Skip to content

Gestion des mots de passe personnels

Même si les couples logins – mots de passe est aujourd’hui considéré comme la plus basique et la plus faible des méthodes d’authentification, toutes les plates-formes web passe par cette méthode pour authentifier leurs utilisateurs. Il reste un standard, dont l’utilisation doit suivre des règles « d’hygiène » pour une meilleure sécurité.

I. Un mot de passe, deux mots de passe, trois …

Le premier conseil que l’on peut recevoir est de ne pas utiliser deux fois un même mot de passe. La raison est simple : si vous utilisez le même mot de passe pour votre messagerie et pour l’inscription sur le site d’un projet en bêta d’étudiants en impression 3D, si le second se fait pirater et que les données d’identification sont exfiltrées, votre messagerie ne tardera pas à y passer également. L’utilisation de mot de passe, voire de messagerie et login différents est donc une sécurité supplémentaire à apporter.

La fausse bonne idée

Utiliser un mot de passe reprenant une caractéristique du site sur lequelle vous vous authentifiez est une fausse bonne idée.

Exemple : Mon mot de passe est « jet@pem0nmdp », si je m’authentifie sur Facebook, j’utiliserais le mot de passe « jet@pem0nmdpsurfacebook », si je m’authentifie sur Yahoo j’utiliserais le mot de passe « jet@pem0nmdpsuryahoo ».

En soi, ce genre de principe répond au besoin de ne pas utiliser un même mot de passe sur deux plates-formes (ou plus), car chaque mot de passe est différent, un robot ne pourra alors pas accéder à une plate-forme en ayant volé votre mot de passe sur une autre. De plus, cela permet de se souvenir rapidement de ses mots de passe, bien qu’ils soient forts et différents, bonne idée n’est-ce pas ?

Cependant, si, en tant qu’attaquant, j’entre en possession de vos identifiants Facebook et que je remarque le mot de passe « jet@pem0nmdpsurfacebook », je peux rapidement me douter que votre mot de passe google sera « jet@pem0nmdpsurgoogle » et que votre mot de passe github sera « jet@pem0nmdpsurgithub ». Logique, non ?

Cependant, s’il faut utiliser un mot de passe difficile à retenir pour chaque plate-forme, cela devient quelque peu compliqué.

II. Un mot de passe pour les gouverner tous

Ce besoin a fait naître différentes offres et logiciels appelés « coffres-forts » ou « gestionnaires de mot de passe« . Le principe est simple, on va stocker nos identifiants sur une plate-forme, un fichier ou une base de données chiffré et protégé afin d’être sûr de pouvoir les retrouver. Je vous ai déjà parlé de Keepass, un coffre-fort numérique facile à installer et à utiliser : Keepass : Gestion des mots de passe et sécurité

Il existe ainsi différentes plates-formes et moyens de stockage sécurisés pour nos mots de passe, certains antivirus proposent également ce système dans leurs modèles payants. Voici différents services :

  • Keeper
  • Keepass
  • DashLane : Dispose notamment d’un service d’alerte permettant d’être avertis des leaks de mots de passe d’autres services
  • LastPass

Certains sont payants, d’autres gratuits, certains possèdent un service en ligne, d’autres non. Je vous laisserais juger et tester 😉 . Parmi les nombreux produits existants, privilégiez les produits Open source/libres et pourquoi pas, les outils français validés par l’ANSSI : Logiciels préconisés par l’ANSSI

III. Entre criticité et complexité

Les mots de passe doivent être d’une complexité égale, il serait un peu barbant de rappeler les « règles » permettant de construire un mot de passe dit « fort » comme :

  • Un mot de passe de 8 caractères minimum
  • Un mot de passe contenant minuscules, majuscules, chiffres et caractères spéciaux
  • Aucune date, aucun nom ou mot connu.
  • etc.

La notion de complexité d’un mot de passe ne doit pas différer d’une plate-forme à une autre. En revanche, leur criticité est à évaluer.

Exemple : Si un attaquant trouve le mot de passe que vous avez utilisé sur le dernier forum de la communauté des randonneurs du Lot et Garonne, ce n’est pas très critique. Dans le meilleur des cas, il réinitialisera votre mot de passe, dans le pire, il postera des messages en votre nom…

En revanche, si ce même attaquant trouve le mot de passe de votre messagerie « principale« , cela est beaucoup plus grave.

Nous utilisons tous internet et  nos messageries de façon différente, néanmoins, une constante est observable: nous avons tous une messagerie principale. Vous savez, celle que vous utilisez pour remplir les champs « mails » lorsque vous vous inscrivez ? La plupart sont des @gmail, @hotmail ou @yahoo. La criticité des mots de passe de ces messageries doit être beaucoup plus élevée.

Pourquoi ?

Ces messageries permettent généralement d’accéder à tous les services et plates-formes pour lesquels elles ont été utilisées. Si l’attaquant a pris la main sur votre messagerie principale, il pourra lancer une réinitialisation des mots de passe de tous les autres services par mail, le mail de réinitialisation atterrissant généralement … dans votre messagerie principale !

mot-de-passe-messagerie
Illustration de l’importance des comptes de messagerie pour la gestion des mots de passe

IV. À criticité élevée, mesures supplémentaires

Pour ces comptes critiques, c’est-à-dire ceux qui permettent de prendre le contrôle d’autres comptes, il est nécessaire de mettre en place une authentification forte. Pour rappel, l’authentification d’une personne peut se faire par différents moyens :

  • Ce que je suis : une empreinte digitale, la voix
  • Ce que je sais : un mot de passe, le nom de mon chien
  • Ce que je sais faire : un geste, une signature
  • Ce que je possède : une clé USB, un Token, une carte à puce

L’authentification à deux facteurs, dite authentification forte, va utiliser non pas un facteur (généralement le mot de passe), mais deux ou plus. Ainsi, il est courant d’utiliser un mot de passe et un code unique envoyé par SMS, ou un mot de passe et une clé USB spécifique. Quelques exemples :

  • FIDO Key : cette clé permet de mettre en place une authentification à deux facteurs entre ce que je possède (la clé) et ce que je sais (le mot de passe).
  • Code envoyé sur smartphone par un service SMS propre à chaque plate-forme
  • One Time Password, il s’agit d’un mot de passe regénéré régulièrement. Un exemple est le service « Microsoft Auhtenticator » que j’ai été amené à installer pour mettre en place une double authentification sur un NAS Synology. Via ce petit logiciel, mon NAS et mon smartphone partagent la génération d’un mot de passe à durée de vie de 5 secondes que je dois saisir lors de mon authentification en plus de mon mot de passe habituel. Cela se base donc sur ce que je possède (mon portable avec le soft permettant de générer les mots de passe) et ce que je sais (mon mot de passe).

L’authentification forte doit être utilisée pour les accès critiques, comme :

  • Votre compte bancaire
  • Votre compte de messagerie principale
  • Selon votre e-réputation : vos comptes de réseaux sociaux
  • Votre coffre-fort de mots de passe, qui devient un élément aussi critique que votre messagerie puisqu’il permet d’accéder à bon nombre d’identifiants.

Dans un avenir plus ou moins proche, on peut espérer que le mot de passe soit de moins en moins utilisé pour l’authentification. Bien qu’aujourd’hui, les systèmes d’authentification biométriques peinent à faire l’unanimité, alors que certains arrivent à prouver qu’ils sont facilement contournables (Ex : bypass Fingerprint biometrics using only a few photographs). On trouve de plus en plus de systèmes privilégiant l’authentification à doubles facteurs plutôt que des authentifications simplement constitués d’un facteur biométrique.

Quoi qu’il en soit, il est important d’avoir une politique des mots de passe personnels cohérente, car les mots de passe ne permettent aujourd’hui plus de simplement accéder à un monde virtuel, comme des forums ou des jeux vidéo, mais donnent accès à des éléments de la vie réelle qui deviennent aussi critiques que les clés de votre voiture ou de votre maison.

Partager :
Published inArticles

2 Comments

  1. De mon côté j’utilise Keepass et LastPass, avec de la double authentification sur toutes les appli sensibles pouvant créer de l’effet domino (messagerie, manager…)
    Par contre je pense qu’on peux établir un modèle « basé » sur chaque site si l’on veut se souvenir de tête de chaque mot de passe. Pas forcément en incluant le nom du site mais l’on peut procéder par une méthode un poil plus évoluée, par décalage, en ajoutant le nombre de lettres à une certaine position ou bien quelque chose sans rapport. Bref les possibilités sont assez infinies et il sera très difficile de déduire ce mécanisme sans posséder un nombre conséquent de mots de passe.
    Il faut aussi prendre un compte le stockage de mots de passe car encore de trop nombreux sites se permettent de stocker tout ça en clair

  2. Lorsque la double authentification n’est pas possible (utile), on peut utiliser le principe des PasswordCard comme expliqué ici : http://www.passwordcard.org/fr On conserve sur soit une carte personnelle unique et on choisit un numéro et une icone pour chaque site ou se créé un compte. En imaginant un mot de passe de 8 caractères, le nombre de possibilité est énorme.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *