Mots de passe

Conseils, méthodes et outils pour créer des mots de passe sécurisés.
(Voir aussi la page : Faut-il changer ses mots de passe fréquemment ?)

(Crédit: Pixabay sous licence libre Creative Commons CC0)

Sur le web et dans la vie courante, la plupart des gens utilisent des codes trop simples et de surcroît, communs à plusieurs comptes. Cette pratique est dangereuse. Vous pensez que j'exagère ? Le sondage micro-trottoir du journal télévisé France 2 du 23 mars 2012 est accablant :
youtube.com > JT France 2 : Des codes plein la tête

Les mauvais mots de passe

Voici une typologie des mauvais mots de passes, qui sont pourtant couramment utilisés. Cette liste provient d'une synthèse des pires mots de passes utilisés, réalisée par Google1), et d'autres sources :

  • Noms :
    • Noms propres :
      • Membre de la famille (enfant, etc.)
      • Animal de compagnie
      • Personnalité
    • Lieux :
      • Lieu de naissance
      • Lieu de vacances
    • Sports :
      • Nom d'un sport
      • Nom d'une équipe sportive
    • Mot triviaux :
      • Mots trop simples : "Password", "Secret", "admin", "chut!", etc.
      • Séries combinatoires "Abcd", "Azerty", "ACEG", "a1b2c3d4", etc.
      • Caractères adjacents répétés : "aazzrr", etc.
    • Mots des dictionnaires (noms propres et communs, abréviations, sigles) : des programmes les essaient tous un par un
  • Nombres :
    • Dates :
      • Naissance d’un membre de la famille
      • Événement important pour l’utilisateur
    • Séries : "012345", "02468", "13579", "159", "357", etc.
    • Chiffres adjacents répétés : "1111", "1115", "1159", etc.

Règles

Critères de choix d'un bon mot de passe

Objectif : retenez que le but est de créer un mot de passe qui soit "PSI". Il doit être :

  • PERSONNEL ("Stromae", "Rihanna" et "maison" ne sont pas personnels)
  • SECRET (vos prénom, nom et date de naissance ne sont pas secrets)
  • INTROUVABLE (il ne doit pas être deviné parce qu'il est trop simple ou que vous l'avez déjà utilisé)

Méthode : pendant sa création, pensez que votre mot de passe doit être "PUMA". Il doit être :

  • PROPORTIONNÉ : les critères Mélangé et Ample ci-dessous doivent être relativisés et adaptés au type de compte
  • UNIQUE : votre mot de passe ne doit pas être déjà utilisé. Il doit être exclusif et dédié au compte dont il s'agit de protéger l'accès
  • MÉLANGÉ : votre mot de passe doit tendre vers la complexité de symboles mélangés : majuscules, minuscules, chiffres, ponctuation
  • AMPLE : votre mot de passe doit tendre vers la longueur : il doit être étendu (dans l'idéal, au-moins 20 symboles2)

Notes :
Tenez compte des critères imposés par le service au moment de la création du mot de passe. La plupart du temps, ils sont partiellement indiqués : longueur minimale et types de symboles obligatoires. Mais le nombre de lettre maximum est trop rarement indiqué. Dans les pires cas – par exemple chez EDF et GDF tacitement limités à 20 symboles –, les nouveaux mots de passe trop longs semblent acceptés, tandis que seuls les premiers symboles sont mémorisés par le serveur, à l'insu de l'utilisateur.

Même si un site web l'autorise, évitez d'introduire des caractères "espace" dans les mots de passe. Cette pratique peut conduire à des erreurs de votre part (confusions si le mot de passe est écrit sur papier) ou bien à des bugs logiciels (développeurs n'ayant pas envisagé cette possibilité).

Adapter le mot de passe au type de compte

Pour estimer le degré de complexité du futur mot de passe, commencez par vous demander si le compte à protéger est susceptible de comporter des données sensibles :

  • Comptes bancaires
  • Comptes marchands liés à des opérations bancaires (FNAC, Amazon et le paiement one-clic, ebay, etc.)
  • Comptes donnant accès aux données administratives et/ou délivrant des justificatifs administratifs
  • Compte email principal (généralement utilisé comme compte de secours pour ré-initialiser les mots de passe perdus d'autres comptes)
  • Comptes donnant accès à des données numériques personnelles (selon l'appréciation de chacun)
  • Comptes donnant accès à des adresses emails de personnes de votre entourage

Accroître la puissance de certains mots de passe par l'authentification forte (double authentification ou 2FA)

Dans le cas d'usage des comptes les plus sensibles (dont la compromission pourrait avoir des effets délétères en cascades), les mot de passe complexes ne sont plus suffisants. Et c'est pourquoi l'authentification forte est vivement recommandée, comme cela se pratique depuis 2020 pour 100% des accès aux comptes bancaires dans l'Union Européenne avec la norme DSP 2 (voir page Identité numérique).

La double authentification (2FA) consiste à compliquer la procédure d'authentification, grâce à l'utilisation de 2 critères de nature distincte parmi les 3 types de critères suivants :

  • critères d'authentification mémorielles : ce que le sujet connaît (un mot de passe, etc.)
  • critères d'authentification matérielles : ce que le sujet possède (une clé USB, un smartphone, etc.)
  • critères d'authentification ontologiques : ce que le sujet est (empreinte biométrique corporelle ou comportementale)

Dans le cas général, les utilisateurs utilisent la double authentification en prouvant qu'ils connaissent un secret – le mot de passe d'accès au compte –, et en prouvant qu'ils possèdent un appareil numérique déjà associé à ce compte – le smartphone –.

Note : Il ne faut JAMAIS utiliser de technologie biométrique ! En effet, il existe une tendance massive de fuites de données des serveurs à plus ou moins longue échéance. En cas de suspicion, un mot de passe se change très facilement tandis que se faire refaire le visage, les empreintes digitales, ou l'iris est assez difficile…

Pour utiliser la double authentification avec un smartphone fonctionnant sous Google Android, je recommande vivement d'éviter les logiciels de Google, Microsoft, Apple, etc. qui stockent dangereusement les données utilisateurs sur leurs propres serveurs. Je recommande plutôt d'utiliser des logiciels libres et éthiques comme Aegis (disponible sur le dépôt libre et éthique F-Droid) ou FreeOTP+ (disponible sur le dépôt libre et éthique F-Droid et sur le dépôt non éthique Apple Store). Pour installer un logiciel depuis le dépôt F-Droid, il faut impérativement d'abord avoir installé l'application F-Droid elle-même dont la dernière version est toujours disponible à cette URL : https://f-droid.org/F-Droid.apk

Une fois Aegis ou FreeOTP+ installé, il faut associer le compte à sécuriser avec le smartphone en choisissant l'option 2FA ou "double authentification". Chez Google, il faut choisir l'option "Google Authenticator", tandis que chez Microsoft, il faut choisir l'option "Microsoft Authenticator", puis il suffit de scanner le QR-Code affiché à l'écran de l'ordinateur à l'aide de l'application Aegis ou FreeOTP+, au lieu des applications "Google Authenticator" et "Microsoft Authenticator". Car toutes ces applications utilisent les mêmes normes et sont donc compatibles entre elles ("Microsoft Authenticator" peut servir pour Google, "Google Authenticator" peut servir pour Microsoft ; Aegis et FreeOTP+ sont des logiciels libres et indépendants qui fonctionnent pour tous les services).

Quand faut-il changer de mot de passe ?

Un mot de passe doit être renouvelé plus ou moins fréquemment en tenant compte des critères suivants :

  • Contexte global d'accès au compte
    • Qualité des machines émettrices et réceptrices des mots de passe
    • Qualité du réseau local par lequel transitent les mots de passe
    • Accès visuel au clavier par autrui
  • Alertes piratages diffusées dans les médias
  • Nombres de personnes connaissant le mot de passe
  • Présence de logiciels malveillants

Contexte d'accès au compte

Un mot de passe doit être renouvelé à une fréquence proportionnelle aux risques de divulgation du mot de passe.

Dans les contextes publics et semi-publics, si la sécurité des machines émettrices et réceptrices est élevée et que la communication utilise un canal chiffré, alors le risque de divulgation est diminué.

Attention cependant à l'espionnage visuel dans l'espace public : l'augmentation du risque de témoin oculaire des frappes sur le clavier (vidéosurveillance, vigiles, etc.) doit conduire à l'augmentation de la fréquence de renouvellement des mots de passe.

Actualité du piratage informatique

Les médias relaient régulièrement des faits d'intrusions dans les systèmes informatiques des grandes sociétés (Orange, Google, Yahoo, Microsoft, etc.). Ces actualités ne sont pas de simples faits divers : il est important de prendre la mesure de ces informations et de modifier votre mot de passe à chaque fois qu'il y a intrusion dans un serveur informatique de l'entreprise chez qui qui vous avez un compte.

Nombres de personnes connaissant le mot de passe

Le risque de divulgation d'un mot de passe est à minima multiplié par le nombre de personnes qui en ont connaissance.
Exemple :
Si 5 personnes connaissent légitimement un mot de passe et l'on écrit chacune 1 fois sur un papier, alors le risque de divulgation est multiplié par 5. Si l'une de ces personnes, utilisent ce mot de passe sur un équipement faiblement sécurisé (tablette ou smartphone) et que de surcroît, une deuxième utilise ce mot de passe sur un PC Windows infecté de logiciels mouchards publicitaires, alors le mot de passe ne peut plus vraiment être considéré comme secret. Mais les 3 autres personnes qui ont un accès réseau sécurisé et des machines sécurisées continuent d'agir comme si le secret du mot de passe était sûr…

Présence de logiciels malveillants

Si votre PC était infecté de logiciels malveillants et qu'il est désormais propre, il est fortement recommandé de modifier tous vos mots de passe.

Danger des mots de passe par email

Les sites web qui transmettent les mot de passe par email pour confirmer une inscription, déprécient considérablement la sécurité (à fortiori si l'identifiant est inclus dans le même email).

Tout mot de passe diffusé par email (non chiffré) doit être considéré comme compromis.
Si vous ne pouvez pas contrôler l'envoi de ce mot de passe par email, alors vous devriez le changer très régulièrement…

Outils pour mots de passe

Création de mot de passe

Note : le site microsoft.com propose une page "Vérifiez votre mot de passe : est-il fort ?" sans la possibilité d'en générer (en javascript : page web enregistrable et exécutable depuis le disque dur).

Gestion des mots de passe

Le carnet en papier est un outil encore souvent utilisé, pratique, mais peu performant en terme de rapidité et de stockage de symboles de ponctuation… Compte-tenu des enjeux sécuritaires actuels, ce type d'outil ne répond plus aux exigences de complexité des mots de passe.

Les autres outils possible sont constitués par les logiciels gestionnaires de mots de passe, parfois appelés "coffres forts" ou bien "trousseaux". Les grands navigateurs internet du marché ainsi que les principaux environnement de bureau GNU/Linux incluent nativement des logiciels de gestion des mots de passe, simples d'utilisation. D'autres programmes proposent des fonctions similaires et plus sophistiquées qui incluent souvent un générateur de mot de passes. Ces différents programmes sont créés par des grand éditeurs anti-virus, par des sociétés indépendantes et par des communautés de logiciel libre.

Notez qu'un nombre croissant de ces programmes incitent à sauvegarder nos mots de passe sur un serveur qui ne nous appartient pas, situé dans un endroit indéterminé de la planète (Cloud computing). Pour des raisons d'éthique, de confidentialité et de sécurité, je déconseille fortement ces logiciels. Des serveurs informatiques réputés sécurisés sont pénétrés frauduleusement tous les jours, autant par des groupes mafieux que par des services de renseignement d'états, et l'on ne compte plus les cas d'identifiants, mots de passe données personnelles disséminées dans la nature (cf. articles en bas de page). Si vous souhaitez vraiment prendre le risque de stocker vos mots de passe sur internet, je vous conseille le service Firefox Sync grâce au navigateur sécurisé Mozilla Firefox (logiciel libre), qui permet de partager ses paramètres entre plusieurs machines et profils Firefox à la fois.

Voici quelques gestionnaires de mots de passe :

Références

Presse

Règles de création des mots de passe

  • 26/04/2019: 01net.com > L'expiration automatique des mots de passe dans Windows 10, c'est (bientôt) fini ! :
    Dans les dernières recommandations publiées autour de la future mise à jour 1903 de Windows 10, Microsoft annonce le retrait du système d'expiration automatique des mots de passe sur les postes professionnels. […] Les raisons invoquées sont que cette "protection" n'en est plus une : cette politique de changement régulier force les utilisateurs à retenir des mots de passe peu complexes qu'ils font évoluer de manière simple – "toto123", "toto234", "toto345", etc. Ce qui a plus tendance à faire baisser la sécurité plutôt que de la renforcer : il vaut mieux créer un mot de passe qui soit long et complexe plutôt qu'une cohorte de mots de passe variables, mais simples.
  • 08/08/2017: IA > 01net.com > Pourquoi votre mot de passe n'est pas aussi sécurisé que vous le pensez : Quatorze ans après avoir publié ce qui était considéré comme la bible de la création de mots de passe, l’auteur du document révise sa position dans une interview au Wall Street Journal. En 2003, Bill Burr conseillait dans une annexe d’un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours). […] "Je regrette une grande partie de ce que j’ai écrit", a déclaré Bill Burr, aujourd’hui à la retraite, au journal américain. Il admet par ailleurs que ses conseils n’étaient pas basés sur des données empiriques et qu’il était sous pression parce qu’il devait terminer rapidement son document. "Finalement, conclut-il, ça rendait juste les gens dingues et leur a fait choisir de mauvais mots de passe." …
  • 26/01/2017: IA > cnil.fr > Les mots de passe n'ont plus de secret pour vous (PDF) (plaquette pédagogique)
  • 08/10/2024: datasecuritybreach.fr > Remplacer les mots de passe tous les mois ? Plus utile selon le NIST : […] Une autre recommandation du NIST consiste à abandonner les politiques de changement de mot de passe régulier, qui peuvent avoir des effets contre-productifs. Lorsqu'on oblige les utilisateurs à changer leurs mots de passe trop fréquemment, cela les conduit souvent à choisir des mots de passe plus simples ou à réutiliser des variantes faciles à deviner. Bilan, le NIST préconise de ne pas imposer de changement de mot de passe à moins qu'il y ait une raison spécifique, comme la détection d'une compromission. Cela permet de diminuer le stress des utilisateurs tout en garantissant une meilleure protection des comptes. […] Algorithmes de hachage obsolètes. Le NIST déconseille de stocker les mots de passe en texte clair ou sous une forme faiblement protégée, comme les algorithmes de hachage obsolètes (par exemple, MD5 ou SHA-1). Il est essentiel d'utiliser des méthodes modernes de protection des mots de passe comme l'algorithme de hachage sécurisé PBKDF2 ou Argon2, qui ralentissent le processus de vérification hors ligne, rendant les attaques par force brute beaucoup plus difficiles. Les gestionnaires de mots de passe sont fortement recommandés par le NIST pour gérer la complexité de la création et de la mémorisation des mots de passe. Ces outils permettent aux utilisateurs de créer des mots de passe longs et uniques pour chaque service sans avoir à s'en souvenir, ce qui réduit le risque de réutilisation de mots de passe. Le guide suggère d'encourager les utilisateurs à adopter ces outils comme une solution viable pour renforcer leur sécurité personnelle. …

Gestionnaires de mots de passe

Les fuites de données massives par compromission de serveurs étant extrêmement fréquentes, seuls quelques articles sont reportés ci-dessous. Il est recommandé de n'utiliser que des gestionnaires de mots de passe qui se limitent exclusivement au stockage local des données (c'est-à-dire sur l'ordinateur uniquement et non dans le cloud).

Méthodes de cassage de mots de passe

  • 04/03/2022: IA > 01net.com > 40 minutes suffisent pour casser un mot de passe de 8 caractères... il en faut au moins 16 pour être serein : Pour être à peu près en sécurité, il faut avoir des codes secrets d'au moins 11 caractères. Mais c'est mieux d'aller au-delà de 16 caractères. […] Si vous utilisez encore des mots de passe de huit caractères ou moins, il est grand temps de les changer. La société Hive Systems vient de mesurer le temps nécessaire pour retrouver un mot de passe à partir de son empreinte MD5, un algorithme de hachage désuet malheureusement encore trop souvent utilisé par les sites Web. En supposant que votre code secret soit aléatoire et s’appuie sur des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, il faudra cinq heures pour le casser avec une très bonne carte graphique (Nvidia RTX 3090), et seulement 39 minutes avec huit cartes graphiques Nvidia A100 Tensor Core (coût de location sur Amazon : 20 dollars). Bref, le niveau de sécurité d’un tel mot de passe est… nul. …
  • 03/10/2017: developpez.com > L'authentification à deux facteurs par SMS : une passoire à cause des failles du protocole de signalisation réseau SS7 : L’infrastructure SS7 n’est en principe accessible qu’aux entreprises de télécommunications. Mais comme l’explique Denis Kurbatov de la firme Positive Technologies, des cybercriminels peuvent y accéder via des plateformes sur le dark web. Cet état de choses déplace le problème des cybercriminels aux opérateurs de télécommunication. Un protocole qui date des années 80 et exhibe autant de failles ne devrait plus être utilisé.
  • 20/09/2017: 01net.com > L’intelligence artificielle permet de mieux casser les mots de passe : Des chercheurs sont en train de mettre au point des outils basés sur des réseaux neuronaux pour deviner des mots de passe. Ils ne dépassent pas forcément les outils actuels des pirates, mais cela ne saurait tarder.

Sites web

1)
Article "Google révèle les pires mots de passe utilisés". Cécile Bolesse, 01net.com, 09/08/2013.
2)
"Beaucoup de personnes que je connais utilisent des mots de passe qui ont entre 20 et 50 caractères. C'est un bon conseil qui rend le piratage peu probable, même dans l'éventualité d'une divulgation du hash du mot de passe." Costin Raiu – Directeur, Global Research & Analysis Team du Kaspersky Lab – dans son article du 21/09/2012 sur securelist.com : "Hotmail: Your Password Was Too Long; We Fixed it For You"