Mots de passe

Conseils, méthodes et outils pour créer des mots de passe sécurisés.
(Voir aussi la page : Faut-il changer ses mots de passe fréquemment ?)

Sur le web et dans la vie courante, la plupart des gens utilisent des codes trop simples et de surcroît, communs à plusieurs comptes. Cette pratique est dangereuse. Vous pensez que j'exagère ? Le sondage micro-trottoir du journal télévisé France 2 du 23 mars 2012 est accablant :
youtube.com > JT France 2 : Des codes plein la tête

Voici une typologie des mauvais mots de passes, qui sont pourtant couramment utilisés. Cette liste provient d'une synthèse des pires mots de passes utilisés, réalisée par Google¹⁾, et d'autres sources :

• Noms :
  • Noms propres :
    • Membre de la famille (enfant, etc.)
    • Animal de compagnie
    • Personnalité
  • Lieux :
    • Lieu de naissance
    • Lieu de vacances
  • Sports :
    • Nom d'un sport
    • Nom d'une équipe sportive
  • Mot triviaux :
    • Mots trop simples : "Password", "Secret", "admin", "chut!", etc.
    • Séries combinatoires "Abcd", "Azerty", "ACEG", "a1b2c3d4", etc.
    • Caractères adjacents répétés : "aazzrr", etc.
  • Mots des dictionnaires (noms propres et communs, abréviations, sigles) : des programmes les essaient tous un par un
• Nombres :
  • Dates :
    • Naissance d’un membre de la famille
    • Événement important pour l’utilisateur
  • Séries : "012345", "02468", "13579", "159", "357", etc.
  • Chiffres adjacents répétés : "1111", "1115", "1159", etc.

Objectif : retenez que le but est de créer un mot de passe qui soit "PSI". Il doit être :

• PERSONNEL ("Stromae", "Rihanna" et "maison" ne sont pas personnels)
• SECRET (vos prénom, nom et date de naissance ne sont pas secrets)
• INTROUVABLE (il ne doit pas être deviné parce qu'il est trop simple ou que vous l'avez déjà utilisé)

Méthode : pendant sa création, pensez que votre mot de passe doit être "PUMA". Il doit être :

• PROPORTIONNÉ : les critères Mélangé et Ample ci-dessous doivent être relativisés et adaptés au type de compte
• UNIQUE : votre mot de passe ne doit pas être déjà utilisé. Il doit être exclusif et dédié au compte dont il s'agit de protéger l'accès
• MÉLANGÉ : votre mot de passe doit tendre vers la complexité de symboles mélangés : majuscules, minuscules, chiffres, ponctuation
• AMPLE : votre mot de passe doit tendre vers la longueur : il doit être étendu (dans l'idéal, au-moins 20 symboles²⁾

Notes :
Tenez compte des critères imposés par le service au moment de la création du mot de passe. La plupart du temps, ils sont partiellement indiqués : longueur minimale et types de symboles obligatoires. Mais le nombre de lettre maximum est trop rarement indiqué. Dans les pires cas – par exemple chez EDF et GDF tacitement limités à 20 symboles –, les nouveaux mots de passe trop longs semblent acceptés, tandis que seuls les premiers symboles sont mémorisés par le serveur, à l'insu de l'utilisateur.

Même si un site web l'autorise, évitez d'introduire des caractères "espace" dans les mots de passe. Cette pratique peut conduire à des erreurs de votre part (confusions si le mot de passe est écrit sur papier) ou bien à des bugs logiciels (développeurs n'ayant pas envisagé cette possibilité).

Pour estimer le degré de complexité du futur mot de passe, commencez par vous demander si le compte à protéger est susceptible de comporter des données sensibles :

• Comptes bancaires
• Comptes marchands liés à des opérations bancaires (FNAC, Amazon et le paiement one-clic, ebay, etc.)
• Comptes donnant accès aux données administratives et/ou délivrant des justificatifs administratifs
• Compte email principal (généralement utilisé comme compte de secours pour ré-initialiser les mots de passe perdus d'autres comptes)
• Comptes donnant accès à des données numériques personnelles (selon l'appréciation de chacun)
• Comptes donnant accès à des adresses emails de personnes de votre entourage

Un mot de passe doit être renouvelé plus ou moins fréquemment en tenant compte des critères suivants :

• Contexte global d'accès au compte
  • Qualité des machines émettrices et réceptrices des mots de passe
  • Qualité du réseau local par lequel transitent les mots de passe
  • Accès visuel au clavier par autrui
• Alertes piratages diffusées dans les médias (cf. page "Tableau de bord sécurité")
• Nombres de personnes connaissant le mot de passe
• Présence de logiciels malveillants

Un mot de passe doit être renouvelé à une fréquence proportionnelle aux risques de divulgation du mot de passe.

Risque de divulgation des mots de passe depuis les machines émettrices et réceptrices indépendamment de la qualité du réseau local :

Risque de divulgation des mots de passe sur le réseau local indépendamment de la qualité des machines :

Dans les contextes publics et semi-publics, si la sécurité des machines émettrices et réceptrices est élevée et que la communication utilise un canal chiffré, alors le risque de divulgation est diminué d'un cran (Très élevé → Élevé, Élevé → Moyen).

Accès visuel au clavier par autrui : l'augmentation du risque de témoin oculaire des frappes sur le clavier (vidéosurveillance, vigiles, etc.) doit conduire à l'augmentation de la fréquence de renouvellement des mots de passe.

Les médias relaient régulièrement des faits d'intrusions dans les systèmes informatiques des grandes sociétés (Orange, Google, Yahoo, Microsoft, etc.). Ces actualités ne sont pas de simples faits divers : il est important de prendre la mesure de ces informations et de modifier votre mot de passe à chaque fois qu'il y a intrusion dans un serveur informatique de l'entreprise chez qui qui vous avez un compte.

Le risque de divulgation d'un mot de passe est à minima multiplié par le nombre de personnes qui en ont connaissance.
Exemple :
Si 5 personnes connaissent légitimement un mot de passe et l'on écrit chacune 1 fois sur un papier, alors le risque de divulgation est multiplié par 5. Si l'une de ces personnes, utilisent ce mot de passe sur un équipement faiblement sécurisé (tablette ou smartphone) et que de surcroît, une deuxième utilise ce mot de passe sur un PC Windows infecté de logiciels mouchards publicitaires, alors le mot de passe ne peut plus vraiment être considéré comme secret. Mais les 3 autres personnes qui ont un accès réseau sécurisé et des machines sécurisées continuent d'agir comme si le secret du mot de passe était sûr…

Si votre PC était infecté de logiciels malveillants et qu'il est désormais propre, il est fortement recommandé de modifier tous vos mots de passe.

Les sites web qui transmettent les mot de passe par email pour confirmer une inscription, déprécient considérablement la sécurité (à fortiori si l'identifiant est inclus dans le même email).

Tout mot de passe diffusé par email (non chiffré) doit être considéré comme compromis.
Si vous ne pouvez pas contrôler l'envoi de ce mot de passe par email, alors vous devriez le changer très régulièrement…

Le texte ci-dessous est un extrait de la version du 11/10/2017 de la page "Authentification par mot de passe : les mesures de sécurité élémentaires" fournie par le site web de la CNIL sous licence libre de diffusion Creative Commons BY-ND 3.0. Les crochets […] ajoutés ci-dessous indiquent le masquage de passages qui concernent les administrateurs des serveurs informatiques et ne signifient rien pour l'internaute non informaticien.

L’authentification par mot de passe : longueur, complexité, mesures complémentaires
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux. Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation.

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

La conservation des mots de passe
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

[…]

Le renouvellement du mot de passe
Renouvellement périodique […]
La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande
À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :
[…] ;
afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Texte officiel

• Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe
• Délibération n° 2017-190 du 22 juin 2017 portant modification de la recommandation relative aux mots de passe

• Méthodes pour mots de passe mémorisables à complexité moyenne :
  • Initiales d'une phrase, ponctuation comprise :
    Prenez le temps de choisir une phrase dont la longueur est proportionnelle au niveau de sécurité désiré. Il peut s'agir par exemple d'une citation³⁾, d'un proverbe, d'un dicton, d'une maxime, de la première ligne de la page X du livre Y.
    Ainsi la phrase "Je suis jeune, il est vrai, mais aux âmes bien nées, La valeur n'attend point le nombre des années." donnera : Jsj,iev,maâbn,Lvn'aplnda.
    Si cette méthode vous semble trop abstraite, sachez que début 2017, la CNIL a enfin décidé de publier un outil d'assistance sur sa page "Générer un mot de passe solide".
  • Phrase agglomérée en langage SMS :
    "Est-ce ainsi que les hommes vivent ?" → és1sikeléomvivent? (traducteur en ligne français -> SMS)
  • Méthode mixte de la Fondation Mozilla : "Créer des mots de passe surs pour protéger votre identité"
  • Méthode spéciale du forum ubuntu-fr.org : "Le truc des bases"
• Générateurs de mots de passe complexes :
  • En page web :
    • Générateur simplifié de mots de passe Aide Ordi 49 (en javascript : page web enregistrable et exécutable depuis le disque dur)
    • Générateur/évaluateur de mots de passe de Laurent Clave
    • Générateur et testeur de mot de passe de Angelsafrania
    • Protect it! de Raphael Marques, lauréat du défi "générateur de mots de passe" de developpez.com
    • Need Password? de iocol51, lauréat du défi "générateur de mots de passe" de developpez.com
    • Ultimate Password Generator d'Olivier Bourdoux, lauréat du défi "générateur de mots de passe" de developpez.com
  • Extensions Firefox :
    • Secure Password Generator
      (Pour le démarrer dans un champs mot de passe, faire un clic-droit puis cliquer sur "Generate Password")
  • Programmes GNU/Linux (pour utilisateurs familiers de GNU/Linux) :
    • makepasswd (ligne de commandes) (exemple)
    • pwgen (ligne de commandes) (exemple)
    • apg (Automated Password Generator) (ligne de commandes) (exemple)

Note : le site microsoft.com propose une page "Vérifiez votre mot de passe : est-il fort ?" sans la possibilité d'en générer (en javascript : page web enregistrable et exécutable depuis le disque dur).

Le carnet en papier est un outil encore souvent utilisé, pratique, mais peu performant en terme de rapidité et de stockage de symboles de ponctuation… Compte-tenu des enjeux sécuritaires actuels, ce type d'outil ne répond plus aux exigences de complexité des mots de passe.

Les autres outils possible sont constitués par les logiciels gestionnaires de mots de passe, parfois appelés "coffres forts" ou bien "trousseaux". Les grands navigateurs internet du marché ainsi que les principaux environnement de bureau GNU/Linux incluent nativement des logiciels de gestion des mots de passe, simples d'utilisation. D'autres programmes proposent des fonctions similaires et plus sophistiquées qui incluent souvent un générateur de mot de passes. Ces différents programmes sont créés par des grand éditeurs anti-virus, par des sociétés indépendantes et par des communautés de logiciel libre.

Notez qu'un nombre croissant de ces programmes incitent à sauvegarder nos mots de passe sur un serveur qui ne nous appartient pas, situé dans un endroit indéterminé de la planète (Cloud computing). Pour des raisons d'éthique, de confidentialité et de sécurité, je déconseille fortement ces logiciels. Des serveurs informatiques réputés sécurisés sont pénétrés frauduleusement tous les jours, autant par des groupes mafieux que par des services de renseignement d'états, et l'on ne compte plus les cas d'identifiants, mots de passe données personnelles disséminées dans la nature (cf. articles en bas de page). Si vous souhaitez vraiment prendre le risque de stocker vos mots de passe sur internet, je vous conseille le service Firefox Sync grâce au navigateur sécurisé Mozilla Firefox (logiciel libre), qui permet de partager ses paramètres entre plusieurs machines et profils Firefox à la fois.

Voici quelques gestionnaires de mots de passe :

• Sous Windows :
  • KeePass (logiciel libre) : keepass.info
    (La version 1.x "Classic Edition" est plus simple d'utilisation que la version 2.x "Professional Edition". Après installation, vous pouvez changer la langue en français. Également disponible en version portable)
• Sous GNU/Linux :
  • KeypassX (logiciel libre) : keepassx.org (Tutoriel - mode d'emploi sur le blog de nIQnutn)
• Gestionnaires de mots de passe internes aux navigateurs web (compromis sécuritaire) :
  • Sous Mozilla Firefox, outre le gestionnaire intégré de mot de passe :
    • Extension Roboform Lite pour Firefox (fonctionne sous Windows/Mac/Linux)
      (Détecte mieux les formulaires de mots de passe que le gestionnaire intégré de Firefox. Au moment de la configuration, choisir le stockage local des mots de passe, dans un sous-dossier sur votre disque dur)

• 26/04/2019: 01net.com > L'expiration automatique des mots de passe dans Windows 10, c'est (bientôt) fini ! :
  Dans les dernières recommandations publiées autour de la future mise à jour 1903 de Windows 10, Microsoft annonce le retrait du système d'expiration automatique des mots de passe sur les postes professionnels. […] Les raisons invoquées sont que cette "protection" n'en est plus une : cette politique de changement régulier force les utilisateurs à retenir des mots de passe peu complexes qu'ils font évoluer de manière simple – "toto123", "toto234", "toto345", etc. Ce qui a plus tendance à faire baisser la sécurité plutôt que de la renforcer : il vaut mieux créer un mot de passe qui soit long et complexe plutôt qu'une cohorte de mots de passe variables, mais simples.
• 08/08/2017: IA > 01net.com > Pourquoi votre mot de passe n'est pas aussi sécurisé que vous le pensez : Quatorze ans après avoir publié ce qui était considéré comme la bible de la création de mots de passe, l’auteur du document révise sa position dans une interview au Wall Street Journal. En 2003, Bill Burr conseillait dans une annexe d’un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours). […] "Je regrette une grande partie de ce que j’ai écrit", a déclaré Bill Burr, aujourd’hui à la retraite, au journal américain. Il admet par ailleurs que ses conseils n’étaient pas basés sur des données empiriques et qu’il était sous pression parce qu’il devait terminer rapidement son document. "Finalement, conclut-il, ça rendait juste les gens dingues et leur a fait choisir de mauvais mots de passe." …
• 26/01/2017: IA > cnil.fr > Les mots de passe n'ont plus de secret pour vous (PDF) (plaquette pédagogique)
• 04/08/2016: developpez.com > Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent des études

Les fuites de données massives par compromission de serveurs étant extrêmement fréquentes, seuls quelques articles sont reportés ci-dessous. Il est recommandé de n'utiliser que des gestionnaires de mots de passe qui se limitent exclusivement au stockage local des données (c'est-à-dire sur l'ordinateur uniquement et non dans le cloud).

• 03/01/2018: 01net.com > Pourquoi il faut se méfier des gestionnaires de mots de passe de Chrome ou Firefox (archive.fo) : Pour faciliter la constitution du profil comportemental des internautes, certaines sociétés marketing n'hésitent pas à extraire les identifiants stockés dans le gestionnaire de mot de passe des navigateurs
• 18/12/2017: 01net.com > Quand Windows 10 préinstalle un gestionnaire de mots de passe totalement vulnérable (archive.fo)
• 22/03/2017: 01net.com > Festival de failles critiques chez LastPass, le gestionnaire de mots de passe
• 27/07/2016: 01net.com > LastPass, une faille zero day menace tous les comptes de ce gestionnaire de mots de passe
• 18/01/2016: lemondeinformatique.fr > LastPass hacké avec une simple attaque phishing
• 18/01/2016: 01net.com > LastPass : attention, vos mots de passe ne sont pas en sécurité
• 16/06/2015: lemondeinformatique.fr > Le gestionnaire de mots de passe LastPass piraté

• 04/03/2022: IA > 01net.com > 40 minutes suffisent pour casser un mot de passe de 8 caractères... il en faut au moins 16 pour être serein : Pour être à peu près en sécurité, il faut avoir des codes secrets d'au moins 11 caractères. Mais c'est mieux d'aller au-delà de 16 caractères. […] Si vous utilisez encore des mots de passe de huit caractères ou moins, il est grand temps de les changer. La société Hive Systems vient de mesurer le temps nécessaire pour retrouver un mot de passe à partir de son empreinte MD5, un algorithme de hachage désuet malheureusement encore trop souvent utilisé par les sites Web. En supposant que votre code secret soit aléatoire et s’appuie sur des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, il faudra cinq heures pour le casser avec une très bonne carte graphique (Nvidia RTX 3090), et seulement 39 minutes avec huit cartes graphiques Nvidia A100 Tensor Core (coût de location sur Amazon : 20 dollars). Bref, le niveau de sécurité d’un tel mot de passe est… nul. …
• 03/10/2017: developpez.com > L'authentification à deux facteurs par SMS : une passoire à cause des failles du protocole de signalisation réseau SS7 : L’infrastructure SS7 n’est en principe accessible qu’aux entreprises de télécommunications. Mais comme l’explique Denis Kurbatov de la firme Positive Technologies, des cybercriminels peuvent y accéder via des plateformes sur le dark web. Cet état de choses déplace le problème des cybercriminels aux opérateurs de télécommunication. Un protocole qui date des années 80 et exhibe autant de failles ne devrait plus être utilisé.
• 20/09/2017: 01net.com > L’intelligence artificielle permet de mieux casser les mots de passe : Des chercheurs sont en train de mettre au point des outils basés sur des réseaux neuronaux pour deviner des mots de passe. Ils ne dépassent pas forcément les outils actuels des pirates, mais cela ne saurait tarder.

• Wikipedia :
  • Mot de passe
  • Robustesse d'un mot de passe
  • Authentification
  • Gestionnaire de mots de passe