pas adapté à tous les usages, fort heureusement. Pour être fonctionnel, il doit s'appuyer sur une base de mots de passe qui aurait été dérobée ou avoir accès direct à un système verrouillé par un mot de passe. Ce qui n'est pas le cas des sites ou applications internet que vous pouvez être amenés à utiliser et qui doivent être (normalement) conçues pour éviter des attaques de type brute-force c'est à dire par soumission de l'ensemble des combinaisons testées. Vous le constatez lorsque vous commettez plusieurs erreurs de saisies de votre mot de passe pour vous authentifier sur un compte d'un site internet, au bout de plusieurs essais, il vous est demandé de saisir un texte aléatoire (captcha) pour éviter des opérations machines et en cas de nouvelles multiples erreurs de saisie votre compte peut être purement et simplement verrouillé. Il vous faut alors réclamer une modification de mot de passe qui s'effectue par réception d'un lien dans un courrier électronique.
Bien sûr, même si le mot de passe reste d'actualité, il faut absolument respecter quelques règles simples :
- choisir un terme d'une certaine longueur, même d'une longueur certaine : certains vous diront 6, d'autres 8 ou 10 caractères. Personnellement j'irais même jusqu'à 15 (et pourquoi pas plus). Mais qui peut le plus, peut le mieux.
- votre mot de passe ne doit pas être un terme générique qui se trouve dans un dictionnaire, et surtout pas un mot hyper courant du style : password, admin, perso...
- le mot de passe doit combiner: chiffres, lettres en majuscules et minuscules, caractères spéciaux et caractères de ponctuation (pour les deux dernières catégories, quand c'est possible, certains n'autorisant pas ces choix, ce qui est une erreur)
- les mots de passe doivent être différents pour chacun de vos comptes, de sorte que si vous le perdez ou que l'on vous le dérobe, l'ensemble de vos différents comptes ne soient pas concernés
- retirez les droits d'utilisation des appareils connectés que vous pouviez être amenés à partager avec d'autres utilisateurs au départ de ceux-ci (famille, amis, collaborateurs...) et modifiez les mots de passe des comptes ayant pu être partagés (même si ça ce n'est pas vraiment l'idéal, mais on le voit trop souvent comme étant la cause d'abus lors de différents opposant deux personnes).
- à l'installation d'un nouveau matériel, modifiez les mots de passe par défaut ou "constructeur" y permettant l'accès. C'est le cas fréquent des box internet. Ne vous contentez pas du mot de passe par défaut fixé par le constructeur et souvent affiché sous la box.
Si vous respectez ces quelques règles, vous ne devriez vraiment pas rencontrer de soucis. Alors pour terminer, un exemple de mot de passe "fort" : !#P@s5w0rD?13%q qui contient l'ensemble des éléments décrits précédemment. Alors oui, pas facile à retenir, à vous de trouver votre "truc" pour gérer vos mots de passe ou alors utiliser des générateurs de mots de passe existants sous forme logicielle ou directement en ligne.
Une sécurité supplémentaire consiste à utiliser de nouvelles fonctionnalités proposées par certains sites avec une double authentification. Vous saisissez votre mot de passe et recevez un SMS vous indiquant un second code à saisir pour vous authentifier. Là aussi, qui peut le plus, peut le mieux... à condition de vouloir communiquer son numéro de téléphone !
/image%2F0821717%2F20180227%2Fob_4e6a9e_bnumreduc.jpg)
/image%2F0821717%2F20170706%2Fob_a0fa4c_attack.JPG)
/image%2F0821717%2F20170318%2Fob_d79e42_ssi-sante.jpg)
/image%2F0821717%2F20151116%2Fob_ec74f4_securite.jpg)