À propos L’équipe Blog Recrutement Contact Espace Client
Contact
Sécurité

Éviter les pièges : Conseils pour renforcer vos mots de passe

Écrit le par Martial LILLO

Dès l’antiquité les biens et richesses étaient protégés d’abord par des portes puis renforcées par des serrures. Plus récemment, nos billets se dématérialisaient pour devenir une carte bancaire. Enfin aujourd’hui, le besoin de sécurité évolue puisqu’il est amplifié par l’accélération de la mise en réseau de nos appareils et la multiplication des opérations à distance.

Dans le même temps, derrière des écrans l’usurpation de nos identités numériques est aisée, sans visage et invisible.

Comment faire pour créer ou renforcer des mots de passe pour qu’ils deviennent robustes ? Comment et ou stocker mes mots de passe ? Quelles sont les erreurs à ne pas commettre ?

notions

Premiérement, une authentification est d’abord basée sur le principe « Prouveur/Vérifieur ».

Deuxiement, elle est matérialisée par un secret composé de deux phases : la phase d’identification, puis la phase d’authentification.

  • Le nom d’utilisateur : il s’agit de votre identité numérique d’utilisateur (= Qui), il est votre identifiant.
  • Le mot de passe : est quant à lui la preuve de votre identité (= Preuve), il est votre authentifiant.

Ainsi, l’ensemble forme une authentification, on parle aussi de « vos identifiants » ou encore « vos paramètres d’identification ».

L’identifiant

Il a évolué avec le temps pour être généralement matérialisé par votre adresse email. Toutefois, celle-ci est facilement reconstructible car elle est certainement votre adresse principale : MonNom@monprestataire.fr.

En effet, une personne malveillante, qui connait votre adresse email à déjà parcouru la moitié du chemin à la reconstruction de vos identifiants. Pour savoir si votre email est contenu dans des bases de données corrompues, c’est par ici : haveibeenpwned ?

Ainsi, en entreprise votre identifiant est généralement constitué de votre adresse de courriel professionnel suppléé par un second niveau de preuve que nous aborderons ultérieurement.

Avant l’ouverture de votre compte, il nous reste à prouver notre identité, c’est-à-dire présenter notre mot de passe.

Le mot de passe

Il doit être doté de qualités élémentaires correspondantes à la réalité du niveau de risque d’aujourd’hui.

Historiquement, considéré pour « cacher » nos informations, depuis :

  • L’évolution de la puissance de calcul de nos ordinateurs ;
  • L’ingéniosité des attaquants ;
  • Les informations disponibles (réseaux sociaux et techniques de l’OSINT) ;
  • Les techniques de l’ingénierie sociale ;
  • Les erreurs liées aux usages ;

Ont permis la découverte de nos mots de passe et leur utilisation à des fins malveillantes.

Toutefois, aider des statistiques et techniques de l’histoire de l’évolution des mots de passe, ci-après nous apprendrons à construire un mot de passe « robuste ».

Qu’est-ce qu’un bon mot de passe

Pour être à la hauteur de la mission confiée, voici nos règles d’or :

Tout d’abord, la branche technique :

En effet, il doit être constitué techniquement des éléments suivants :

Unique :

  • Vous devez avoir autant de mot de passe que de services utilisés. Nous traiterons la quantité quelques lignes plus bas.

Astuce : Si vous êtes propriétaire d’un domaine « @mondomaine.fr », une réponse est de créer un alias de messagerie par fonction ou service. Exemple : NomDuFournisseur@mondomaine.fr. afin que vous ayez autant d’identité que de compte.

Les critères de complexité :

  • Critère de longueur : À partir de 12 caractères, il est devenu un critère décisif (voir entropie).
  • Jeu varié de caractères : Majuscules, Minuscules, Chiffres et Caractères spéciaux sont toujours nécessaires.

Personnel :

  • Connu uniquement de vous

Fort :

  • Avoir une entropie adaptée : Peut être définie comme la force algorithmique nécessaire pour prévoir une combinaison qui est par essence non prédictible. Plus votre mot de passe est long meilleure est l’entropie.
    • Elle est calculée en bits et doit être supérieure à 80 bits selon les dernières recommandations de la CNIL.

Pour ce faire, il existe trois procédés techniques de création de mots de passe solides et faciles à retenir.

Ils ont en commun la phrase de passe, qui est basée sur notre capacité mnémotechnique :

Ainsi, le principe consiste à poser une phrase, une idée ou encore une image mémorisable pour vous, puis d’y appliquer l’un des procédés suivants :

Procédé 1 – Les premières lettres :

Exemple : Avec ArchiNet vous pouvez désormais fabriquer et retenir facilement tous vos mots de passe

AANvpdf&rftvmdp

Procédé 2 – La phonétique :

Exemple : J’ai acheté huit CD pour cent euros cette après-midi

Ght8CD%€7am

Exemple2 : J’ai reçu 5 cadeaux pour noël

Jaircu5KDO@nowel

Procédé 3 – la projection d’une l’image :

Contrairement à tout attente, une technique avec d’excellents résultats est de composer un mot de passe avec 4 ou 5 mots du dictionnaire, puis de les séparer par des caractères spéciaux et d’y parsemer des chiffres.

Exemple : En fin de soirée l’image du soleil couchant sur une colline d’une petite île vierge grec, vous êtes entouré de parfum d’herbe odorante et d’un silence remarquable par le bruit des éléments, le sifflement du vent dans les herbacés et le clapotis des vagues d’une mer émeraude.

Arrêtons de rêver et prenons les mots des sensations que cette image dégage chez vous :

grec unique fragrances bruissements émeraude

Ajoutons y des points virgules pour séparateur et des critères de complexité

gr3c;Unique;fr@grances;bruissement2;émeraude

Ce mot de passe est d’excellente qualité grâce à une entropie de 183bits. Et il est facilement mémorisable pour vous.

Ensuite, les éléments de la branche sociale :

En complément des aspects purement technique, ces éléments sociaux suivants vont permettre d’atteindre la dureté attendue à l’état de l’art.

En effet, il est aisé de comprendre que le nom de mon chien en tant que preuve de votre identité est une aberration.

Il est donc préférable :

  • Oublier les mots de passe contenants en totalité ou partie d’un mot du dictionnaire quel que soit la langue, à l’endroit comme à l’envers : Objectif : Non reconstructible/non devinable.
  • Se débarrasser d’un système d’incrément d’un mot de passe existant :

MotDeP@ss1234 sur le site N°1 et MotDeP@sse2345 sur le site N°2

  • Ne pas être écrit sur un support :
    • Pas de POST IT, pas de papier sous le clavier ou encore écrit sur un tableau mural ou encore ne pas être contenu dans un fichier non chiffré (fichier texte ou Excel).
  • Bannir les rapports psycho-sociaux :
    • Ne pas contenir d’information personnelle (nom, prénom, date de naissance, voiture préférée, nom du chien, équipe de foot supportée, etc.).
    • Ne pas contenir de lien avec le service concerné (CreditAgricole5, mdpH0tm@il, etc.).

Objectif : Rendre le mot de passe impossible à deviner même à partir de données personnelles.

Les mots de passe à l’ère digitale

La quantité galopante des comptes à retenir, la rapidité et la circularité des accès, le niveau de risque d’accès et la multiplication des supports complexifient la gestion de nos mots de passe. Dans cet esprit, me souvenir d’une liste d’identifiants qui ne cesse de s’allongée n’est pas une mince affaire, voire impossible.

En effet, il est estimé qu’un adulte détient en moyenne 100 mots de passe et que cela ne fait qu’augmenter.

Tous ces éléments nécessitent de trouver des réponses à cette gestion envahissante. En entreprise, votre RSSI à traité cette question que vous pourrez retrouver dans la politique des mots de passe et de vous y conformer. Ainsi que pour les individus, c’est ici qu’entre en scène le gestionnaire de mot de passe, encore nommé « coffre-fort numérique ».

Des solutions abouties gratuites ou payantes offrant un très bon niveau de sécurité sont disponibles.

CONSTATS & bonnes pratiques

L’objectif est de détenir vos identifiants de façon sécurisée et de pouvoir y accéder à tout moment.

Pour les entreprises, il existe des solutions locales, intégrables à l’environnement d’exploitation ou encore en ligne.

Les études du Gatner et de Microsoft font évoluées le paradigme des critères de complexité imposés aux utilisateurs qui ont un effet négatif jusqu’à devenir contre-productif à mesure qu’elle s’empilent. C’est pourquoi les mots de passe AZERTYUIOP, m0td3p@Sse ou encore P@ssword1234, sont encore légion.

L’ANSII et la CNIL font régulièrement évoluées leurs recommandations pour aujourd’hui privilégier la solidité au renouvellement.

Etudions comment gérer la masse de nos mots de passe.

Le gestionnaire de mots de passe

Qu’est-ce qu’un gestionnaire de mots de passe ?

Il s’agit soit d’un logiciel local ou d’une application Web

  • 1/ Logiciel local.

Le .kdbx est au gestionnaire de mots de passe ce que .docx est à Microsoft Word.

De plus, ce format est construit pour être hautement sécurisé (chiffrement militaire). Il est lisible par d’autres logiciels de gestion de mots de passe et peu gérer simultanément plusieurs bases de données.

  • 2/ Une application Web

Son format est systématiquement propriétaire (l’import et l’export est possible), elle propose une application pour votre mobile et peut ne pas nécessiter internet pour être fonctionnelle.

Quelques idées reçues :

Le gestionnaire de mots de passe n’est pas fiable

En effet, il arrive que des bases de données « fuitent » sur internet après une attaque réussie. Premièrement, c’est pourquoi votre service informatique aura pris toutes les garanties d’une solution conforme et certifiée pour atteindre l’état de l’art à la gestion de vos mots de passe. Deuxièmes, la base de donnée de votre gestionnaire de mot de passe est hautement chiffrée par une clef unique (votre solide mot de passe).

Ainsi, même si votre fichier arrivait entre des mains malveillantes et qu’un mot de passe solide protège ce fichier alors le malfrat aura à mettre des moyens colossaux sur plusieurs années pour tenter de percer la base de données de votre coffre-fort.

C’est inutile, car il n’y a pas de garantie à 100%

Tout comme il n’y a pas de coffre-fort impénétrable, la garantie à 100% est un leurre pour la raison simple qu’elle dépend étroitement de son environnement et de ses usagers. Pour autant, il existe des coffres-forts physiques. Le gestionnaire de mot de passe est un outil précieux, facilitateur et garant du maintient en sécurité de vos mots de passe.

Ne sont-ils pas plus vulnérables par le fait d’être stocké au même emplacement ?

Votre base de données se situe soit sur votre disque dur soit sur un Cloud. Le fichier de base de données est stocké de manière sécurisée et la seule façon de l’ouvrir est votre mot de passe que seul vous connaissez. Cette dernière sert à mécaniquement chiffrer / déchiffrer le fichier.

Finalement le plus risqué, est la corruption de votre fichier des suites d’un dysfonctionnement ou casse de votre disque. Peut-être réfléchir à une solution Cloud dans le but d’éliminer le risque matériel ?

Notre mémoire est plus performante ?

C’est exacte ! mais elle n’est pas infaillible, et c’est encore plus vrai quand on rentre de congés bien mérités. Le gestionnaire de mots de passe se souvient de vos mots de passe à coup sûr, il ne cliquera pas sur le bouton « Mot de passe oublié ». Désormais cette charge lui incombe.

C’est compliqué à mettre en place ?

Certes, cela nécessite un peu d’investissement de votre part, qui comporte deux phases :

  • La phase d’intégration :

Qui consiste en deux étapes : D’abord à vous familiariser avec l’outil et ses options puis à son intégration dans vos actions quotidiennes. (Lors de cette étape, par précaution vous garderez un duplicata de vos mots de passe, le fameux « au cas ou » !).

  • La phase d’exploitation :

Désormais en confiance, vous vous rendrez compte que vous fabriquez des mots de passe très complexes inconnus de vous-même.

Allez-y, il n’y a que des bénéfices. Vous serez plus léger !

L’évolution de l’hygiène digitale doit évoluer, et les entreprises ont un intérêt direct à éveiller, sensibiliser chaque population à la gestion des mots de passe dans votre rôle de pare-feu humain.

Mon hygiène digitale

Maintenant intégré dans vos habitudes de travail, vos mots de passe sont sécurisés, à l’abri des regards indiscrets !

Désormais, vous ne connaissez que vos 15 mots de passe primaires.

Ces évolutions poussent les éditeurs du marché à vous proposer de nombreux services liés à vos mots de passe :

  • Le coffre-fort de votre navigateur ;
  • Un coffre-fort dans votre antivirus ;
  • Un remplissage automatique des champs lors de votre navigation ;
  • L’enregistrement de votre carte bancaire ;
  • L’enregistrement de votre adresse postale personnelle et professionnelle.

Gardez l’objectif à l’esprit, confier la charge de la gestion de vos mots de passe dans une logique d’évolution de votre hygiène digitale car même les challengers peuvent être une cible de choix.

Par ailleurs, quelques règles d’or supplémentaires :

  • Séparez vos mots de passe personnels de ceux professionnels (créez deux bases de données au besoin).
  • Enregistrer vos mots de passe uniquement dans vos gestionnaires de mots de passe, évitez les coffres-forts des navigateurs.

Pour aller plus loin et bien que désormais robustes, vos mots de passe rencontrent deux états, « au repos » ou « en transit » .

Nous venons de traiter l’état « au repos ». Pour ce qui concerne l’état « En transit », il faut avoir à l’esprit que vous « transmettez » vos mots de passe (sites internet, courriels), il est ainsi recommandé de vérifier que le transport utilisé soit chiffré.

C’est à dire vous assurer de la présence du cadenas vert dans la barre d’adresse de votre navigateur et vérifier le protocole de votre messagerie :

  • Navigateur : https:// ;
  • Messagerie : POP3 ou IMAP4 (avec SSL) ;

le futur

Avez-vous remarqué que de plus en plus de services vous demandent une seconde preuve de votre identité ?

Cela se nomme la double authentification ou authentification a deux facteurs (MFA ou 2FA). Elle peut prendre trois formes de facteurs d’authentification, celle la plus utilisée et que nous voyons ici est le facteur d’authentification dit « de possession » (Preuve par ce que vous possédez)

L’objectif est d’avoir deux preuves de votre identité. Il s’agit ici de renforcer l’accès à votre compte par le pré enregistrement d’un objet ou d’une application.

En outre, cela se matérialise :

  • Soit par une application sur votre téléphone (Authenticator) ;
  • Soit par l’envoi d’un code sur votre email ou SMS (OTP) ;
  • Ou encore via un « coffre-fort » physique matérialisé par une clef USB (Yubikey) ;
  • Soit une combinaison de ces derniers moyens.

Rappelez-vous, vous ne vous souvenez plus de la grande majorité de vos mots de passe.

En effet, l’objectif marché est de ne plus avoir de mots de passe mais ce Graal n’est pour tout de suite, il faut donc se prémunir du risque actuels dés aujourd’hui.

Bien qu’assez éloigner, les chercheurs et entreprises à la pointe de la cryptographie travaillent déjà à trouver une réponse à la puissance des résultats des calculs quantiques.

En effet, les bases de la cryptographie n’ont plus l’efficacité escomptée face aux ordinateurs quantitiques.

A retenir

En bref :

  • Vos authentifiants sont le dernier rempart à votre sécurité digitale ;
  • Faites évoluer vos pratiques en utilisant un gestionnaire de mots de passe ;
  • Vous devez utiliser la double authentification dés quelle est proposée ou disponible ;
  • Une fois par an, renouveler 10 de vos anciens mots de passe ;
  • Un mot de passe fort accompagné d’une gestion simplifiée vous permet de vous focaliser sur votre métier ;
  • Vos mots de passe continuent d’évolués, préparez-vous à l’évolution du conseil ;
  • au repos vos mots de passe doivent être chiffrées ;
  • En transit, vos mots de passe doivent être convenus des protocoles chiffrés ;

Vous pouvez être fier :

  • Vos mots de passe sont robustes ;
  • Vous protégez vos contacts et votre environnement ;
  • Vous vous libérez du temps et de la charge mentale ;
  • Vous utilisez les pratiques de « l’homme de l’art » ;

Cela fait un point qui est adressé dans le dossier de votre hygiène digitale.

Ainsi, ArchiNet est là pour vous accompagner à votre évolution.