Cadenas et clavier

Juste pour m’assurer que ce soit clair pour tout le monde :


Utilisez un gestionnaire de mots de passe, c’est la plus importante chose Ă  faire sur toute votre vie numĂ©rique


J’ai Ă©cris un tutoriel pour vous apprendre Ă  utiliser Bitwarden.

Je vous conseille chaudement de lire l’article de Wonderfall sur les mots de passe aprĂšs avoir lu le mien, car il va dans la continuitĂ© de mon article.

Les mots de passe

Site web : Votre mot de passe ne comporte que des lettres !

Vous : Faut que je rajoute un caractÚre spécial en plus ???

Site web : Votre mot est passe est trop court !

Vous : SĂ©rieusement ? Bon je vais rajouter un arobase

Cette situation a probablement dĂ©jĂ  dĂ» vous arriver, mais pourquoi ces sites web nous embĂȘtent tant ? Et pourquoi je ne peux pas utiliser mon super mot de passe “monchat84” ?

Aujourd’hui, les mots de passe posent beaucoup de problĂšmes pour beaucoup de monde. Un mot de passe permet de dire au service auquel vous vous connectez que vous ĂȘtes bien celui que vous prĂ©tendez ĂȘtre.

Cependant, trop de gens ont tendance Ă  utiliser une application de prise de notes en ligne (tel que OneNote, Google Keep, un fichier Excel dans le Drive, etc.), noter ça sur un post-it, ou pire encore, d’utiliser le mĂȘme mot de passe sur tous leurs comptes !

Le principe de mettre le mĂȘme mot de passe partout est peut-ĂȘtre plus facile pour vous, mais ça l’est aussi pour un attaquant ! Si quelqu’un arrivait Ă  vous pirater ou pirater n’importe quel site auquel vous vous ĂȘtes connectĂ©, vous perdez tous vos comptes !

Vous pouvez vĂ©rifier si vos identifiants ont Ă©tĂ© victime d’une fuite en allant sur haveibeenpwned, un compte twitter est Ă©galement disponible pour ĂȘtre au courant des derniĂšres failles.

Juste pour que vous comprenez bien le problĂšme d’utiliser le mĂȘme mot de passe sur tous les comptes, je vais vous faire un exemple :

  • Vous vous connectez avec le mot de passe 123456 sur Gmail.
  • Puis avec le mĂȘme mot de passe sur Netflix.
  • Puis sur LinkedIn.
  • Puis… oooh, grosse faille sur LinkedIn, vos mails et vos mots de passe sont dans la nature.

(LinkedIn est un exemple fictif)

N’importe qui peut se connecter Ă  n’importe lequel de vos comptes, puisque tout le monde a votre adresse mail et votre mot de passe.

Donc utilisez un mot de passe différent pour chaque site.

Pourquoi un mot de passe doit comporter des majuscules et des caractÚres spéciaux ?

Tout simplement parce que cela augmente considĂ©rablement l’entropie du mot de passe.

Ah ! Toi aussi tu as vu le film Tenet ?

Pour expliquer simplement, l’entropie est la mesure du dĂ©sordre.

Plus vous ajoutez des caractÚres spéciaux, des chiffres et des lettres, plus vous augmentez le désordre, donc par définition son entropie.

Il faut bien comprendre que ce n’est pas une personne qui va deviner un par un les mots de passe, mais des programmes spĂ©cialisĂ©s pour ça. Ces logiciels se basent sur des dictionnaires et vont agir par attaque par force brute (ou plus communĂ©ment appelĂ© bruteforce). C’est-Ă -dire qu’ils vont s’appuyer sur des banques de mot (par thĂšme, par pays, etc.) et vont ĂȘtre concatĂ©nĂ©s avec les informations fournies par l’attaquant.

Exemple :

Dans une situation un peu plus rĂ©elle, l’attaquant va scruter vos rĂ©seaux sociaux, comprendre vos goĂ»ts, vos habitudes, vos envies, etc. Le hacker utilisera ce fichier comme base, puis y ajoutera certains paramĂštres Ă  ce programme telles que -liste non-exhaustive- :

  • Changement de certains caractĂšres en d’autres (les “a” peuvent ĂȘtre des @ ou des 4, les “e” peuvent ĂȘtre des 3, les “o” peuvent ĂȘtre des 0 (zĂ©ro), etc.)

    Donc oui, m0t 2 p@ss3 ne vous aidera pas non plus.

  • Nombre de caractĂšres possible

  • Ajout d’informations personnelles de la victime (par exemple, son prĂ©nom, son nom, les noms de son entourage, son Ăąge, le prĂ©nom de ses animaux, etc.)

Imaginez que vous avez un chat qui s’appelle Lollipop, que vous ĂȘtes nĂ© en 1985, que vous adorez monter Ă  cheval et que toutes ces informations soient disponibles sur Internet par l’intermĂ©diaire des rĂ©seaux sociaux. Le hacker va tĂ©lĂ©charger une banque de mots concernant les activitĂ©s sportives, supprimera les mots superflus, ajoutera 1985 ou 85 dans ses paramĂštres et aussi le nom de votre chat Lollipop.

Une fois les paramÚtres ajustés et le logiciel lancé, toutes les combinaisons possibles seront testés (des centaines de milliers, voire millions). Exemple :

  • 1985cavalier
  • cavalier1985
  • cavalier85
  • lollipop1985
  • lollipop85
  • sabot85
  • s@bot85
  • etc.

Voici un exemple de dictionnaire qu’on appelle aussi communĂ©ment une wordlist (cette liste comporte 1 million de mots) : Wordlist française.

Il est important de noter que mĂȘme si votre mot de passe ressemble Ă  ça :

t4@#L"5A

Il peut ĂȘtre devinĂ© (par un ordinateur) en quelques jours seulement, alors que pourtant, le mot de passe contient tout ce que les sites web demandent :

  • 8 caractĂšres
  • Chiffres
  • Majuscules
  • Minuscules
  • CaractĂšres spĂ©ciaux

Le problĂšme que beaucoup de gens et de sites web oublient, c’est que l’entropie du mot de passe ne se joue pas uniquement sur sa complexitĂ©, mais Ă©galement et surtout sur sa longueur.

Au passage si votre mot de passe fait moins de 8 caractĂšres, c’est crackĂ© en quelques secondes, voir moins d’une seconde.

Un bon mot de passe est un mot de passe qui est complexe et long. Si votre mot de passe ressemble à ça :

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

C’est super long, mais c’est devinable en moins d’une seconde pour un ordinateur. D’oĂč l’importance de la complexitĂ© du mot de passe.

Un bon mot de passe serait quelque chose comme ça :

@UpXg$atJqQue@x43C8B&matxz4Ed&!C

Mais t’es malade, comment crois-tu que je vais retenir ça ???

En effet, c’est compliquĂ© Ă  retenir. On peut cependant changer ça trĂšs simplement en Ă©crivant des phrases et non des mots de passe. Voire mieux, utiliser un gestionnaire de mots de passe.

Les phrases de passe

xkcd entropie


L’image vient de xkcd.

Je vous recommande encore une fois l’article de Wonderfall qui explique trĂšs bien cette image.


Les phrases de passe sont une excellente maniÚre (pour un humain) de retenir ses mots de passe simplement tout en ayant une entropie élevée.

On a la chance d’ĂȘtre français, car nous possĂ©dons beaucoup de caractĂšres spĂ©ciaux dans notre langue, tel que justement :

  • le ç
  • l’apostrophe
  • les lettres avec accent (Ă©, Ăš, Ă , etc.).

Notez aussi que l’espace est un caractĂšre spĂ©cial exactement comme le # ou le !. Écrivez ces phrases dans le champ de mot de passe comme si vous Ă©criviez la phrase en vrai (la majuscule au dĂ©but, les espaces, le point Ă  la fin et les apostrophes).

Donc une phrase de passe comme…

J’ai mangĂ© une cĂŽte de boeuf Ă  15 €.

…est parfaitement viable. (N’oubliez quand mĂȘme pas de rajouter des chiffres). C’est viable, car le mot de passe respecte les conditions :

  • 36 caractĂšres
  • 2 chiffres (15)
  • La majuscule (J)
  • Les minuscules
  • Les caractĂšres spĂ©ciaux ( l’apostrophe ', les espaces , le Ă©, le ĂŽ, le symbole € et le point final .)

On voit tout de suite que c’est plus facile Ă  retenir qu’un mot de passe de 36 caractĂšres alĂ©atoires.

La méthode diceware

DĂ©s

Cependant, la phrase reste prévisible et est trop personnelle. Une bonne phrase de passe ressemblerait plutÎt à ça (aussi appelée méthode diceware) :

timing paving hertz bacterium pliable angelfish

Qui est Ă©galement le titre de l’article de Wonderfall que je vous recommande vivement.

Tous ces mots sont gĂ©nĂ©rĂ©s alĂ©atoirement (par un ordinateur, et non par un humain). Il n’y a pas de majuscules ou de chiffres, mais il possĂšde 6 mots gĂ©nĂ©rĂ©s complĂštement alĂ©atoirement.

L’avantage de cette mĂ©thode est qu’elle nous permet d’avoir des mots de passe longs et complexe mais facile Ă  retenir ! Donc si vous choisissez vous-mĂȘme vos mots pour crĂ©er une phrase de passe, ça ne fonctionnera pas ! GĂ©nĂ©rez-le grĂące Ă  Bitwarden par exemple, et ne changez pas les mots !

Si vous souhaitez aller un peu plus loin, rajoutez un chiffre quelque part dans la phrase de passe, ou en plein milieu d’un des mots (comme timing devient tim5ing) et ne changez pas les a avec des @ ou tout autre combine de la sorte, car c’est pris en compte dans les attaques, et donc complĂštement inutile. Vous deviendrez beaucoup plus imprĂ©visible en rajoutant un chiffre au milieu d’un des mots et/ou un caractĂšre spĂ©cial. Mais trĂšs franchement, c’est plutĂŽt pour Ă©pater la galerie, une phrase de passe de 6 Ă  8 mots minimum fait largement l’affaire !

Vous pouvez gĂ©nĂ©rer des phrases de passe avec ce site afin de tester un peu. Cependant, c’est mieux de gĂ©nĂ©rer votre phrase de passe avec votre gestionnaire de mots de passe. Bitwarden est capable de gĂ©nĂ©rer une liste de mots par exemple.

Pour vous donner une idĂ©e, un ordinateur personnel est capable de tester quelques millions de mots de passe par seconde. Vous devez supposer qu’une personne mal intentionnĂ© peut aller jusqu’Ă  tester un billion de mots de passe par seconde (soit mille milliards) si il en a les moyens.

La phrase de passe comme montré plus haut, contient 6 mots, et prendrait environ 3500 ans à cracker en testant un billion de mots de passe par seconde. Rajoutez un autre mot comme ceci (pour arriver à 7) :

timing paving hertz bacterium pliable angelfish massue

Et vous passez Ă  27 millions d’annĂ©es de calculs. Cependant, si vous passez de 6 Ă  5 mots :

timing paving hertz bacterium pliable

On passe de 3500 ans (pour 6 mots) Ă  5 mois (pour 5 mots) en testant un billion de mots de passe par seconde.


Ces calculs proviennent du site diceware


La meilleure solution serait la phrase de passe avec des mots alĂ©atoires (mĂ©thode diceware) ou des mots de passe d’une vingtaine de caractĂšres minimum, couplĂ©s avec un gestionnaire de mots de passe.

Bitwarden propose la gĂ©nĂ©ration d’une phrase de passe composĂ© de 3 mots par dĂ©faut sĂ©parĂ© par un -, je vous conseille de le paramĂ©trer Ă  6 mots. Vous pouvez aussi, si vous le souhaitez, changer le sĂ©parateur par un espace (plus facile Ă  retenir et Ă  Ă©crire), activer les majuscules au dĂ©but de chaque mot et ajouter un chiffre.

Un humain retiendra de toute façon plus facilement une liste de mots alĂ©atoirement choisie qu’une suite de caractĂšres incomprĂ©hensibles.

Le minimum requis serait 6 mots Ă  mon avis. Avec un espace ou n’importe quel autre caractĂšre spĂ©cial comme sĂ©parateur

Si un site web n’accepte pas plus d’une vingtaine de caractĂšres, vous serez incapable de faire plus de 3 mots. Je vous conseille de gĂ©nĂ©rer un mot de passe alĂ©atoire du nombre de caractĂšres maximum autorisĂ© du site web. En apartĂ©, un site web n’acceptant pas plus de 20 caractĂšres pour un mot de passe, ça en dit long sur la sĂ©curitĂ© qu’ils appliquent sur leurs services…

Les gestionnaires de mots de passe

MĂȘme en utilisant des phrases de passe, il vous reste un problĂšme majeur : il faut avoir un mot de passe diffĂ©rent par site web. Et c’est compliquĂ©, voire impossible de tous les retenir.

Plusieurs solutions s’offrent Ă  vous :

  1. La solution papier : Ă©crire sur un post-it ou sur un carnet.
  2. L’Ă©crire dans une application de prise de notes de type OneNote, Google Keep, ou dans un fichier Excel.
  3. Utiliser un gestionnaire de mots de passe.

La solution papier

Le problĂšme d’Ă©crire sur un post-it ou dans un carnet est que n’importe qui peut juste l’ouvrir et lire vos mots de passe et mail. Vous allez vous dire que vous avez juste Ă  Ă©crire votre mail de cette façon :

sam—–@–.com

Mais ça ne vous aidera pas non plus. Beaucoup de gens utilisent le mĂȘme mail pour tous leurs comptes Ă©galement, donc cacher son mail n’est pas trĂšs utile. Surtout que c’est une info qui peut ĂȘtre retrouvĂ©e facilement sur Internet. Si vous commencez Ă  vous dire que vous pouvez toujours dĂ©caler les caractĂšres de vos mots de passe (par exemple a devient b ou 1 devient 2), ou que vous omettez un caractĂšre que vous ajoutez manuellement pendant la connexion du site, permettez-moi de vous dire que vous vous prenez la tĂȘte pour trĂšs peu de sĂ©curitĂ© et de commoditĂ©. (De plus, je veux pas casser l’ambiance, mais le chiffre de CĂ©sar, ça fait 2000 ans que l’on sait le dĂ©crypter.)

Les applications de prise de notes

Mettre votre mot de passe sur une application comme Google Keep ou OneNote est une aberration pour plusieurs raisons :

La premiĂšre est que ces applications ne sont pas faites pour enregistrer des identifiants. Vos donnĂ©es sont dans le cloud et votre fournisseur voit ces donnĂ©es en clair (Google, ou Microsoft (OneDrive), etc.). Comme ce n’est pas chiffrĂ©, si un hacker compromet un des serveurs, il aura accĂšs Ă  tous vos mots de passe.

La deuxiĂšme, c’est que ces applications de prises de notes proposent rarement un systĂšme de verrouillage (comme un code PIN par exemple), vous y accĂ©dez directement en ouvrant juste l’application. Si vous utilisez OneNote sur le tĂ©lĂ©phone par exemple, une fois connectĂ©, vous restez connectĂ©. Donc si vous laissez votre smartphone Ă  quelqu’un ou que vous le laisser ouvert sur une table en soirĂ©e, une personne peut accĂ©der Ă  votre tĂ©lĂ©phone et voler vos mots de passe. Ne minimisez pas le fait qu’il y ai peu de chances que ça arrive, c’est une menace rĂ©elle.

La troisiĂšme, c’est que ces services ne sont pas du tout fait pour ça. Vous vous connectez plusieurs fois par jour sur vos comptes, c’est pas du tout pratique d’ouvrir votre application de prise de notes, chercher votre service souhaitĂ© dans vos notes dĂ©sorganisĂ©es puis de les copier đŸ˜”.

Les gestionnaires de mots de passe

Les gestionnaires de mots de passe sont souvent sous forme d’extension sur votre navigateur (Firefox, Google Chrome, Brave, Safari), vous cliquez sur l’extension puis cliquez sur l’identifiant et ça remplit automatiquement les champs de connexion !

Si vous ne faites pas confiance aux gestionnaires de mots de passe parce que ça revient Ă  dire que vous mettez tous vos oeufs dans le mĂȘme panier. Le problĂšme est exactement le mĂȘme en utilisant une application de prise de notes ou en utilisant le mĂȘme mot de passe partout. Et puis pourquoi faire confiance Ă  OneNote ou Google Keep si vous ne faites pas confiance aux gestionnaires de mots de passe ?

La diffĂ©rence est qu’un gestionnaire de mots de passe est fait pour ça, il implĂ©mente du chiffrement de bout en bout, et vous seul uniquement, avez accĂšs Ă  vos identifiants. Ni le gestionnaire de mots de passe ni un hacker pourrait accĂ©der vos identifiants, puisque tout est chiffrĂ© et que vous seul avez la clĂ©.

Les gestionnaires de mots de passe sont fait pour ĂȘtre simple d’utilisation, vous cliquez sur un bouton, et il vous remplira automatiquement es champs de connexion. Vous pouvez gĂ©nĂ©rer des mots de passe complexes, rajoutez des notes Ă  vos identifiants, ajoutez vos carte bancaires, etc. Vous pouvez Ă©galement installer Bitwarden sur votre PC (ou MacBook), sur votre smartphone (ou iPhone), et si vous ĂȘtes en sortie, que vous n’avez ni votre PC et ni votre smartphone, vous pouvez directement accĂ©der sur un navigateur ! Je sais que Bitwarden le propose, vous pouvez vous y rendre via vault.bitwarden.com.

Les gestionnaires de mots de passe sont sécurisés, et super pratiques ! Donc utilisez-les !

Quel gestionnaire utiliser ?

Bitwarden : c’est gratuit, c’est open source, c’est simple d’utilisation.

Proton Pass est Ă©galement une solution, mais sa version gratuite offre moins de possibilitĂ©s que la version gratuite de Bitwarden. De plus, Proton Pass est nouveau sur le marchĂ©. À suivre de prĂšs donc.

Je rappelle qu’aucun produit n’est affiliĂ©, je choisis les solutions selon leurs mĂ©rites. J’utilise Bitwarden tous les jours, car Ă  ma connaissance, c’est le seul gestionnaire de mots de passe open source qui propose autant de simplicitĂ© et de fonctionnalitĂ©s.

Fonctionnement

Vous vous créez un compte sur Bitwarden par exemple. Vous créez un mot de passe maßtre (également appelé master password en anglais) avec 6 mots aléatoires comme ceci :

os lino nantit corder tapi vingt

Une fois votre mot de passe maßtre créé, vous pouvez ajouter vos identifiants de tous vos comptes.

Un gestionnaire de mots de passe est basiquement une liste de vos mots de passe, chiffrĂ©, dont vous ĂȘtes le seul Ă  y avoir accĂšs.

Je vais ici rĂ©itĂ©rer ce que j’ai dit dans mon article sur la modĂ©lisation des menaces.

Je vais simplifier énormément les faits évidemment, mais ça permettra que vous compreniez de quoi je parle.

Image explicative

Vous avez un coffre Ă  la banque, ce coffre est le numĂ©ro 1, les autres coffres sont Ă  d’autres clients de la banque.

Le problĂšme Ă©tant que si c’est la banque qui gĂšre votre clĂ©, elle peut ouvrir votre coffre Ă  n’importe quel moment. De plus, si des braqueurs entrent dans la banque, ils n’ont qu’Ă  voler les clĂ©s, et ouvrir les coffres de tout le monde !

Pour ce faire, la banque va vous donner une clĂ©, vous serez le seul Ă  avoir cette clĂ© et personne d’autre. Quand vous irez Ă  la banque pour ouvrir votre coffre, vous pourrez l’ouvrir grĂące Ă  l’unique clĂ© que vous dĂ©tenez.

C’est exactement le mĂȘme principe avec les gestionnaires de mots de passe.

Votre banque est le gestionnaire de mots de passe, et les coffres sont les bases de données chiffrées des personnes.

Une base de donnĂ©es est une liste d’informations, ici, ce sont des identifiants de connexion. Mais vous pouvez imaginer ça comme une feuille Excel par exemple.

Quand vous vous connectez Ă  Bitwarden par exemple, vous donnez votre mail et votre mot de passe maĂźtre et cela permet d’identifier Ă  qui appartient telle base de donnĂ©es.

Bitwarden vous envoie votre base de données sur votre navigateur (toujours en chiffré) et tout sera déchiffré localement au niveau de votre navigateur (grùce à votre mot de passe).

Si vous souhaitez en savoir plus je vous conseille d’aller voir ces liens, tous en anglais :

Les bonnes pratiques

Une fois inscrit sur votre gestionnaire de mots de passe favori, certaines bonnes pratiques sont à prendre en compte :

  1. Cela va de soit, n’Ă©crivez pas votre mot de passe maĂźtre sur OneNote. Gardez votre mot de passe soigneusement dans un coin de votre tĂȘte, si vous utilisez la mĂ©thode diceware, vous allez le retenir trĂšs rapidement !
  2. Si vous vous connectez sur l’interface web comme vault.bitwarden.com ou n’importe quel autre gestionnaire de mots de passe accessible en ligne. Pensez Ă  ouvrir un nouvel onglet privĂ©, car une fois que vous fermerez cette fenĂȘtre, vous serez dĂ©connectĂ© de l’appareil. Au pire des cas, la version web de Bitwarden vous dĂ©connecte automatiquement au bout de 15 minutes, vous pouvez raccourcir ce temps dans les paramĂštres de votre compte (je conseille 5 minutes maximum).
  3. Créez un mot de passe unique (une vingtaine de caractÚres aléatoires grand minimum) sur chaque site web que vous visitez.
  4. Ne donnez sous aucun prétexte votre mot de passe maßtre à qui que ce soit !

Conclusion


La premiĂšre rĂšgle du mot de passe est :

  • Ne rĂ©utilisez pas vos mots de passe.

La deuxiĂšme rĂšgle du mot de passe est :

  • Ne rĂ©utilisez pas vos mots de passe.

La troisiĂšme rĂšgle du mot de passe est :

  • Le plus long possible, 32 Ă  64 caractĂšres minimum et complĂštement alĂ©atoire.

La quatriÚme rÚgle et la plus importante :

  • Ne donnez SOUS AUCUN PRÉTEXTE votre mot de passe maĂźtre Ă  qui que ce soit !

Gardez bien ces quatres rĂšgles en tĂȘte :

  • Un compte = un mot de passe
  • Utilisez un gestionnaire de mots de passe. Bitwarden est excellent. Je vous ai mĂȘme fait un tuto parce que je suis sympa.
  • Si vous devez retenir vos mots de passe, utilisez la mĂ©thode diceware comme Ă©voquĂ©e plus haut (6 mots minimum). (Et crĂ©ez quelque chose d’alĂ©atoire, ne le faites pas vous-mĂȘme.) Si besoin, ajoutez une majuscule ou un chiffre. Bitwarden a cette option dans son gĂ©nĂ©rateur.
  • Sinon, crĂ©ez des mots de passe alĂ©atoires de 32, voire 64 caractĂšres, parce que de toute façon, vous n’aurez pas besoin de les retenir, et vous pourrez les copier/coller. (Le grand minimum est de 20 caractĂšres de nos jours.)

Je me rĂ©pĂšte, je sais, mais on pourra pas dire que je l’ai pas dit ! 😁


En savoir plus & crédits