Comme tout infor­ma­ti­cien, j’ai régu­liè­re­ment des appels au secours pour dépan­ner les ordi­na­teurs de mes con­nais­san­ces… La plu­part du temps, il s’agit d’ordi­na­teurs tour­nant avec MS Win­dows et ayant été con­ta­mi­nés par des virus. Outre une sen­si­bi­li­sa­tion aux com­por­te­ments de pré­cau­tion liés à la sécu­rité de leurs machi­nes, il se pose sou­vent la ques­tion du choix des mul­ti­ples mots de passe néces­sai­res à toute sor­tes de tâches ou ser­vi­ces infor­ma­ti­sés (accès pri­vi­lé­gié à cer­tains sys­tè­mes, ser­vi­ces de cour­rier élec­tro­ni­que, ban­ques, réseaux sociaux, sites de com­merce en ligne, etc). Quel con­seil don­ner sur ce choix des mots de passe ?

Quel­ques arti­cles récents m’ont poussé à refaire le point sur la ques­tion. Un pre­mier con­seil pri­mor­dial est qu’un mot de passe est per­son­nel, on ne doit jamais le com­mu­ni­quer à quelqu’un d’autre (voir ici et ) ! Ensuite, voici une liste de con­seils don­nés habi­tuel­le­ment sur les mots de passe :

  1. ne pas écrire ses mots de passe ;
  2. ne pas uti­li­ser le même mot de passe sur dif­fé­rents sites ;
  3. ne pas lais­ser son ordi­na­teur se sou­ve­nir des mots de passe ;
  4. uti­li­ser des mots de passe « forts », c’est-à-dire longs, avec des carac­tè­res de plu­sieurs types (minus­cu­les, majus­cu­les, chif­fres, ponc­tua­tion, etc) ;
  5. ne pas uti­li­ser un algo­rithme de cons­truc­tion de mots de passe pré­vi­si­ble du genre 123<nom du site>ABC ;
  6. chan­ger de mot de passe régu­liè­re­ment ;
  7. ne pas réu­ti­li­ser d’anciens mots de passe.

L’ordre de prio­rité de ces con­seils est sujet à dis­cus­sion (voir ici) mais tous sont basés sur 2 types d’atta­ques prin­ci­paux : les atta­ques par dic­tion­naire et les atta­ques sta­tis­ti­ques. Les atta­ques par dic­tion­nai­res, très bien décri­tes ici, con­sis­tent à essayer une mul­ti­tude de mots de passe en com­men­çant par les plus cou­ram­ment uti­li­sés. Ces atta­ques se font en géné­ral hors ligne et uti­li­sent des dic­tion­nai­res spé­cia­le­ment adap­tés (voir ici). Un des moyens les plus sim­ples de les empê­cher est de ren­dre impos­si­ble l’accès aux mots de pas­ses chif­frés et de limi­ter (à 3 par exem­ple) le nom­bre d’essais admis pour entrer un mot de passe (voir ici et on peut alors se per­met­tre des mots de passe plus sim­ples comme expli­qué ici). Les atta­quants ont con­tourné ces res­tric­tions en lan­çant des atta­ques sta­tis­ti­ques, c’est-à-dire que plu­tôt de con­cen­trer leurs efforts sur un compte par­ti­cu­lier, ils essaient de devi­ner les mots de passe d’un grand nom­bre de comp­tes et entrent dans le sys­tème par ceux dont les mots de passe sont les plus fai­bles. Un arti­cle récent pro­pose une pré­ven­tion qui peut être effi­cace con­tre ce genre d’atta­ques.

Con­crè­te­ment, que pou­vons-nous faire ? Il y a deux rai­sons pour les­quel­les il est très dif­fi­cile de res­pec­ter les con­seils ci-des­sus : d’une part l’homme a une mémoire défaillante et est pares­seux et d’autre part, il est tou­jours plus facile d’atta­quer le sys­tème que le mot de passe (voir les der­niers para­gra­phes de cet arti­cle), par exem­ple en uti­li­sant l’ingé­nie­rie sociale, d’où le con­seil pré­li­mi­naire de ne jamais com­mu­ni­quer son mot de passe à qui­con­que. Prag­ma­ti­que­ment, les con­seils 2, 3, 6 et 7 ne me sem­blent pas tena­bles en géné­ral…

La tech­ni­que que je pré­co­nise est d’appren­dre par cœur quel­ques mots de passe forts et de les uti­li­ser dans des con­tex­tes dif­fé­rents. Par exem­ple un pour les sites sur les­quels on dépose peu d’infor­ma­tion, et un autre groupe de sites plus sen­si­ble et enfin, un mot de passe spé­ci­fi­que pour les 2 ou 3 plus sen­si­bles (le tra­vail, celui qui donne accès à un ges­tion­naire de mots de passe, etc) qu’on pourra éven­tuel­le­ment chan­ger de temps en temps. Avec 5 ou 6 mots de passe com­plexes, on atteint la limite des capa­ci­tés de mémo­ri­sa­tion qu’on peut rai­son­na­ble­ment atten­dre de quelqu’un de non para­noïa­que.

Et pour reve­nir sur le con­seil n°1 de ne jamais écrire ses mots de passe, tout dépend du con­texte d’uti­li­sa­tion. Ainsi, il est évi­dent qu’il ne faut pas écrire sur un post-it collé sur l’écran de son ordi­na­teur le mot de passe d’accès aux res­sour­ces four­nies par cet ordi­na­teur, j’avoue avoir écrit sur un papier posé à côté de mon boî­tier d’accès à l’inter­net le mot de passe de mon réseau Wi-Fi per­son­nel. En effet, je con­si­dère que toute per­sonne arri­vant chez moi ou bien est un ami et donc auto­risé à accé­der au réseau, ou alors un voleur et ne vient pas pour accé­der à mon réseau ou à l’inter­net à tra­vers lui.

Pour con­clure, je rela­ti­vi­se­rai tout ceci en disant que se repo­ser uni­que­ment sur des mots de passe pour la sécu­rité est une pra­ti­que obso­lète et que d’avoir des mots de passe plus forts que la moyenne vous met déjà à l’abri des atta­ques auto­ma­ti­sées les plus cou­ran­tes.