Les mots de passe
Des mots de passe et des Hommes
Quand on y réfléchit, une bonne partie de notre vie numérique se trouve derrière des mots de passe et ces informations peuvent souvent être très sensibles, comme par exemple nos données bancaires ou médicales.
Pour préserver votre identité numérique, il est donc essentiel que ces mots de passe ne puissent pas être hackés par des personnes malveillantes.
Dans cette partie, nous nous intéresserons à cet élément central et incontournable qui est par ailleurs aussi souvent le talon d’Achille de la sécurité informatique.
Des mots de passe cryptés, pas si cryptés que ça...
Quand vous vous inscrivez dans un service en ligne qui vous demande de vous identifier, vous devez choisir un mot de passe. Ce mot de passe sera crypté par le service que vous utilisez. Ainsi, votre mot de passe blabla2019 sera transformé en une longue suite de chiffre, de lettres et de symboles qui, théoriquement, ne permettrait pas à des tiers de retrouver votre mot de passe initial. Puisque vous êtes le ou la seul·e à connaître ce mot de passe, si vous l'oubliez, vous devrez en choisir un nouveau en le réinitialisant.
L'histoire pourrait s'arrêter là si les mots de passe étaient incassables... malheureusement, ce n'est pas le cas! En théorie en tout cas, aucun mot de passe n'est inviolable.
John the Ripper et la divination
Parmi les nombreuses méthodes qui existent pour casser ou découvrir les mots de passe, prenons deux exemples qui pourraient nous aider à mieux comprendre, dans un deuxième temps, comment se protéger.
John the Ripper
Vous connaissez certainement Jack l'éventreur (Jack the Ripper), le célèbre assassin londonien. John the Ripper, son petit frère numérique, est un logiciel qui permet de casser des mots de passe sur la base du mot de passe chiffré.
Dans les grandes lignes, il arrive fréquemment que de nombreux services en ligne se fassent hacker, mettant ainsi à nu toutes les données qu'ils contiennent. Imaginons un instant qu'Amazon soit attaqué et qu'une partie des données des client·e·s fuitent. Ces données, qui sont souvent revendues sur le Dark Net, pourraient contenir votre mot de passe crypté. A l'aide de John the Ripper, une personne malveillante pourrait tenter de casser votre mot de passe. Le logiciel, qui fonctionne en partie sur un ou plusieurs dictionnaires, va tenter un nombre très important de combinaisons par minute: "motocyclette", "motocyclette1", "motocyclette2022", etc. et ce jusqu'à ce qu'il trouve votre mot de passe. Par conséquent, plus votre mot de passe est court et/ou commun, plus le processus sera rapide. A titre d'exemple, il suffit de 0.29 millisecondes pour découvrir le mot de passe "12345678" ou à peine plus de 27 secondes pour "banane".
La devination
La deuxième méthode couramment utilisée s'appelle la devination. Imaginons que vous êtes né·e en 1983 et que vous aimez particulièrement l'athlétisme. Votre mot de passe pourrait être athlétisme1983.
La divination est une méthode qui consiste deviner ce que la personne-cible aurait pu choisir comme mot de passe en se basant sur des données personnelle (année de naissance, lieu de vie, loisirs, noms et dates de naissance de l'époux·se ou des enfants, etc.) récoltées sur le net.
Ces données pourraient par la suite être insérées dans le dictionnaire de John the Ripper afin de personnaliser (et de rendre plus efficace) la recherche.
Des solutions concrètes pour renforcer la sécurité de vos mots de passe
Comment choisir ses mots de passe?
En se basant sur les deux méthodes que l'on vient de parcourir, on peut en retirer quelques leçons et donc quelques pistes à suivre (ou à éviter lors du choix de mots de passe).
A éviter dans le choix de mots de passe:
-> des mots du dictionnaire (cabane, pizzeria, consulat, etc.)
-> des chiffres, des nombres ou des dates de naissance (16052021)
-> des éléments directement liés à votre vie ou à celle de votre entourage proche
Mais alors, il reste quoi?
Vous pouvez tout d'abord choisir une phrase avec ou sans espaces qui a du sens pour vous (et donc dont on se souvient facilement), comme par exemple:
J'aime la soupe de myrtilles
-> j'aiescaladélecervinen2020
Une autre technique consiste à penser au refrain de votre chanson préférée, comme par exemple:
-> Libérée, délivrée, je ne mentirai plus jamais.
Ce refrain donnerait le mot de passe suivant:
-> L7D8J2N2M8P4J6
Concrètement ici, on prend la première lettre de chaque mot, puis le nombre de lettres que contient chaque mot. Ainsi, Libérée commence par un L et contient 7 lettres... donc: L7, et ainsi de suite.
Diversifier ses mots de passe
Un mot de passe, c'est un petit peu comme une clé d'appartement, de vélo ou de boîte aux lettres. Normalement, vous devriez avoir un mot de passe différent pour chaque application ou service que vous utilisez. Il faut donc éviter d'utiliser plusieurs fois le même mot de passe tout simplement parce que si un des services que vous utilisez est hacké, les personnes auraient alors potentiellement accès à toutes les autres applications pour lesquelles vous utilisez les mêmes mots de passe.
Utiliser un logiciel de mots de passe
Si l'idée de trouver autant de mots de passes différents vous rebute (et en plus de vous en souvenir), pourquoi ne pas utiliser une application de mots de passe?
Il existe de nombreuses solutions sur le marché, payantes comme gratuites... Si vous utilisez le navigateur Firefox (ce que nous vous recommandons fortement), le plus simple et efficace est d'utiliser Firefox comme gestionnaire de mots de passe. Pour ce faire, il faut avoir fait au préalable un compte dans Firefox, aller dans les options en haut à droite de la fenêtre de navigation et choisir "Mots de passe".
Activer l'authentification à deux facteurs
Par ailleurs, chaque fois que vous le pouvez, cela vaut la peine d'activer l'authentification à deux facteurs... quand vous vous connectez avec un nouvel appareil, l'application va vous envoyer un code par téléphone ou va vous demander de passer par une application de codes pour vérifier et confirmer votre connexion.
Des mots de passe à changer régulièrement
Enfin, il est nécessaire de changer régulièrement ses mots de passe. En effet, quand il y a une fuite de données dans un service, site ou application, les mots de passe et les identifiants se retrouvent régulièrement sur le Dark Net. Changer de mot de passe permet donc d'éviter que ces données ne soient utilisées par des tiers.
Vérifier régulièrement les fuites de données
En utilisant Firefox Monitor, il est possible de voir si les adresses e-mail que l'on utilise sont liées à un service qui a connu des fuites de données. Il suffit d'y inscrire la ou les adresses e-mail que l'on utilise. Il est par ailleurs possible de sélectionner l'option qui offre la possibilité d'être tenu·e informé·e en cas de nouvelle fuite.