Compte rendu ateliers sur les mots de passe

ateliers / Compte rendu

Gérer ses mots de passe est une problématique complexe, pas de solution miracle qui satisfasse tout le monde. Chacun ses usages, sa maitrise des solutions proposées, il n’est pas forcement évident de trouver ce qui nous convient, c’est pour ça qu’il faut en parler 🙂

Nous parlons ici de notions de base pour débutants, ce résumé ne prétend pas être exhaustif, surtout concernant des solutions techniques plus poussées pour les geeks et experts en sécurité.

Un bon résumé des principales choses à connaître est disponible dans cette page de la CNIL : Les conseils de la CNIL pour un bon mot de passe.

Tout est important mais je dirais que les 2 premiers conseils à respecter sont :

Comptes utilisateurs

Avant toute chose on a rappelé que pour les services connectés (email, réseaux sociaux, banque, achats en ligne….) un mot de passe est associé à un compte utilisateur. Pour chaque compte utilisateur, vous avez un identifiant unique, et un mot de passe.

connexion au service twitter
En général vous choisissez identifiant et mot de passe lorsque vous créez votre compte, mais vous pouvez toujours modifier votre mot de passe ou en redemander un nouveau au service/site/administration. Souvent possible directement en ligne, parfois il sera reçu par courrier papier (banque, administrations).

J’ai oublié mon mot de passe

Lorsqu’on vous demande de vous identifier, il faut saisir son identifiant et son mot de passe, mais il y a quasiment toujours un lien « j’ai oublié mon mot de passe » en cas de besoin.

Cliquer si besoin sur « mot de passe oublié? »

La procédure proposée peut varier selon le service mais la plus commune est la suivante :

  1. je demande un nouveau mot de passe en cliquant sur un bouton de type « renouveler mon mot de passe ».
  2. le service vous envoie un email.
  3. cet email contient un lien sur lequel on clique et qui nous emmène sur une page du service concerné qui nous demandera de saisir le nouveau mot de passe, en général 2 fois pour vérification afin de s’affranchir des fautes de frappe.
Un autre exemple : sur Twitter si j’ai renseigné mon numéro de mobile dans mon profil (compte utilisateur), Twitter me propose d’envoyer un SMS avec un code secret, une fois reçu je peux saisir ce code sur la page du site et valider, il me propose alors une saisie du nouveau mot de passe.
A ce propos, nous avons insisté sur un point : votre compte email est le bastion à protéger à tout prix !
S’il est un endroit où il faut vraiment s’occuper de sécuriser l’accès, c’est votre email car c’est par ce canal qu’on peut gérer la plupart des mot de passe de tous vos autres services puisque c’est par email que les échanges se feront.

Double authentification

On a vu qu’il est utile de créer des mots de passe solides, mais pour augmenter encore la sécurité, certains services proposent la double authentification. L’idée est de s’assurer que c’est bien vous par 2 « chemins » différents. Le mot de passe est une clé, mais une clé on peut vous la voler. Avec la double authentification, on va s’assurer que c’est bien vous qui utilisez la clé via un autre appareil. Par exemple j’utilise un compte email Gmail ou j’ai demandé la double identification, et donc lorsque je me connecte sur un nouvel ordinateur, après que j’aie entré mon identifiant et mon mot de passe, avant de m’autoriser l’accès Gmail m’envoie un message sur mon téléphone mobile pour confirmation de mon identité. Ainsi même si quelqu’un m’a volé mon mot de passe, s’il n’a pas mon téléphone il ne peut pas se connecter à mon compte Gmail. Vous connaissez peut-être ce mécanisme pour les achats en ligne où votre banque vous envoie un code de confirmation par SMS.

Stocker ses mots de passe

Puisque les comptes utilisateurs se multiplient et qu’on va essayer dans la mesure du possible de ne pas utiliser le même mot de passe partout, il faut être capable de retrouver identifiant et mot de passe pour chaque service utilisé.
Il y a plusieurs moyens pour cela :
  • la mémoire
  • le cahier 
  • le tableau
  • le navigateur
  • le logiciel

La mémoire, certains arrivent à tout retenir, bravo à eux 🙂

Le cahier, c’est très courant. On note sur des bouts de papier ou un calepin les mots de passe. Pratique, mais pas très sûr. On peut perdre ce calepin, se le faire voler, qui a accès à ce calepin peut tout faire avec vos comptes.

Le tableau dans un fichier de type tableur (Calc Libre Office, Excel). Assez souvent utilisé par ceux qui maitrisent ces outils. On fait une colonne « service », une colonne « identifiant » et une colonne « mot de passe ». Il faut donc s’organiser pour avoir ce fichier sous le coude à tout moment. Quand on a besoin d’un mot de passe, on ouvre le fichier et on fait un copier/coller. Ça peut ressembler à ça (voir ci dessous). C’est la version numérique du cahier.

Tableau de mots de passe ( inutile de les essayer 😉 )

Un point important : contrairement au cahier, on peut empêcher l’accès à ce fichier en le protégeant par un mot de passe. Oui un de plus 🙂 Mais il suffit du coup de retenir celui là pour avoir tous les autres. C’est un peu votre boîte à clés, il faut veiller à ce qu’il y ait une clé principale solide pour l’ouvrir !

Pour ce faire, penser à sauvegarder votre fichier de mots de passe avec l’option « Enregistrer avec mot de passe ». Vous aurez alors la possibilité de choisir ce mot de passe principal lors de la première sauvegarde, et il vous sera dès lors demandé lorsque vous voudrez rouvrir ce document. C’est une protection utilisable pour tous vos documents Libre Office.

Votre navigateur : il vous permet de stocker localement vos mots de passe et en plus de préremplir les champs lorsque vous revenez sur un site où vous vous êtes déjà connecté. Si vous utilisez toujours le même navigateur cela peut être une solution mais comme pour les tableurs, veillez à ce que ces mots de passe stockés ne soient accessibles qu’après avoir mis en place un mot de passe principal. La clé de votre boîte à clés.

Dans Firefox, vous pouvez configurer cela dans le menu « Options », puis onglet « Vie privée et sécurité ». Descendez dans la page jusqu’à la zone « Identifiants et mots de passe ». La première coche décide si le navigateur doit ou non vous proposer d’enregistrer un mot de passe quand vous en saisissez un. La deuxième valide l’utilisation d’un mot de passe principal.

Enfin une autre solution est d’utiliser des logiciels entièrement consacrés au stockage de mots de passe. Il en existe beaucoup, personnellement j’utilise Dashlane, mais j’ai récemment essayé Bitwarden (open source) sur les conseils de Pierre.

On peut citer aussi Keepass pour lequel la CNIL a fait un tutoriel :

Une fois le logiciel installé, vous devrez si vous le souhaitez installer des composants additionnels dans vos navigateurs pour qu’ils puissent utiliser directement les informations du logiciel que vous avez choisi.

Synchroniser ses mots de passe

Si vous travaillez sur plusieurs machines, smartphones, tablettes, vous pouvez souhaiter utiliser une seule « boite à clés » pour tous vos engins. Pour cela il faut pouvoir synchroniser les données. Il y a plusieurs façons de faire, mais pour ce qui est des navigateurs ou des logiciels comme Dashlane vous devrez accepter de créer un compte et valider la synchronisation. Lorsqu’on change un mot de passe sur une machine, on retrouve la modification sur les autres.

Une autre possibilité est d’utiliser un logiciel qui enregistre toutes les données dans un fichier local et que ce fichier soit synchronisé via un service de fichiers synchronisés comme Nextcloud ou Dropbox.

Conclusion

Tout ceci fait peut-être un peu beaucoup de choses d’un coup, mais si on ne devait en retenir que très peu pour les plus débutants d’entre nous, je conseillerais en priorité de retenir les suivantes :

  1. Blinder le compte email en choisissant un mot de passe très robuste, et si possible utiliser la double authentification
  2. Varier les mots de passe, par exemple avec une méthode mnémotechnique rien qu’à vous, ou un outil comme ce générateur de mots de passe.
  3. Si les logiciels vous semblent trop compliqués, utiliser un fichier tableur ou votre navigateur pour stocker les mots de passe, mais en pensant bien à protéger l’entrée dans ce « calepin » avec un mot de passe principal.

Pour le reste il y aurait encore beaucoup à dire selon les possibilités et besoins de chacun, n’hésitez pas à demander de l’aide ici ou sur le forum si vous avez des questions.

(Image d’entête empruntée au site de la CNIL)

4 Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to Top