Tout le monde sait désormais qu'un mot de passe fort et sécurisé est indispensable pour tout ce qui touche à l'informatique. Mais qu'est-ce qui fait qu'un mot de passe est fort et comment stocker ces mots de passe de manière sécurisée ?
Comment un mot de passe peut-il être piraté ?
Il existe plusieurs façons de pirater un mot de passe, la plus simple étant simplement d'acheter un mot de passe sur le dark web. Mais il existe de nombreuses autres manières de pirater un mot de passe.
La méthode la plus connue consiste à réaliser une attaque par force brute pour trouver un mot de passe. Autrement dit, un pirate informatique essaie de deviner toutes les combinaisons possibles pour trouver votre mot de passe. Cette méthode fait appel à un logiciel qui essaie autant de combinaisons que possible et le plus rapidement possible. En général, tout mot de passe de moins de 12 caractères est susceptible d'être piraté.
Une autre façon de pirater un mot de passe est d'utiliser une attaque par dictionnaire. Cette attaque fonctionne exactement comme son nom l'indique. Un pirate va vous attaquer avec une liste prédéfinie de « mots de passe ». Tout comme avec une attaque par force brute, un logiciel essaye tous les mots de passe jusqu'à ce qu'il devine le bon. Si votre mot de passe est un mot ordinaire, il ne survivra à une attaque par dictionnaire que si ce mot est très peu courant.
La façon la plus odieuse pour un pirate d'obtenir un mot de passe est le phishing. Par le biais de cette technique, le pirate tente de tromper, d'intimider ou de faire pression sur un utilisateur pour qu'il fasse involontairement ce qu'il veut. Le phishing ne se limite pas aux e-mails, il peut aussi se faire par le biais de messages textuels (smishing) et d'appels téléphoniques (vishing).
Comment créer des mots de passe forts ?
Maintenant que nous savons comment les mots de passe sont piratés, nous pouvons créer des mots de passe forts qui déjouent toutes les attaques (à l'exception du phishing, pour lequel il faut simplement ne pas se faire avoir).
Raf Gillisjans : « votre mot de passe doit être long. Il s'agit peut-être même du facteur le plus important pour vous protéger d'une attaque par force brute. »
- Tout d'abord, vous devez vous assurer que chaque mot de passe que vous utilisez est unique. La réutilisation des mots de passe permet aux criminels d'accéder facilement à plusieurs comptes s'ils découvrent un seul de vos mots de passe, notamment celui de votre adresse e-mail.
- N'utilisez pas de suites séquentielles de chiffres ou de lettres (« abcdefg », « 123456789 »). Vous ne devez pas non plus utiliser de combinaisons sur le clavier facilement mémorisables. Comme pour les conseils ci-dessus concernant les lettres et les chiffres séquentiels, n'utilisez pas non plus les combinaisons séquentielles du clavier.
- Veillez également à ce qu'il ne contienne pas d'informations personnelles telles que votre nom ou votre date de naissance. Si vous êtes spécifiquement ciblé, le pirate utilisera toutes les informations qu'il connaît sur vous pour tenter de deviner votre mot de passe. N'oubliez pas qu'il peut être étonnamment facile pour eux de trouver des informations personnelles de base sur vous. Faites donc attention à la quantité d'informations que vous publiez sur les réseaux sociaux.
- Afin de faire face à une attaque par force brute, vous pouvez prendre quelques mesures spécifiques. Tout d'abord, votre mot de passe doit être long. Il s'agit peut-être même du facteur le plus important pour vous protéger d'une attaque par force brute. Tout mot de passe contenant plus de 15 caractères est presque impossible à pirater par force brute (ce serait beaucoup trop long).
- En outre, il est préférable d'utiliser un mélange de caractères. Plus vous mélangez de lettres, de chiffres, de signes de ponctuation et de symboles, plus il est difficile de pirater un mot de passe par force brute.
- Enfin, évitez les substituts courants, les pirates de mots de passe connaissent généralement les substituts habituels. Que vous utilisiez HELLO ou H37L0, le pirate utilisant la méthode de force brute le devinera avec la même facilité. La meilleure façon de déjouer une attaque par dictionnaire est de s'assurer que le mot de passe ne se résume pas à un seul mot. L'utilisation de plusieurs mots compliquera la tâche aux pirates (comme une phrase de passe. Choisissez-en une qui n'a de sens que pour vous, donc pas de phrases familières ou de proverbes).
Gestionnaires de mots de passe
Dans le monde numérique d'aujourd'hui, les mots de passe que vous devez retenir sont de plus en plus nombreux : votre adresse e-mail, vos comptes de réseaux sociaux, les applications que vous utilisez pour vos études ou votre travail, les applications de banque en ligne, les boutiques en ligne, etc. Nous avons tous des dizaines de mots de passe à retenir.
Raf Gillisjans : « Un gestionnaire de mots de passe constitue également une excellente solution pour conserver les mots de passe des comptes que vous partagez avec vos collègues ou vos étudiants »
Comme indiqué ci-dessus, il est recommandé d'utiliser un mot de passe unique pour chaque identifiant. Il peut s'avérer assez difficile de tous les retenir, raison pour laquelle il est très utile de faire appel à un gestionnaire de mots de passe. Il s'agit d'un outil qui vous permet de stocker et de générer des mots de passe forts. Ainsi, au lieu de devoir mémoriser tous vos identifiants de connexion, il vous suffit de retenir un mot de passe principal qui déverrouille votre gestionnaire de mots de passe.
Un gestionnaire de mots de passe constitue également une excellente solution pour conserver les mots de passe des comptes que vous partagez avec vos collègues ou vos étudiants. Par exemple, un outil que vous utilisez pour travailler ensemble sur un projet.
Il existe 3 types de gestionnaires de mots de passe :
- Gestionnaires de mots de passe installés localement/hors-ligne
- Gestionnaires de mots de passe sur le Web/en ligne
- Gestionnaires de mots de passe dérivés (stateless)/basés sur des tokens
Un gestionnaire de mots de passe installé localement, comme son nom l'indique, est un gestionnaire de mots de passe qui stocke vos données sur votre propre appareil, en local. Si vous gardez cet appareil hors ligne, vous éliminez le risque que quelqu'un puisse accéder à votre 'coffre-fort' de mots de passe, mais vous ne pouvez accéder à votre 'coffre-fort' que sur un seul appareil et si vous perdez cet appareil, toutes vos données sont perdues.
Les gestionnaires de mots de passe en ligne stockent vos mots de passe dans le cloud, qui est généralement le serveur du fournisseur. Autrement dit, vous pouvez accéder à vos mots de passe de n'importe où tant que vous disposez d'une connexion Internet. Les prestataires de services réputés utilisent une technologie de connaissance zéro. Par le biais de cette méthode, ils chiffrent les données sur votre appareil avant de les envoyer au serveur. Grâce à cette technique, il est aussi possible d'accéder à votre 'coffre-fort' 24 heures sur 24 et 7 jours sur 7.
Les gestionnaires de mots de passe dérivés sont un élément de hardware local, tel qu'un périphérique USB, qui contient une clé permettant de déverrouiller votre compte particulier. Il n'existe pas de 'coffre-fort' de mots de passe pour un gestionnaire de mots de passe basé sur des tokens, car celui-ci génère un nouveau token à chaque fois que vous voulez vous connecter. Mais comme pour les gestionnaires de mots de passe hors-ligne, si vous perdez l'appareil, vous perdez votre accès.
Authentification multi-facteurs (MFA)
Pour rendre vos comptes encore plus difficiles à pirater, activez la fonction MFA. Celle-ci permet à votre compte de « vérifier deux fois » si c'est bien vous qui essayez de vous connecter. Ou quelqu'un qui se fait passer pour vous. Le principe est simple : l'authentification à deux facteurs utilise quelque chose que vous connaissez (votre mot de passe) en combinaison avec quelque chose que vous avez ou que vous êtes (par exemple, une empreinte digitale).
Il existe plusieurs formes d'authentification multifactorielle, l'une des plus courantes étant un code d'accès envoyé à l'un de vos appareils de confiance. Vous utilisez ensuite ce code pour terminer le processus de connexion. Les pirates ne pourront pas accéder à votre compte à partir de votre seul nom d'utilisateur et de votre seul mot de passe.
Il existe également d'autres méthodes de MFA, comme l'application Google Authenticator ou les clés physiques.
De nombreux services Internet et réseaux sociaux proposent une authentification multifactorielle : vous pouvez notamment la configurer sur WhatsApp, Apple, Google, LinkedIn, Twitter, etc.
Que faire si mon mot de passe a été piraté ?
Il se peut qu'un site Web ou un service en ligne que vous utilisez ait été piraté. Par conséquent, vos données de connexion peuvent se trouver sur Internet. Vous avez peut-être aussi cliqué sur un e-mail frauduleux et partagé votre mot de passe avec des cybercriminels sans vous en rendre compte.
Si vous avez toujours accès à votre compte, vous devez changer votre mot de passe immédiatement. Si vous n'avez plus accès à votre compte, vous devez le restaurer, puis changer tous vos mots de passe.
Informez immédiatement votre banque si les pirates ont eu accès à vos coordonnées bancaires ! Si votre adresse e-mail professionnelle ou des applications liées à vos études ou à votre travail ont été piratées, prévenez le service informatique de votre organisation.
Have I been pwned ? (https://haveibeenpwned.com/)
HIBP ou « Have I Been Pwned ? » est un site Web qui permet aux internautes de vérifier si leurs données personnelles (mots de passe) ont été compromises. Ce site Web recueille et analyse les vidages et les collages de données contenant des informations sur les comptes ayant fait l'objet d'une fuite, et permet aux utilisateurs de rechercher leurs propres informations en saisissant leur nom d'utilisateur/adresse e-mail. Le site Web indique ensuite dans quelles violations cette adresse e-mail ou ce nom d'utilisateur apparaît. En tant qu'utilisateur, vous pouvez également vous inscrire pour être averti si votre adresse e-mail apparaît dans les futurs vidages.
Raf Gillisjans :« Have I Been Pwned recueille et analyse les vidages et les collages de données contenant des informations sur les comptes ayant fait l'objet d'une fuite »
Lorsque vous effectuez une recherche de vos informations d'identification et qu'il apparaît que vous avez été victime d'une violation, il est recommandé de changer votre mot de passe sur ce site Web et sur tous les autres sites où vous avez utilisé le même mot de passe.
À propos de l’auteur
Raf Gillisjans a étudié l'informatique appliquée à Bruges et fait partie de l'équipe de sécurité de Belnet depuis près de deux ans. Il teste de nouvelles solutions pour rendre l'environnement Belnet plus sûr et fait également partie de l'équipe de sensibilisation à la sécurité. En dehors de Belnet, vous pouvez le retrouver dans un studio de radio, derrière une caméra ou derrière son ordinateur en train de jouer à un jeu.