Jiga

Votre mot de passe est-il sécurisé ?

Les idées reçues

choisir un mot de passe sécurisé Jusqu’alors nous pensions qu’un mot de passe sécurisé devait comporter une combinaison de lettres en minuscules et majuscules avec des chiffres et caractères spéciaux. L’idée lancée au départ par l’expert américain Bill Burr aurait contribuée à populariser des pratiques qui ont facilité le travail des pirates. Des associations de lettres et de chiffres ont été popularisés comme l’utilisation d’un « 4 » à la place d’un « A » ou encore l’utilisation d’un « 0 » pour un « O ». Ainsi les hackers n’ont eu qu’à intégrer ces variations qui semblaient sécuriser dans leurs bases de données. Nous devons reconsidérer cette pratique car la plupart des utilisateurs ont appliqué ces conseils qui ne sont “fondés sur rien” aurait confessé Bill Burr. Ils sont certes difficiles à déchiffrer et même difficile à retenir pour les humains mais il n’en est rien pour les machines actuelles qui couplent la méthode du brute force et le dictionnaire de mots de passe. Le brute force consiste à essayer une à une toutes les combinaisons possibles.

Have I been pwned ?

Have I Been Pwned Un expert en sécurité informatique australien a créé un site appelé « Have I been pwned »  répertoriant plus de 300 millions de mots de passe récoltés dans les fuites de données. Ce site permet aux utilisateurs de modifier ou déterminer un nouveau mot de passe. L’outil principal de ce site est la vérification de piratage ou non de son adresse mail. Plusieurs grand sites ou services ont été piratés, ce qui a donné lieu à des traitements médiatiques plus ou moins importants comme par exemple Adobe en 2013, Dailymotion ou encore Sony.  Lors de ces piratages plusieurs informations concernant les utilisateurs ont pu être dérobées comme les adresses e-mails et mots de passe associés. L’intérêt de cet outil est de vérifier si votre adresse mail a été retrouvée dans un des fichiers piraté en précisant notamment les informations associées qui ont pu être subtilisées. La plateforme qui est en anglais mais très intuitive vous permet donc de réagir et de modifier votre mot de passe si vous êtes concernés. Un autre service sur le même site « Pwned Passwords » permet, quant à lui, de consulter les mots de passe piratés présents dans les bases de recherches des hackers. Le concepteur du site, Troy Hunt lui-même explique qu’il est dangereux d’envoyer un mot de passe à un service tiers y compris son propre site. Il doit être utilisé simplement pour vérifier des mots de passe qui ne sont plus utilisés, il permettra de renseigner sur la vulnérabilité des mots de passe utilisés et des éventuelles expositions à des fuites par le passé. D’autres outils sont également disponibles sur ce site comme la vérification d’un nom de domaine entier, la possibilité de recevoir des notifications pour des adresses mails ou encore avoir la liste des différents sites ou services ayant été sujet à des fuites. Il est très probable que la plateforme s’améliore avec de nouvelles fonctionnalités dans le futur, à suivre…

Les préconisations à ce jour

Plusieurs préconisations sont en vigueur aujourd’hui. La NIST (National Institute of Standards and Technology) souligne qu’il n’y a pas de règle absolue pour la création d’un mot de passe. Néanmoins d’après des travaux universitaires, des mots de passe composés de plusieurs mots sans lien logique entre eux seraient bien plus difficiles à déchiffrer que les mots de passe courts, complexes et difficiles à retenir. D’après l’exemple choisi par les Echos « Il faudrait plus de 550 ans à des hackers pour déchiffrer le mot de passe “Batteries correctement branchées”, selon des travaux universitaires, tandis qu’il ne leur prendrait que 3 jours pour déchiffrer “Tr0ub4dor & 3″ » L’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise depuis 2012 de composer son mot de passe avec au moins douze caractères. Pour augmenter la complexité et faciliter la mémorisation, l’utilisation de la méthode phonétique est suggérée. Par exemple pour la phrase : « J’ai acheté neuf DVD pour cent euros cet après-midi » le mot de passe serait « gHt9DVD%E7am ». Dans le même principe il existe la méthode des premières lettres, par exemple avec l’expression « Ce n’est pas au singe qu’on apprend à faire la grimace » cela  pourrait donner « cN’epAsQ’oAaFlG » Il est tout de même déconseillé d’utiliser des expressions connues elles seront logiquement utilisées par bon nombre de personnes et seront plus vulnérables. Rien de mieux qu’une phrase purement personnelle ou totalement inventée. ANSSI - Autorité National de Défense et de Sécurité des Systèmes Voici les recommandations que vous pouvez retrouver sur le site de l’ANSSI :

  • Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
  • Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
  • Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
  • Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.”

Deux méthodes sortent de ce constat : 1 – Enchaîner des noms communs : “patate.ruban.peintre.couloir” 2 – Composer un mot de passe de plus de 12 caractères selon la méthode phonétique ou celle des premières lettres : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am A vous de trouver le mot de passe qui vous convient !

Réagir

captcha *