Choisir un bon mot de passe n’est pas toujours simple, mais c’est un enjeu de sécurité toujours relativement important. Faut-il qu’il soit plutôt long ou qu’il contienne des caractères spéciaux ? Existe-t-il des techniques pour en générer qui soient facilement mémorisables ? Quelles sont les consignes à respecter ? On fait le point.
Au fil des mois, les annonces de fuites de données personnelles se multiplient, entrainant dans leur sillage les identifiants et mots de passe de millions d’utilisateurs. Il faut alors en changer.
Car la découverte d’un mot de passe peut vite faire boule de neige et avoir des conséquences importantes lorsqu’il s’agit du compte de messagerie ou que le mot de passe est utilisé sur différents sites. Le cas de Dropbox, dévoilé cette semaine, illustre d’ailleurs assez bien cette problématique dans un environnement professionnel.
Et bien que nombreux sont ceux qui cherchent à mettre à mort le mot de passe, en le remplaçant ou en le complétant par des liens générés à la demande ou de la biométrie, il est toujours là et devrait encore faire partie de notre quotidien pour de nombreuses années.
Se pose alors la question du choix d’un bon mot de passe et de l’hygiène numérique qui va avec. Nous avons décidé de nous pencher sur la question, de la création à la gestion de ces suites de caractères si importantes au sein d’un dossier qui sera diffusé tout au long du mois.
Un bon mot de passe, c’est quoi exactement ?
Avant d’étudier les différentes manières de choisir un mot de passe, il est important de définir ce que l’on appelle communément un bon mot de passe… et ce n’est pas chose aisée. Comme l’explique l’ANSSI, « en réalité, il n’existe pas de règle universelle » et de nombreux facteurs entrent en ligne de compte.
Le premier d’entre eux est certainement « sa force », ce qui correspond à sa capacité à résister à une attaque par énumération de toutes les combinaisons possibles. Plus le mot de passe est long et avec des caractères spéciaux, plus le nombre de combinaisons grimpe. Pour un code PIN à quatre chiffres par exemple, il n’existe que 10 000 combinaisons (de 0000 à 9999), alors qu’il y a en a plus de 450 000 pour un mot de quatre lettres (26^4) et plus de 7 300 000 si on ajoute des majuscules (52^4).
Pour vous faire une petite idée de la résistance d’un mot de passe à une attaque par force brute, l’ANSSI propose un petit outil. Il vous donne la taille de la clé équivalente (en bits), ainsi qu’une grille de lecture permettant de le situer (de très faible à fort). Pour avoir une bonne résistance, l’ANSSI recommande d’utiliser un mot de passe d’au moins 16 caractères dans un alphabet de 90 symboles (lettres, chiffres et caractères spéciaux).
Maintenant que les bases théoriques sont posées, passons à la pratique. Comme nous l’avons déjà expliqué, il n’y a pas de méthode universelle, juste un peu de bon sens et quelques astuces qui peuvent s’avérer utiles.
Résister à une attaque par force brute est une chose, mais il faut aussi que le mot de passe ne soit pas sensible à une attaque par dictionnaire. Pour cela, il ne doit pas s’agir d’un mot usuel de votre langue (et de n’importe quelle langue d’ailleurs). Par exemple, « password » est à proscrire, tout comme « catapulte ». Il ne faut également pas utiliser une suite logique telle que « 123456789 », « azertyuiop », « azeqsd123456 », etc.
Pour mieux cerner le problème, vous pouvez consulter la liste des pires mots de passe de l’année 2015 (Certains font d’ailleurs assez peur). Cette liste est basée sur les occurrences qui reviennent le plus souvent sur les bases de données qui ont fuité sur Internet, facilitant d’autant l’accès aux comptes des personnes concernées.
Sachez d’ailleurs que le site Have I Been Pwned permet de rechercher son identifiant/email dans les bases de données qui ont été publiées sur Internet. Le cas échéant, le site vous donne le service qui a laissé filtrer votre identifiant, la date à laquelle cela s’est passé et les autres données personnelles qui y étaient éventuellement associées.
Quelques recommandations à prendre en compte
Outre les éléments que nous venons d’évoquer, il y a tout un ensemble de règles qui peuvent être à prendre en compte dans la quête d’une bonne hygiène numérique :
- Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts
- Choisissez un mot de passe qui n’est pas lié à votre identité (nom de société, date de naissance, prénoms, etc.)
- Ne donnez jamais à personne votre mot de passe, sous aucun prétexte
- Ne tapez pas vos mots de passe sur une machine en laquelle vous n’avez pas totalement confiance
- Ne stockez pas vos mots de passe en clair sur votre ordinateur ou sur un post-it
- Ne vous envoyez pas vos mots de passe par email, SMS, pigeon voyageur, etc.
- Changez immédiatement vos mots de passe à la moindre suspicion de fuite
- Supprimez les emails de service qui envoient le mot de passe et/ou login lors de l’inscription
- Modifiez dès que possible les mots de passe par défaut de tous les systèmes/comptes
- N’utilisez pas d’expression simple comme « motdepasse » et/ou des suites de chiffres et de lettres
Pour les données sensibles (banques, correspondances privées, médicales, etc.) l’ANSSI va plus loin et recommande également de configurer vos logiciels et navigateurs (voir cette actualité à ce sujet) pour qu’ils ne se souviennent pas de vos mots de passe et de les changer tous les 90 jours. La récente fuite chez Opera ne peut que lui donner raison, les navigateurs ne stockant pas toujours les mots de passe de manière chiffrée localement.
- Accéder aux recommandations de l’ANSSI
- Accéder aux recommandations de la CNIL
- Accéder aux recommandations du CERN
Pour aller plus loin dans la sécurité informatique, sachez que l’ANSSI a publié l’année dernière un guide complet des bonnes pratiques à adopter.
Une simple phrase peut devenir un mot de passe compliqué
La CNIL recommande de son côté d’utiliser au minimum huit caractères et de piocher dans au moins trois types de symboles parmi les quatre existants : majuscules, minuscules, chiffres et caractères spéciaux. Pour d’autres, il est temps de passer à au moins dix caractères, tandis que l’ANSSI pousse jusqu’à 12 caractères, voire 16.
Mais comme nous l’avons déjà expliqué, la longueur d’un mot de passe ne fait pas tout et si c’est pour y coller « 123456789101112131415 » ou « aqwzsxedcrfvtgbyhn », cela ne sert à rien. La CNIL, rejointe par l’ANSSI et d’autres organisations, proposent des moyens mnémotechniques permettant de créer rapidement des mots de passe complexes à partir d’une phrase :
Vous pouvez évidemment adapter cette technique à votre sauce, avec vos propres règles. Il est d’ailleurs important de s’approprier une méthode unique et de ne pas reprendre celles que l’on peut trouver sur Internet sans aucun ajustement.
Poème, formule mathématique : le CERN déborde d’idées
Dans la même veine, le CERN explique que vous pouvez choisir quelques lignes d’une chanson ou d’un poème et utiliser la première lettre de chaque mot. Par exemple, « In Xanadu did Kubla Kahn a stately pleasure dome decree! » devient « IXdKKaspdd! ». Vous pouvez également utiliser une phrase de passe longue composée de l’ensemble des mots collés les uns aux autres. (InXanaduDidKublaKahnAStatelyPleasureDomeDecree!). Facile à retenir, avec une résistante importante et déclinable pour générer autant de mots de passe/passphrases que nécessaire.
Si vous êtes plus scientifique que littéraire, vous pouvez vous servir d’une formule mathématique comme mot de passe : « sin^2(x)+cos^2(x)=1 » et « ax²+bx+c=0 » par exemple. Évitez par contre « e=mc² » qui est vraiment trop courte, ainsi que des formules sur lesquelles vous travaillez.
Décidément inspiré sur cette question, le CERN explique que vous pouvez aussi alterner les consonnes et les voyelles pour créer un mot de passe qui ne veut absolument rien dire, mais que l’on peut plus ou moins prononcer et retenir facilement. Quelques exemples pour ce faire une idée : « Weze-Xupe » ou « DediNida3 ». Un concept que l’on peut décliner à l’infini ou presque.
La méthode de Diceware : cinq dés et une liste de mots
Dans un registre un peu différent, une planche de xkcd revient souvent lorsque l’on aborde mot de passe. Elle rappelle que si le premier « Tr0ub4dor&3 » semble compliqué et difficile à retenir à première vue, il n’est pas forcément plus robuste que « correcthorsebatterystaple » qui est sûrement plus simple à mémoriser (il est construit en collant plusieurs mots les uns à la suite des autres) :
Cette technique, dérivée de la méthode Diceware, est mise en avant par plusieurs organisations comme le service de Fédération d’Équipement Informatique et Réseau de l’institut universitaire de Brest (Feiri) et l’Electronic Frontier Foundation (EFF).
Le principe est simple : vous lancez cinq fois de suite un dé à six faces, pour obtenir un nombre à cinq chiffres (de 11 111 à 66 666). Vous récupérez ensuite le mot correspondant dans la liste des mots du dictionnaire Diceware et vous répétez l’opération cinq fois de suite pour récupérer cinq mots qui, mis bout à bout, constituent votre mot de passe.
L’EFF a récemment proposé sa propre version mise à jour de cette liste (en anglais) afin d’y intégrer des mots un peu plus longs en moyenne. De son côté, le Feiri de Brest en propose une version française pour ceux qui préfèrent la langue de Molière. Si vous avez connaissance d’autres listes de ce genre, n’hésitez pas à les signaler dans les commentaires afin que le reste de la communauté en profite.
Mais cette méthode ne fait pas l’unanimité non plus. Pour le spécialiste Bruce Schneier, le fameux exemple « correcthorsebatterystaple » de XKCD n’est « plus un bon conseil » car les logiciels pour craquer les mots de passe planchent déjà sur ce système (et ce depuis quelques années maintenant).
Un indicateur intéressant à prendre en compte : l’entropie
Il n’est donc pas toujours facile de s’y retrouver, mais des techniques permettent néanmoins de se faire une idée un peu plus précise de la robustesse d’un mot de passe : l’entropie (exprimée en bits). Derrière ce nom, se cache un indicateur qui permet de mesurer plus finement la force et la résistance d’un mot de passe en ne se basant pas que sur sa longueur, mais sur le nombre de combinaisons possible.
Sur le blog de Dotnico on retrouve de plus amples détails sur la définition de l’entropie d’un mot de passe, ainsi que sur les formules mathématiques derrière cette notion. On retrouve de plus en plus cette méthode, sans forcément s’en rendre toujours compte. Par exemple, lorsqu’un service affiche des codes couleur en fonction du mot de passe que vous tapez (rouge, orange et vert), il peut se baser sur sa longueur uniquement, mais aussi sur son entropie. Ainsi, un mot de passe de 12 caractères peut être indiqué comme mauvais, alors qu’un autre de 8 sera validé.
En 2012, Dropbox diffusait sur GitHub le code d’un petit outil de test de mot de passe qui se basait notamment sur cette notion d’entropie (mais pas seulement) : zxcvbn. Celui-ci donne de précieuses informations sur le temps estimé pour le trouver, sa robustesse et, le cas échéant, propose des idées afin de l’améliorer.
Entrez « 123456789 » et il répondra qu’il faudra généralement moins d’une seconde pour le trouver et qu’il fait partie du top 10 des mots de passe les plus courants… bref, à éviter comme on peut s’en douter. Même chose pour la suite « aqwzsxedcrfvtgbyhn » qui demande entre quelques secondes et mois pour être cassée.
Avec l’exemple « correcthorsebatterystaple » proposé par xkcd, l’outil détecte bien qu’il s’agit de quatre mots collés les uns aux autres et indique qu’il faudrait 8 heures à un ordinateur capable de traiter 10 milliards d’opérations par seconde, alors qu’il ne faudrait que 10 secondes pour « Tr0ub4dor&3 ».
Si l’on prend l’exemple de la formule « sin^2(x)+cos^2(x)=1 » proposé par le CERN, le temps de traitement passe à 31 ans alors qu’il faudrait des siècles pour venir à bout de la passphrase « InXanaduDidKublaKahnAStatelyPleasureDomeDecree! ».
Activer la double authentification… quand c’est possible
Il est possible d’aller plus loin et de renforcer la sécurité d’un mot de passe avec une double authentification. Pour cela, le service peut envoyer un code par SMS (mais cette méthode a ses limites) ou bien utiliser une application sur mobile. Ainsi, le mot de passe seul ne servira pas à grand-chose à un pirate.
Plusieurs grands services ont d’ores et déjà sauté le pas. C’est le cas d’Amazon (voire notre guide), Blizzard, Dropbox, Google, Twitter, GOG, etc. Pensez à faire de même sur vos NAS puisque Asustor, Synology ou encore QNAP proposent une telle fonctionnalité.
Dans la mesure du possible, il est recommandé d’ajouter une couche de sécurité supplémentaire. D’autant plus que les services permettent généralement de définir une machine comme étant fiable et n’ayant donc plus besoin d’une double authentification par la suite. Pratique pour son ordinateur de bureau par exemple (mais à éviter sur un portable qui peut facilement être perdu ou volé).
L’usage d’une clé USB U2F commence à se répandre
En plus des méthodes que nous venons d’évoquer, d’autres solutions se développent rapidement ces derniers temps. C’est par exemple le cas du standard U2F (Universal 2nd Factor) qui est géré par la FIDO (Fast IDentity Online) Alliance. Il s’agit pour rappel d’une fonctionnalité que nous avons détaillée dans cette actualité.
Dans la pratique, il suffit de brancher une clef USB U2F (on en trouve à moins de 10 euros) à votre ordinateur et parfois presser un bouton pour générer un code pouvant être vérifié par un service tiers. Par contre, pour que cela fonctionne, vous devez avoir lié une ou plusieurs clefs USB à votre compte. Un site de démonstration est disponible ici.
Plusieurs services comme Dropbox, GitHub ou Google les prennent en charge, tout comme certaines applications telles que Dashlane par exemple. Ce genre de clef peut aussi avoir d’autres usages, notamment dans le cas des Yubikey, pour peu que vous aimiez bidouiller un peu.
Privilégiez des services qui ont une bonne politique de gestion des mots de passe
Dans la mesure du possible, il faut privilégier des services proposant une connexion sécurisée (HTTPS) dès le formulaire de saisie du mot de passe pour éviter qu’il ne soit diffusé en clair, surtout si vous êtes sur un réseau Wi-Fi public ouvert (ce qui est à éviter). Problème, ce n’est pas toujours possible.
En outre, il faut éviter les services qui vous (r)envoient votre mot de passe en clair lors de l’inscription ou d’une demande de réinitialisation. Comme nous l’avions expliqué, cette pratique était encore répandue en 2012 et persiste toujours aujourd’hui. N’hésitez d’ailleurs pas à alerter la CNIL lorsque vous rencontrez pareils cas.
Attention aux outils en ligne pour tester et générer votre mot de passe
Que ce soit pour l’outil de l’ANSSI ou de Dropbox, il est important de préciser une règle importante : ne saisissez JAMAIS un mot de passe que vous utilisez sur un site en ligne qui se propose de vérifier sa solidité, même si celui-ci semble digne de confiance. Il peut très bien l’enregistrer dans une base de données et l’ajouter à son dictionnaire pour l’utiliser plus tard. Entrez un mot de passe qui lui ressemble dans la construction et la longueur, mais jamais le vôtre (ou trop proche du vôtre).
Il en est de même pour la génération d’un mot de passe. De nombreux sites se proposent de le faire pour vous, en prenant soin d’appliquer des règles strictes et fournir un mot de passe qui semble effectivement fort. Néanmoins, rien n’empêche de l’ajouter dans un dictionnaire maison afin de le garder au chaud pour plus tard.
Des solutions existent pour générer des mots de passe hors ligne
Il existe néanmoins des solutions qui permettent d’en générer localement sur votre ordinateur. Là encore, on recommandera d’être prudent et de passer par des solutions open source et/ou dont le code a été analysé de près par des experts indépendants.
C’est par exemple le cas de KeePass qui propose un générateur facile à prendre en main et performant (pensez d’ailleurs à ajouter de l’entropie via des mouvements de la souris ou des frappes aléatoires au clavier. Ce logiciel fait aussi office de gestionnaire de mots de passe, mais nous aurons l’occasion d’y revenir dans un prochain article.
Si vous avez GnuPG installé sur votre machine (voir notre dossier sur le chiffrement), vous avez aussi la possibilité de l’utiliser pour générer un mot de passe avec un nombre de caractères de votre choix via une simple ligne de commande. Voici par exemple ce qu’il faut taper pour générer un mot de passe de 30 caractères :
gpg --gen-random --armor 2 30
Faut-il changer régulièrement son mot de passe ?
Maintenant que vous avez trouvé un bon mot de passe, répétez l’opération autant de fois que nécessaire pour chaque service. Tout le monde s’accorde en effet pour dire qu’un mot de passe ne doit être utilisé que pour un seul service afin d’éviter une cascade de piratages en cas de fuite.
Mais la question qui vient juste après est de savoir s’il faut le changer régulièrement. Là, deux écoles s’opposent. La CNIL, l’ANSSI et le CERN par exemple, recommandent de le faire régulièrement, alors que d’autres comme Lorrie Cranor (technologue en chef à la FTC et membre du conseil d’administration de l’EFF) et le cryptologue Bruce Schneier prônent le contraire.
L’explication est en fait simple : oui changer son mot de passe régulièrement est une bonne idée, mais à condition de bien le faire. Il ne faut pas reprendre son ancien en appliquant simplement une petite modification (majuscule sur une des lettres, répétition d’un caractère à la fin, etc). Lorrie Cranor explique que les pirates sont au fait de ces techniques depuis longtemps et ont adapté leurs algorithmes en conséquence (voir cette étude).
Pour d’autres au contraire, changer de mot de passe régulièrement est important, notamment parce qu’une personne peut vous observer lorsque vous le saisissez ou bien arrive à le découvrir en fouillant sur votre ordinateur ou sur le réseau. Par exemple, si vous tapez accidentellement votre mot de passe à la place de votre nom d’utilisateur, il peut apparaitre dans les logs système sur certains serveurs. Pour les données sensibles, il est conseillé de le changer lorsque vous l’avez utilisé sur une machine qui n’est pas réputée « sure ». Bref, on n’est jamais trop prudent.
Tout le monde s’accorde par contre sur certains points. En cas de fuite de données (même simplement suspectée sans confirmation), il faut impérativement – et sans attendre – changer votre mot de passe. Idem si vous l’avez saisi sur une machine publique ou qui n’est pas réputée sûre. Un keylogger peut avoir été installé afin de récupérer l’ensemble des frappes au clavier.
Les gestionnaires de mots de passe pour éviter de devoir en mémoriser des dizaines
Bref, vous l’aurez compris, la sécurité est un point qu’il ne faut pas prendre à la légère et il vaut mieux passer du temps à trouver un mot de passe offrant une sécurité suffisante (à vous de trouver votre méthode), plutôt que des heures à jouer au pompier en cas de piratage, sans compter les possibles pertes de données.
Il n’est pas toujours facile de retenir des dizaines de mots de passe différents comportant chacun au moins 16 symboles et n’ayant aucun rapport les uns avec les autres. Pourtant, comme nous venons de l’expliquer, c’est une hygiène de vie que tout le monde devrait adopter pour renforcer sa sécurité.
Une solution pourrait donc être de passer par un gestionnaire de mots de passe, qui permet de les sauvegarder et de les synchroniser entre vos machines suivant les cas. La sécurité de votre « coffre-fort » est garantie par un mot de passe maitre qu’il faudra choisir soigneusement (toutes les règles que nous venons d’évoquer vous seront utiles). Il en existe plusieurs sur le marché (certains en open source avec un code audité), chacun avec ses avantages et ses inconvénients, mais nous aurons l’occasion de rapidement y revenir.
