Cadenas et clavier

Je prĂ©fĂšre Ă©crire la conclusion dĂšs le dĂ©but pour ĂȘtre sĂ»r que ce soit clair pour tout le monde :


Utilisez un gestionnaire de mots de passe, c’est la plus importante chose Ă  faire sur toute votre vie numĂ©rique


J’ai Ă©cris un tutoriel pour apprendre Ă  utiliser Bitwarden.

Je vous conseille chaudement de lire l’article de Wonderfall sur les mots de passe aprĂšs avoir lu le mien, car il va dans la continuitĂ© de mon article.

Les mots de passe

Site web : Votre mot de passe ne comporte que des lettres !

Vous : Faut que je rajoute un caractÚre spécial en plus ???

Site web : Votre mot est passe est trop court !

Vous : Sérieusement ? Bon je vais rajouter ça

Cette situation a probablement dĂ©jĂ  dĂ» vous arriver, mais pourquoi ces sites web nous embĂȘtent tant ? Et pourquoi je ne peux pas utiliser mon super mot de passe “monchat84” ?

Aujourd’hui, les mots de passe posent beaucoup de problĂšmes pour beaucoup de monde. Un mot de passe permet de dire au service auquel vous vous connectez que vous ĂȘtes bien celui que vous prĂ©tendez ĂȘtre.

Cependant, trop de gens ont tendance Ă  utiliser une application de prise de notes en ligne (tel que OneNote, Google Keep, un fichier Excel dans le Drive, etc.), noter ça sur un post-it, ou pire encore, d’utiliser le mĂȘme mot de passe sur tous leurs comptes !

Le principe de mettre le mĂȘme mot de passe partout est peut-ĂȘtre plus facile pour vous, mais ça l’est aussi pour un attaquant ! Si quelqu’un arrivait Ă  vous pirater ou pirater n’importe quel site auquel vous vous ĂȘtes connectĂ©, vous perdez tous vos comptes !

Vous pouvez vĂ©rifier si vos identifiants ont Ă©tĂ© victime d’une fuite en allant sur haveibeenpwned , un compte twitter est Ă©galement disponible pour ĂȘtre au courant des derniĂšres failles.

Juste pour que vous comprenez bien le problĂšme d’utiliser le mĂȘme mot de passe sur tous les comptes, je vais vous faire un exemple :

  • Vous vous connectez avec le mot de passe 123456 sur Gmail.
  • Puis avec le mĂȘme mot de passe sur Netflix.
  • Puis sur Linkedin.
  • Puis… oooh, grosse faille sur Linkedin, vos mails et vos mots de passe sont dans la nature.

(Linkedin est un exemple fictif)

N’importe qui peut se connecter Ă  n’importe lequel de vos comptes, puisque tout le monde a votre adresse mail et votre mot de passe.

Donc utilisez un mot de passe différent pour chaque site.

Pourquoi un mot de passe doit comporter des majuscules et des caractÚres spéciaux ?

Tout simplement parce que cela augmente considĂ©rablement l’entropie du mot de passe.

Ah ! Toi aussi tu as vu le film Tenet ?

Pour expliquer simplement, l’entropie est la mesure du dĂ©sordre.

Plus vous ajoutez des caractÚres spéciaux, des chiffres et des lettres, plus vous augmentez le désordre, donc par définition son entropie.

Il faut bien comprendre que ce n’est pas une personne qui va deviner un par un les mots de passe, mais des logiciels spĂ©cialisĂ©s pour ça. Il y a deux maniĂšres de cracker un mot de passe :

  • L’attaque par bruteforce
  • L’attaque par dictionnaire

Ces deux techniques peuvent ĂȘtre combinĂ©es.

Pour imager l’attaque par bruteforce, imaginez un cadenas Ă  code Ă  4 chiffres. Le bruteforce est le fait de tester 0000, puis 0001, puis 0002 puis 0003 jusqu’Ă  9999, c’est long (pas pour un ordinateur Ă©videmment), mais ça fonctionne. Par exemple si votre mot de passe est mot de passe, le programme testera toutes les lettres, a puis b puis c jusqu’Ă  z, puis continuera avec aa puis ab puis ac jusqu’Ă  zz, etc. Notez bien que c’est un ordinateur qui fait ces calculs, le rĂ©sultat sera donc trĂšs rapide.

Pour imager l’attaque par dictionnaire, c’est comme le bruteforce, mais cette fois-ci avec des mots et non des caractĂšres. Au lieu de faire caractĂšre par caractĂšre, le programme utilisera des mots couramment utilisĂ© pour les mots de passe (des noms de famille, des mĂ©tiers, des prĂ©noms, des animaux, des lieux, etc.) tel que justement mot de passe. Le rĂ©sultat sera instantanĂ©.

Voici un exemple de dictionnaire qu’on appelle aussi communĂ©ment une wordlist : Wordlist française .

Un programme utilisera ce fichier comme base, puis on y ajoutera certains paramĂštres Ă  ce programme comme :

  • les “a” peuvent ĂȘtre des @ ou des 4
  • les “e” peuvent ĂȘtre des 3
  • les “o” peuvent ĂȘtre des 0 (zĂ©ro)

Donc oui, m0t 2 p@ss3 ne vous aidera pas non plus.

Il est important de noter que mĂȘme si votre mot de passe ressemble Ă  ça :

t4@#L"5A

Il peut ĂȘtre devinĂ© (par un ordinateur) en quelques minutes seulement, alors que pourtant, le mot de passe contient tout ce que les sites web demandent :

  • 8 caractĂšres
  • Chiffres
  • Majuscules
  • Minuscules
  • CaractĂšres spĂ©ciaux

Le problĂšme que beaucoup de gens et de sites web oublient, c’est que l’entropie du mot de passe ne se joue pas uniquement sur sa complexitĂ©, mais Ă©galement et surtout sur sa longueur.

Au passage si votre mot de passe fait moins de 8 caractĂšres, c’est crackĂ© en quelques secondes, voir moins d’une seconde.

Un bon mot de passe est un mot de passe qui est complexe et long. Si votre mot de passe ressemble à ça :

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

C’est super long, mais c’est devinable en moins d’une seconde pour un ordinateur. D’oĂč l’importance de la complexitĂ© du mot de passe.

Un bon mot de passe serait quelque chose comme ça :

@UpXg$atJqQue@x43C8B&matxz4Ed&!C

Mais t’es malade, comment crois-tu que je vais retenir ça ???

En effet, c’est compliquĂ© Ă  retenir. On peut cependant changer ça trĂšs simplement en Ă©crivant des phrases et non des mots de passe. Voire mieux, utiliser un gestionnaire de mots de passe.

Les phrases de passe

xkcd entropie


L’image vient de xkcd .

Je vous recommande encore une fois l’article de Wonderfall qui explique trĂšs bien cette image.


Les phrases de passe sont une excellente maniÚre (pour un humain) de retenir ses mots de passe simplement tout en ayant une entropie élévée.

On a la chance d’ĂȘtre français, car nous possĂ©dons beaucoup de caractĂšres spĂ©ciaux dans notre langue, tel que justement :

  • le ç
  • l’apostrophe
  • les lettres avec accent (Ă©, Ăš, Ă , etc.).

Notez aussi que l’espace est un caractĂšre spĂ©cial exactement comme le # ou le !. Écrivez ces phrases dans le champ de mot de passe comme si vous Ă©criviez la phrase en vrai (la majuscule au dĂ©but, les espaces, le point Ă  la fin et les apostrophes).

Donc une phrase de passe comme :

J’ai mangĂ© une cĂŽte de boeuf Ă  15 €.

est parfaitement viable. (N’oubliez quand mĂȘme pas de rajouter des chiffres). C’est viable, car le mot de passe respecte les conditions :

  • 36 caractĂšres
  • 2 chiffres (15)
  • La majuscule (J)
  • Les minuscules
  • Les caractĂšres spĂ©ciaux ( l’apostrophe ', les espaces , le Ă©, le ĂŽ, le symbole € et le point final .)

On voit tout de suite que c’est plus facile Ă  retenir qu’un mot de passe de 36 caractĂšres.

La méthode diceware

DĂ©s

Cependant, la phrase reste prévisible, et une bonne phrase de passe ressemblerait plutÎt à ça (aussi appelée méthode diceware ) :

timing paving hertz bacterium pliable angelfish

Qui est Ă©galement le titre de l’article de Wonderfall que je vous recommande vivement.

Tous ces mots sont gĂ©nĂ©rĂ©s alĂ©atoirement (par un ordinateur, et non par un humain). Il n’y a pas de majuscules ou de chiffres, mais il possĂšde 6 mots gĂ©nĂ©rĂ©s complĂštement alĂ©atoirement.

L’avantage de cette mĂ©thode est que cette phrase de passe est trop longue pour ĂȘtre bruteforce, et les mots de cette phrase de passe sont Ă©galement trop alĂ©atoires et peu communs pour ĂȘtre victime d’une attaque par dictionnaire (car l’attaque par dictionnaire se base sur des mots communs, et qui ont un rapport entre eux). Donc si vous choisissez vous-mĂȘme vos mots pour crĂ©er une phrase de passe, ça ne fonctionnera pas ! GĂ©nĂ©rez-le grĂące Ă  Bitwarden par exemple, et ne changez pas les mots !

Si vous souhaitez aller un peu plus loin, rajoutez un chiffre quelque part dans la phrase de passe, ou en plein milieu d’un des mots (comme timing devient tim5ing) et ne changez pas les a avec des @ ou tout autre combine de la sorte, car c’est pris en compte dans les attaques, et donc complĂštement inutile. Vous deviendrez beaucoup plus imprĂ©visible en rajoutant un chiffre au milieu d’un des mots et/ou un caractĂšre spĂ©cial.

Vous pouvez gĂ©nĂ©rer des phrases de passe avec ce site afin de tester un peu. Cependant, c’est mieux de gĂ©nĂ©rer votre phrase de passe avec votre gestionnaire de mots de passe. Bitwarden est capable de gĂ©nĂ©rer une liste de mots par exemple.

Pour vous donner une idĂ©e, un ordinateur personnel est capable de tester quelques millions de mots de passe par seconde. Vous devez supposer qu’une personne mal intentionnĂ© peut aller jusqu’Ă  tester un billion de mots de passe par seconde (soit mille milliards) si il en a les moyens.

La phrase de passe comme plus haut, contient 6 mots, et prendrait environ 3500 ans Ă  cracker en testant un billion de mots de passe par seconde. Rajoutez un autre mot comme ceci (pour arriver Ă  7) :

timing paving hertz bacterium pliable angelfish massue

Et vous passez Ă  27 millions d’annĂ©es de calculs. Cependant, si vous passez de 6 Ă  5 mots :

timing paving hertz bacterium pliable

On passe de 3500 ans (pour 6 mots) Ă  5 mois en testant un billion de mots de passe par seconde.


Ces calculs proviennent du site diceware


La meilleure solution serait la phrase de passe avec des mots alĂ©atoires (mĂ©thode diceware ) ou des mots de passe d’une vingtaine de caractĂšres minimum, couplĂ©s avec un gestionnaire de mots de passe.

Bitwarden propose la gĂ©nĂ©ration d’une phrase de passe composĂ© de 3 mots par dĂ©faut sĂ©parĂ© par un -, je vous conseille de le paramĂ©trer Ă  6 mots. Vous pouvez aussi, si vous le souhaitez, activer les majuscules au dĂ©but de chaque mot et ajouter un chiffre.

Un humain pourra d’ailleurs plus facilement retenir une liste de mots qu’une suite de caractĂšres incomprĂ©hensibles.

Le minimum requis serait 6 mots Ă  mon opinion. Avec un espace ou n’importe quel autre caractĂšre spĂ©cial entre les mots

Si un site web n’accepte pas plus d’une vingtaine de caractĂšres, vous serez incapable de faire plus de 3 mots. Je vous conseille de gĂ©nĂ©rer un mot de passe alĂ©atoire du nombre de caractĂšres maximum autorisĂ© du site web.

Les gestionnaires de mots de passe

MĂȘme en utilisant des phrases de passe, il vous reste un problĂšme majeur : il faut avoir un mot de passe diffĂ©rent par site web. Et c’est compliquĂ©, voire impossible de tous les retenir.

Plusieurs solutions s’offrent Ă  vous :

  1. La solution papier : Ă©crire sur un post-it ou sur un carnet.
  2. L’Ă©crire dans une application de prise de notes de type OneNote, Google Keep, ou dans un fichier Excel.
  3. Utiliser un gestionnaire de mots de passe.

La solution papier

Le problĂšme d’Ă©crire sur un post-it ou dans un carnet est que n’importe qui peut juste l’ouvrir et lire vos mots de passe et mail. Vous allez vous dire que vous avez juste Ă  Ă©crire votre mail de cette façon :

sam—–@–.com

Mais ça ne vous aidera pas non plus. Beaucoup de gens utilisent le mĂȘme mail pour tous leurs comptes Ă©galement, donc cacher son mail n’est pas trĂšs utile. Surtout que c’est une info qui peut ĂȘtre retrouvĂ©e facilement sur Internet. Si vous commencez Ă  vous dire que vous pouvez toujours dĂ©caler les caractĂšres de vos mots de passe (par exemple a devient b ou 1 devient 2), ou que vous omettez un caractĂšre que vous ajoutez manuellement pendant la connexion du site, laissez-moi vous dire que vous vous prenez la tĂȘte pour trĂšs peu de sĂ©curitĂ© et de commoditĂ©.

Les applications de prise de notes

Mettre votre mot de passe sur une application comme Google Keep ou OneNote est une aberration pour plusieurs choses.

La premiĂšre est que ces applications ne sont pas faites pour enregistrer des identifiants. Vos donnĂ©es sont dans le cloud et votre fournisseur voit ces donnĂ©es en clair (Google, ou Microsoft (OneDrive), etc.). Comme ce n’est pas chiffrĂ©, si un hacker compromet un des serveurs, il aura accĂšs Ă  tous vos mots de passe.

La deuxiĂšme, c’est que vous avez rarement un mot de passe Ă  entrer pour accĂ©der Ă  votre application, si vous utilisez OneNote sur le tĂ©lĂ©phone par exemple, une fois connectĂ©, vous restez connectĂ©. Donc si vous laissez votre smartphone Ă  quelqu’un ou que vous le laisser ouvert sur une table en soirĂ©e, une personne peut juste aller sur votre tĂ©lĂ©phone et voler vos mots de passe. Ne minimisez pas le fait qu’il y ai peu de chances que ça arrive, c’est une menace rĂ©elle.

Les gestionnaires de mots de passe

Les gestionnaires de mots de passe sont souvent sous forme d’extension sur votre navigateur (Firefox, Google Chrome, Brave, Safari), vous cliquez sur l’extension puis cliquez sur l’identifiant et ça remplit automatiquement les champs de connexion !

Si vous ne faites pas confiance aux gestionnaires de mots de passe parce que ça revient Ă  dire que vous mettez tous vos oeufs dans le mĂȘme panier. Le problĂšme est exactement le mĂȘme en utilisant une application de prise de notes ou en utilisant le mĂȘme mot de passe partout. Et puis pourquoi faire confiance Ă  OneNote ou Google Keep si vous ne faites pas confiance aux gestionnaires de mots de passe ?

La diffĂ©rence est qu’un gestionnaire de mots de passe est fait pour ça, il implĂ©mente du chiffrement de bout en bout , et vous seul uniquement, avez accĂšs Ă  vos identifiants. Ni le gestionnaire de mots de passe ni un hacker pourrait voir vos identifiants, car tout est chiffrĂ© et vous seul avez la clĂ©.

Et puis les gestionnaires de mots de passe sont fait pour ĂȘtre simple, vous cliquez sur un bouton, et ça vous remplis automatiquement la page. Vous pouvez gĂ©nĂ©rer des mots de passe complexes, rajoutez des notes Ă  vos identifiants, ajoutez vos carte bancaires, etc. Vous pouvez Ă©galement installer Bitwarden sur votre PC (ou MacBook), sur votre smartphone (ou iPhone), et si vous ĂȘtes en sortie, que vous n’avez ni votre PC et ni votre smartphone, vous pouvez directement accĂ©der sur un navigateur ! Je sais que Bitwarden le fait, vous pouvez y accĂ©der en allant sur vault.bitwarden.com .

Les gestionnaires de mots de passe sont sécurisés, et super pratiques ! Donc utilisez-les !

Quel gestionnaire utiliser ?

Bitwarden : c’est gratuit, c’est open source, c’est simple.

Pour ceux qui voudraient un gestionnaire de mots de passe uniquement en local, je vous conseille Keepass .

Mais vous devriez quand mĂȘme utiliser les solutions cloud comme Bitwarden. Puisque si vous voulez utiliser un gestionnaire de mots de passe, vous devez faire attention Ă  ce que votre rĂ©seau Ă  la maison soit suffisamment protĂ©gĂ©, votre appareil aussi, etc.

Je rappelle qu’aucun produit n’est affiliĂ©, je choisis les solutions selon leurs mĂ©rites. J’utilise Bitwarden tous les jours, car Ă  ma connaissance, c’est le seul gestionnaire de mots de passe open source qui propose autant de simplicitĂ© et de fonctionnalitĂ©s.

Comment ça fonctionne

Vous vous créez un compte sur Bitwarden par exemple. Vous créez un mot de passe maßtre (également appelé master password en anglais) avec 6 mots aléatoires comme ceci :

os lino nantit corder tapi vingt

Vous pouvez ajouter un caractĂšre spĂ©cial ou un chiffre en plein milieu d’un des mots comme "os lino nantit corder tapi vingt" devient "os lino nantit corder ta?pi vingt" (juste pour bien embĂȘter le monde). Une fois fait, vous pouvez ajouter vos identifiants de tous vos comptes.

Un gestionnaire de mots de passe est basiquement une liste de vos mots de passe, chiffrés, que vous seul avez accÚs.

Je vais redire ce que j’ai dit dans mon article sur la modĂ©lisation des menaces .

Je vais simplifier énormément les faits évidemment, mais ça permettra que vous compreniez de quoi je parle.

Image explicative

Vous avez un coffre Ă  la banque, ce coffre est le numĂ©ro 1, les autres coffres sont Ă  d’autres clients de la banque.

Le problĂšme Ă©tant que si c’est la banque qui gĂšre votre clĂ©, elle peut ouvrir votre coffre Ă  n’importe quel moment, de plus si des braqueurs arrivent dans la banque, ils n’ont qu’Ă  voler les clĂ©s, et ouvrir les coffres de tout le monde !

Pour ce faire, la banque va vous donner une clĂ©, vous serez le seul Ă  avoir cette clĂ© et personne d’autre. Quand vous voudrez aller Ă  la banque pour ouvrir votre coffre, vous pourrez l’ouvrir grĂące Ă  l’unique clĂ© que vous dĂ©tenez.

C’est exactement le mĂȘme principe avec les gestionnaires de mot de passe.

Votre banque est le gestionnaire de mots de passe, et les coffres sont les bases de données chiffrées des personnes.

Une base de donnĂ©es est une liste d’informations, ici, ce sont des identifiants de connexion. Mais vous pouvez imaginer ça comme une feuille Excel par exemple.

Quand vous vous connectez Ă  Bitwarden par exemple, vous donnez votre mail et votre mot de passe maĂźtre et ça va permettre d’identifier Ă  qui appartient telle base de donnĂ©es.

Bitwarden vous enverra votre base de données sur votre navigateur (toujours en chiffré) et tout sera déchiffré localement au niveau de votre navigateur.

Si vous souhaitez en savoir plus je vous conseille d’aller voir ces liens, tous en anglais :

Les bonnes pratiques

Une fois que vous avez un gestionnaire de mots de passe tel que Bitwarden. Certaines bonnes pratiques sont quand mĂȘme Ă  prendre en compte.

  1. Cela va de soit, n’Ă©crivez pas votre mot de passe maĂźtre sur OneNote. Cependant vous pouvez l’Ă©crire sur un post-it que vous garder soigneusement Ă  la maison. Vous le brĂ»lez une fois que vous ĂȘtes sĂ»r d’avoir retenu votre mot de passe.
  2. Si vous vous connectez sur l’interface web comme vault.bitwarden.com ou n’importe quel autre gestionnaire de mots de passe accessible en ligne. Pensez Ă  ouvrir un nouvel onglet privĂ©, car une fois que vous fermerez cette fenĂȘtre, vous serez dĂ©connectĂ© de l’appareil. Au pire des cas, la version web de Bitwarden vous dĂ©connecte automatiquement au bout de 15 minutes, vous pouvez raccourcir ce temps dans les paramĂštres de votre compte (je conseille 5 minutes maximum).
  3. Créez un mot de passe unique (une vingtaine de caractÚres aléatoires minimum) sur chaque site web que vous visitez.
  4. Ne donnez sous aucun prétexte votre mot de passe maßtre à qui que ce soit !

Conclusion


La premiĂšre rĂšgle du mot de passe est :

  • Ne rĂ©utilisez pas vos mots de passe.

La deuxiĂšme rĂšgle du mot de passe est :

  • Ne rĂ©utilisez pas vos mots de passe.

Gardez bien ces quatres rĂšgles en tĂȘte :

  • Un compte = un mot de passe
  • Utilisez un gestionnaire de mots de passe. Bitwarden est excellent. Je vous ai mĂȘme fait un petit tuto parce que je suis sympa.
  • Si vous devez retenir vos mots de passe, utilisez la mĂ©thode diceware comme Ă©voquĂ©e plus haut (6 mots minimum). (Et crĂ©ez quelque chose d’alĂ©atoire, ne le faites pas vous-mĂȘme.) Si besoin, mettez une majuscule ou un chiffre. Bitwarden a cette option dans son gĂ©nĂ©rateur .
  • Sinon, crĂ©ez des mots de passe alĂ©atoire de 32, voire 64 caractĂšres, parce que de toute façon, vous n’aurez pas besoin de les retenir, et vous pourrez les copier/coller. (Mais minimum 20 caractĂšres).

Je me rĂ©pĂšte, je sais, mais on pourra pas dire que je l’ai pas dit ! 😁


En savoir plus & crédits