Le récent problème survenu chez Twitter (plus de 250 000 comptes ont été victimes d’intrusion… dont le mien !) rend plus que jamais d’actualité la nécessité de gérer proprement ses mots de passe. Petite revue de détail.
PS : à noter que, dans le cas du récent problème survenu pour Twitter, il ne s’agissait pas d’une violation de mot de passe : les pirates sont passés par une extension à Twitter qui permettait, via une faille, d’accéder à la base de données de Twitter, permettant ainsi de récupérer login, adresse email… et mot de passe (crypté).
Eviter les mots de passe trop communs
Première règle, encore trop négligée : il ne faut surtout pas utiliser un mot de passe trop “facile,” qui pourrait être facilement cassé via un automate cherchant précisément les mots les plus courants.
Cliquez ici pour voir un “worst of” des mots de passe les plus utilisés… et qu’il faut donc n’utiliser à aucun prix !
Qu’est ce qu’un mot de passe suffisamment compliqué ?
Puisque les outils de cracking utilisent des dictionnaires de mots usuels, une réaction logique est d’utiliser un mot de passe mêlant lettres et caractères spéciaux, majuscules et minuscules, chiffres et lettres.
- Problème numéro 1 : ces mots de passe sont compliqués à taper et à retenir.
- Problème numéro 2 : ils ne sont pas forcément les mots de passe les plus solides. Certes, ils résistent aux “dictionnaires”, mais pas aux outils utilisant des combinaisons de caractères aléatoires.
Les recherches statistiques les plus récentes en arrivent à la conclusion qu’un mot de passe est plus solide s’il est très long, même s’il ne contient que des caractères usuels, qu’un mot de passe très alambiqué mais court.
Conseil : si vous voulez un mot de passe solide, choisissez une phrase facile à retenir, et qui constituera votre mot de passe. Par exemple, un ver tiré d’un poème que vous aimez.
Pour palier aux futurs “dictionnaires de phrases” qui ne manqueront pas d’apparaître, l’idéal est d’avoir une phrase longue, mais avec une ou deux variables par rapport à la phrase d’origine. Par exemple, au lieu d’avoir comme mot de passe : “Mignonne, allons voir si la rose”, un mot de passe solide pourrait être “Mignonne, voir allons si la tulipe” :
- c’est un mot de passe long,
- il est relativement facile à retenir
- la phrase n’est pas exactement celle d’origine
Variez vos mots de passe d’un site à l’autre
Cette règle là est dure mais réaliste : si malgré toutes ces précautions, ou si par légèreté vous avez confié votre mot de passe à une tierce personne, le seul moyen de s’en protéger est de ne pas utiliser le même mot de passe sur tous les sites que vous utilisez.
Ainsi, pour reprendre l’anecdote de départ, si Twitter se fait pirater ses mots de passe, cela n’affectera que Twitter, pas vos autres services.
J’avoue, cette règle est dure à tenir (sauf à utiliser un gestionnaire de mots de passe… voir le point suivant). Une solution intermédiaire consiste à utiliser le même mot de passe un peu partout… sauf sur les 2-3 sites les plus “sensibles” que vous utilisez.
Utilisez un gestionnaire de mots de passe
Des logiciels peuvent vous aider à gérer vos mots de passe. Ils n’ont (presque) que des avantages :
- intégrés au navigateur, ils vont permettre d’automatiser les connexions : plus de login à saisir
- base de données de vos mots de passe, ils vont permettre d’avoir des mots de passe différents pour chacun des sites
- ils peuvent générer pour vous des mots de passe particulièrement alambiqués
Le seul point qui peut laisser interrogatif est l’aspect centralisé : vous vous retrouvez à rassembler tous vos mots de passe à un seul et unique endroit.
Autre bémol : vous vous retrouvez complètement dépendant de l’outil, et vous ne pourrez vous connecter depuis un poste de travail qui n’est pas doté de l’outil en question. Prenez garde donc à choisir un logiciel qui s’embarque également sur votre smartphone, pour avoir vos mots de passe avec vous.
Il existe de nombreuses solutions, dont :
- Keepass, pour PC, Mac et Linux, est une solution solide, mais peu intégrée au navigateur. C’est un logiciel gratuit, donc ne vous en privez pas !
- 1Password, pour Mac et iPhone, est parfaitement intégré, et solide
- Dashlane, un petit outsider que j’utilise depuis quelques temps, propose une solution de stockage dans le cloud qui peut apparaitre effrayante mais qui est au final assez séduisante : elle permet ainsi d’accéder à ses mots de passe en ligne.
Faites attention à ce que vous activez
Comme évoqué précédemment, Twitter s’est fait pirater par une extension qui est passée “par derrière”, via les API du service en ligne. Du coup, il faut faire particulièrement attention aux extensions, applications, etc… que l’on peut installer ou accepter, que ça soit sur son ordinateur, ou sur Facebook, Twitter and co.
De la même manière, pour parler d’un autre sujet d’actualité, il est malheureusement aujourd’hui impératif de faire une croix sur les Applet Java, et donc de désactiver ce langage sur votre navigateur (en prenant garde à ne pas faire d’amalgame entre Java utilisé sur des serveurs en tant que serveur d’application, et Java en tant qu’Applet sur une page web.