Le mot de passe est la première barrière pour la protection de nos données personnelles. C’est l’utilisateur lui-même qui souvent va le choisir, malheureusement beaucoup de personnes n’utilisent pas de mots de passe robustes et mettent en danger leurs informations personnelles. L’objet de cet article est de fournir quelques recommandations pour renforcer notre sécurité sur internet.
Source : securite-informatique.gouv.fr
Un grand nombre de personnes se sont déjà fait pirater leur compte Facebook ou encore pire leur compte de messagerie, laissant la porte grande ouverte aux données personnelles, voire sensibles. En théorie, le mot de passe est personnel et devrait donc être difficile à trouver pour une personne mal intentionnée. La réalité est tout autre, le mot de passe étant choisi par l’utilisateur, sa compromission en est facilitée pour les auteurs d’attaques. En effet, certains utilisateurs optent pour un mot de passe simpliste ou encore le laissent à la portée de tout le monde. Le risque est le vol de données personnelles ou dans le cadre d’une entreprise, le vol de données confidentielles pouvant aller jusqu’à compromettre sa pérennité.
C’est pourquoi l’Agence Nationale de la sécurité des Systèmes d’Informations nous propose les recommandations suivantes :
– Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts. En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.
– Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
– Ne demandez jamais à un tiers de créer pour vous un mot de passe.
– Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.
– Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles.
– Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible.
– Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
– Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se “souviennent” pas des mots de passe choisis.
L’ANSSI nous recommande également d’utiliser au moins 12 caractères de types différents c’est à dire combiner les minuscules, majuscules, les chiffres et les caractères spéciaux. Pourquoi utiliser des mots de passe longs et complexes à mémoriser ? Tout simplement parce que les attaques de mots de passe se font par outils automatisés permettant de retrouver en quelques minutes un mot de passe simple.
Afin de ne pas trop rentrer dans les détails techniques, il faut savoir que les attaques sur les mots de passe consistent à calculer les empreintes de la sortie d’une fonction de hackage et de les comparer à celles contenues dans des fichiers de mots de passe détenus par les pirates. Une fonction de hackage est une fonction qui consiste à calculer une empreinte à partir d’une donnée initiale et qui va servir à identifier cette dernière. Le mot de passe rentré par l’utilisateur pour des raisons de sécurité n’est pas stocké en clair, l’ordinateur va seulement retenir le résultat du hackage du mot de passe. Quand l’utilisateur souhaite s’identifier l’ordinateur va comparer l’empreinte du mot de passe d’origine donc le résultat du hackage du mot de passe (l’empreinte) avec le mot de passe demandé.
C’est donc à travers cette empreinte générée et un fichier de mots de passe que la compromission va se faire. Il existe plusieurs types d’attaques, celles directes et indirectes.
Pour les attaques directes l’on peut citer :
– L’attaque par force brute qui consiste à utiliser toutes les combinaisons possibles d’un mot de passe.
– L’attaque par dictionnaire en utilisant les dictionnaires disponibles sur internet (prénoms, noms, noms de société…)
– L’attaque par compromis temps/mémoire qui regroupe l’attaque par force brute et l’attaque par dictionnaires mais avec moins de mémoire que cette dernière en utilisant des chaînes construites avec des fonctions de hackage et de réductions ce qui permettra une fois l’empreinte recherchée de la comparer à cette chaîne pour retrouver le mot de passe.
En qui concerne les attaques indirectes l’on peut citer les attaques dites de filoutage (Phishing) par exemple en envoyant un mail frauduleux à une personne dans le but de récupérer ses mots de passe. Soit en utilisant un logiciel de capture de frappe au clavier (keylogger) qui récupérera directement les données afférentes au mot de passe.
C’est pour ces raisons qu’un mot de passe se doit d’être le plus robuste possible (long et compliqué), sa mémorisation reste un problème mais là encore l’ANSSI nous donne deux conseils ou méthodes :
– La méthode phonétique : Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.
– La méthode des premières lettres : Cette méthode consiste à garder les premières lettres d’une phrase (citation, paroles de chanson…) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.
Pour conclure cet article sur la sécurité des mots de passe, il convient de noter qu’il existe également des certificats d’authentification avec carte à puce, d’ailleurs l’ANSSI en recommande l’utilisation dès que cela est possible.