Que ce soit pour consulter notre compte bancaire ou notre messagerie électronique, ou encore pour effectuer une démarche administrative, nous nous connectons très souvent sur des sites Internet. Pour accéder à nos comptes, nous sommes nombreux à utiliser des mots de passe trop simples ou bien à utiliser un mot de passe identique pour l’ensemble de nos comptes, quand ce n’est pas les deux à la fois !
Les mots de passe (qu’ils aient été trop simples à deviner ou qu’ils aient été dérobés) sont responsables de près de 80 % des actes de piratage. Il est donc essentiel de connaître les règles et précautions relatives à leur bon usage.
Adoptez les bons réflexes
Utilisez un mot de passe unique pour chaque compte ou service
De prime abord, mémoriser un unique mot de passe semble être la solution la plus simple et la plus pratique ! C’est pourtant une méthode risquée que vous devrez absolument éviter... car un pirate qui réussirait à accéder à l’un de vos comptes aurait automatiquement accès à tous les autres.
Imaginez que le code de votre carte bancaire soit le même que le code de déverrouillage de votre smartphone… cela serait extrêmement risqué !
Choisissez un mot de passe sans lien avec votre identité
Les piratages commis par des proches sont donc plus courants qu’on ne le croit ; or, ces derniers essaieront tout naturellement de déduire votre mot de passe à partir de ce qu’ils connaissent de vous, comme les prénoms de vos enfants ou celui de votre chanteur préféré, votre date ou lieu de naissance, ou encore l’endroit où vous aimez passer vos vacances.
Quand bien même auriez-vous en vos proches une confiance absolue, les noms, dates de naissance et autres éléments découlant de votre identité, s’ils sont faciles à mémoriser, peuvent facilement être découverts en ligne.
Cette précaution prévaut aussi pour la fameuse « question secrète », une option proposée par de nombreux services, à laquelle vous devez répondre afin de prouver votre identité en cas d’oubli du mot de passe : évitez de choisir une réponse qui pourra facilement être trouvée par un proche ou découverte sur Internet (comme le nom de jeune fille de votre mère ou le lieu de naissance de votre père) : utilisez plutôt une information que vous êtes seul à connaître.
Modifiez systématiquement et au plus tôt les mots de passe par défaut
De nombreux services vous attribuent un mot de passe « par défaut » : lors de votre inscription à un service en ligne ou lors de la création de votre espace client, la plupart des sites vous envoient un mail afin de vous transmettre un mot de passe, composé de manière aléatoire par un « générateur de mot de passe ».
Les mots de passe communiqués par e-mail présentent un risque de piratage accru, l’e-mail étant susceptible d’être intercepté par un pirate, qui aurait alors immédiatement accès à votre compte.
Pour mieux vous protéger, connectez-vous au compte concerné en utilisant le mot de passe fourni par défaut et modifiez-le dès votre première connexion par un autre que vous aurez composé vous-même.
Activez la double authentification
Lorsque cela est possible, activez la double authentification. Cette option permet de contrôler votre identité par 2 moyens différents avant d’autoriser l’accès à votre compte : en tant qu’utilisateur, vous devez non seulement connaître votre mot de passe, mais également être capable de taper un code à usage unique, le plus souvent transmis par SMS. Ainsi, même en cas de piratage de votre mot de passe, l’accès à vos données demeurera impossible.
Quasiment tous les systèmes de banque en ligne utilisent la double authentification pour valider les paiements réalisés sur Internet. Cette fonctionnalité fournit une très forte sécurité.
Respectez quelques précautions essentielles
Les mots de passe à éviter
Durant les 5 dernières années, les 2 mots de passe les plus utilisés ont été « 123456 » et «password» ("motdepasse"). « Azerty », « Iloveyou » ou encore « Football » sont également des choix très fréquents... mais ils n’apportent aucune sécurité !
En cas de tentative de piratage, les mots de passe les plus courants sont les premiers à être testés. Les pirates utilisent pour cela des logiciels spécialisés, capables de tester l’un après l’autre tous les mots du dictionnaire, y compris les noms propres, ainsi que les expressions courantes et mots de passe les plus connus.
Par exemple, si vous êtes l’heureux parent d’une fille prénommée Julie et née le 22 juin, vous éviterez Julie2206. :waw:
Les pirates informatiques testent également les noms de célébrités, qu’il s’agisse d’acteurs, chanteurs, animateurs ou encore équipes sportives, tous sont également à proscrire.
Certains logiciels utilisés par les pirates sont capables de tester toutes les combinaisons de caractères possibles. Ces tentatives de piratage sont nommées « attaques par force brute ».
Ainsi, plus le nombre de caractères du mot de passe est élevé, plus il faudra de temps à un tel programme pour découvrir la bonne combinaison. Pour cette même raison, vous devrez, pour créer un mot de passe performant :
combiner lettres minuscules et majuscules avec des chiffres et des caractères spéciaux.
choisissez toujours un mot de passe dont le nombre de caractères est supérieur ou égal à 8.
Par exemple : « #Cm,j'aa5op10E. » serait un excellent mot de passe !
La « force » d’un mot de passe, que l’on définit comme sa capacité à résister à une attaque par énumération de toutes les combinaisons possibles, augmente proportionnellement à sa longueur : plus un mot de passe est long, plus le nombre de combinaisons possibles entre les caractères qui le composent est élevé.
Renouvelez vos mots de passe
En effet, lorsque nous sommes contraints à changer nos mots de passe, nous avons tendance soit à choisir des mots de passe plus faciles à mémoriser que les anciens (et donc plus faibles d’un point de vue sécuritaire), soit à réutiliser les précédents en y apportant seulement un léger changement : « #Cm,j'aa5op10 » deviendra par exemple « *Cm,j'aa10op5 ».
Or, une telle modification n’augmente en rien la force de votre mot de passe et ne fait que vous compliquer la tâche (vous risquez ensuite de vous « mélanger les pinceaux », ne sachant plus quelle est la bonne version).
Dans ce cas, quand et pour quelle raison dois-je modifier mes mots de passe ?
Premièrement : s’ils sont trop faibles et ne respectent pas les règles de base d’hygiène numérique (vous les apprendrez dans la dernière partie de ce cours), il est primordial de les modifier.
Deuxièmement : en cas de piratage d’un service sur lequel vous possédez un compte client.
Veillez à l’endroit où vous stockez vos mots de passe
Il est tentant d’enregistrer vos mots de passe dans un fichier sur votre ordinateur, ou dans le bloc-notes de votre smartphone, mais ils ne sont malheureusement pas conçus pour cela et ne vous offrent par conséquent aucune sécurité en matière de stockage.
Les pirates commencent généralement par parcourir le contenu de votre ordinateur à la recherche de fichiers du type "mdp.txt", "password.txt" ou encore « code.doc ».
Il est bien entendu possible de les inscrire sur un papier ou un carnet auquel vous seul aurez accès mais là encore, le risque existe : vous pouvez vous faire voler votre portefeuille (en supposant que ledit papier y soit rangé), perdre le carnet, ou l’un de vos proches peut un jour en prendre connaissance.
Pour les stocker, il est préférable d’utiliser un gestionnaire de mots de passe.
Il s’agit d’un logiciel qui sauvegarde l’ensemble de vos mots de passe ; vous n’avez alors plus qu’à retenir un unique mot de passe dit « mot de passe maître » qui vous permet d’accéder au gestionnaire. Une fois déverrouillé, celui-ci se chargera de préremplir pour vous les champs « identifiant » et « mots de passe » de tous les sites sur lesquels vous êtes inscrits, qu’il s’agisse de votre messagerie, d’un réseau social, de votre compte Ameli ou de n’importe quel autre service.
Les gestionnaires de mots de passe sont spécialement conçus pour la protection de vos données et vous offrent une sécurité maximale (leurs méthodes de cryptage sont les mêmes que celles utilisées par les banques) ; l’ANSSI (Agence nationale de sécurité des systèmes d’information) conseille d’ailleurs aux internautes l’utilisation du logiciel gratuit KeePass.
N'enregistrez pas vos mots de passe dans votre navigateur
Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis (ne cochez pas la case « se souvenir du mot de passe ; ne cliquez pas non plus sur « Enregistrer »).
Bien que tentante car fort pratique, cette méthode ne garantit pas votre sécurité :
tous les navigateurs ne stockent pas les mots de passe de manière chiffrée (certains se contentent de les stocker « en clair », les rendant ainsi vulnérables à une attaque) ;
si d’autres personnes que vous utilisent la même machine, elles pourraient avoir facilement accès à l’ensemble de vos comptes, puisque le navigateur se chargera d’inscrire vos codes d’accès à votre place.
Créez simplement vos mots de passe
Voici une première règle simple, recommandé par l'ANSSI : choisissez des mots de passe d’au moins 12 caractères de différents types (majuscules, minuscules, chiffres, caractères spéciaux).
Et voici d'autres méthodes reconnues pour vous aider à créer des mots de passe forts et facilement mémorisables, reste à choisir celle qui vous conviendra le mieux !
La méthode phonétique
Choisissez une phrase facile à retenir que vous écrivez phonétiquement : par exemple,« J'ai acheté huit CD pour cent euros cet après-midi » deviendra « ght8CD%E7am » ou bien « J’ai écrit 300 pages de texte » qui donnera « Gécri300paj2txt »
La méthode des premières lettres
Elle consiste à ne conserver que les premières lettres de chaque mot d’une phrase ; choisissez de préférence une phrase contenant des chiffres et suivez ces quelques règles :
conservez uniquement la première lettre de chaque mot ;
conservez la ponctuation et remplacez les chiffres par des nombres (Un par 1) ;
mettez une majuscule si le mot est un nom commun ou un nom propre et une minuscule pour tout autre terme.
Prenons l’exemple de la phrase « J’apprends facilement sur le site OpenClassRooms.com » : avec la méthode des premières lettres, elle deviendra : « j’afslSO.c ».
Comptez le nombre de mots de la phrase et augmentez encore la force du mot de passe en ajoutant un chiffre : « j’afslSO.c7 ».
Enfin, terminez en encadrant votre mot de passe avec des caractères spéciaux : « *j’afslSO.c7* ».
Méthode de la phrase entière
Choisissez une phrase assez simple dont vous vous souviendrez aisément et créez votre mot de passe en tapant entièrement la phrase, sans espace.
Les phrases complètes comportent en effet un nombre si élevé de caractères qu’elles permettent la création de mots de passe extrêmement sûrs.
Par exemple, « Jesuis3courssurOpenClassRooms.com » est un mot de passe de plus de 30 caractères, mélangeant minuscules, majuscules et chiffres : il offre donc une excellente sécurité tout en étant facile à mémoriser.
La « méthode XKCD »
On l'appelle aussi la méthode des 4 mots (selon l’auteur de Comics Randall Munroe)
Elle consiste à associer 4 mots de votre choix, sans lien les uns avec les autres, en utilisant une majuscule comme première lettre de chaque mot.
Un tel mot de passe comporte un nombre élevé de caractères et l'efficacité est renforcée par le fait que les mots choisis n'ont aucun sens une fois accolés les uns aux autres.
Un mot de passe tel que « CoursAspirateurApprendreSoleil » ou bien « SécuritéCanapéCourirGirafe » vous protègera tout autant que « *j’afslSO.c7* ».
Créez votre propre méthode
S’il est déconseillé d’utiliser un mot de passe lié à votre identité, vous pouvez toutefois utiliser des éléments personnels afin de créer un mot de passe. Vous obtiendrez ainsi un mot de passe fort, à la fois résistant aux attaques et facile à mémoriser.
Prenons quelques exemples :
Julie est née à Angers (49), elle vit à Montpellier (34) et part chaque année en vacances à Biarritz (64) : elle utilise les 3 premières lettres de chaque ville puis le dernier chiffre de chaque département, en séparant lettres et chiffres par un dièse (#), et en utilisant des majuscules pour la première lettre de chaque ville.
Ce qui nous donne : AngMonBia#944
Arthur a 3 fils : Baptiste, né en 2007, Jules, né en 2009 et Lucas, né en 2012.
Il a créé son mot de passe en associant les 3 premières lettres des prénoms de ses enfants avec les 2 derniers chiffres de leur année de naissance ; Il utilise une majuscule pour la 1re lettre de chaque prénom et un astérisque après chaque combinaison.Voici le mot de passe obtenu : Bap07*Jul09*Luc12
Différenciez vos mots de passe
Sans l'utilisation d'un gestionnaire de mots de passe, comment mémoriser tous les mots de passe complexes et uniques ?
Voici une petite astuce : le principe consiste à créer votre mot de passe en utilisant une partie constante et une seconde partie qui variera en fonction du service utilisé :
« J’ai écrit 300 pages de texte » qui se transforme en « Gécri300paj2txt » (suivant la méthode phonétique) pourra se décliner en :
« J’ai écrit 300 pages de de texte sur Facebook » « Gécri300paj2txtsF »,
« J’ai écrit 300 pages de texte sur Ameli » « Gécri300paj2txtsA »,
etc.
« J’apprends facilement sur le site OpenClassRooms.com » qui donne *j’afslSO.c7* (selon la méthode des premières lettres) peut devenir :
« J’apprends facilement sur le site Facebook.com » (*j’afslSF.c7*)
« J’apprends facilement sur le site Gmail.com » (« *j’afslSG.c7* »)
« Jesuis3courssurOpenClassRooms.com » issu de la méthode de la phrase entière, est tout aussi simple à adapter à différents sites :
« Jesuis3courssurFacebook.com »
« Jesuis3courssurAmazon.com ».
Enfin, si vous préférez la méthode XKCD, il vous suffira de remplacer l’un des 4 mots choisis par le nom du site auquel vous désirez vous connecter :
CanapéCourirGirafeAllocations pour le site de la CAF
CanapéCourirGirafeBanque pour l’accès à votre banque en ligne.
En résumé
Ne pas utiliser de mot de passe trop simple ou trop répandu, ni de mot de passe directement lié à votre identité.
Utiliser un mot de passe différent pour chaque service.
Modifier systématiquement les mots de passe attribués par défaut.
Ne notez pas vos mots de passe.
N'enregistrez pas vos mots de passe dans votre navigateur.
Choisissez un mot de passe d’au moins 12 caractères de différents types en suivant l’une des méthodes suivantes : méthode phonétique, méthode des premières lettres, méthode de la phrase entière ou méthode des 4 mots (vous pouvez également vous en inspirer pour créer votre propre méthode !).
Vous avez modifié tous vos mots de passe ? Félicitations ! Plus personne ne sera en mesure d'accéder à vos données. Il reste un élément important à protéger lorsque vous naviguez sur Internet : votre vie privée. C'est le sujet du chapitre suivant !