On a refait encore une fois un atelier sur les mots de passe. C’est vraiment un sujet qui nous concerne tous, car nous avons de plus en plus de comptes utilisateurs et donc de mots de passe à créer. Nous avons besoin de les conserver en toute sécurité, de savoir comment on les retrouve ; et nous connaissons tous au moins une personne qui s’est fait pirater son compte mail.
Pour ce compte rendu, je reprends des éléments d’articles déjà publiés.
Pourquoi faut-il des mots de passe solides ?
Parce que les pirates utilisent des programmes qui leur permettent de tester des milliers de combinaisons. Et donc plus le mot de passe est facile, plus il est rapide de le découvrir ; l’exemple suivant (repris sur le site Xyoos) est assez parlant :
chapeau : 2 millisecondes
Chapeau : 26 secondes
Chapeau4 : 2 heures
Ch@peau4 : 9 heures
+Ch@peau_4 : 53 ans.
On voit bien que la combinaison de lettres, de chiffres et de caractères spéciaux rend la tâche impossible aux pirates potentiels.
Un bon résumé des principales choses à connaître est disponible dans cette page de la CNIL : Les conseils de la CNIL pour un bon mot de passe.
Tout est important, mais les deux premiers conseils à respecter sont :
- Créer des mots de passe solides (essayer cet outil très pratique),
- Ne pas toujours utiliser le même mot passe.
Comptes utilisateurs
Avant toute chose, on a rappelé que pour les services connectés (email, réseaux sociaux, banque, achats en ligne….) un mot de passe est associé à un compte utilisateur. Pour chaque compte utilisateur, vous avez un identifiant unique et un mot de passe.
En général, vous choisissez identifiant et mot de passe lorsque vous créez votre compte, mais vous pouvez toujours modifier votre mot de passe ou en redemander un nouveau au service/site/administration. Souvent possible directement en ligne, parfois il sera reçu par courrier postal (banque, administrations).
J’ai oublié mon mot de passe
Lorsqu’on vous demande de vous identifier, il faut saisir son identifiant et son mot de passe, mais il y a quasiment toujours un lien « j’ai oublié mon mot de passe » en cas de besoin.
La procédure proposée peut varier selon le service, mais la plus commune est la suivante :
- Je demande un nouveau mot de passe en cliquant sur un bouton de type « renouveler mon mot de passe ».
- Le service vous envoie un email.
- Cet email contient un lien sur lequel on clique ; cela nous emmène sur une page du service concerné pour saisir le nouveau mot de passe, en général deux fois pour vérification afin de s’affranchir des fautes de frappe.
Un autre exemple : sur Twitter, si j’ai renseigné mon numéro de mobile dans mon profil (compte utilisateur), Twitter me propose d’envoyer un SMS avec un code secret ; une fois reçu, je peux saisir ce code sur la page du site et valider, il me propose alors une saisie du nouveau mot de passe.
À ce propos, nous avons insisté sur un point : votre compte email est le bastion à protéger à tout prix !
S’il est un endroit où il faut vraiment sécuriser l’accès, c’est votre email : c’est par ce canal qu’on peut gérer la plupart des mots de passe puisque c’est par email que les échanges se feront.
- Pour ceux qui ont une adresse chez Orange, voici comment modifier son mot de passe.
- Pour Gmail, la méthode est décrite ici.
Double authentification
On a vu qu’il est utile de créer des mots de passe solides, mais pour augmenter encore la sécurité, certains services proposent la double authentification. L’idée est de s’assurer que c’est bien vous par 2 « chemins » différents. Le mot de passe est une clé, mais une clé peut être volée. Avec la double authentification, on va s’assurer que c’est bien vous qui utilisez la clé via un autre appareil. Par exemple j’utilise un compte Gmail ou j’ai demandé la double identification. Donc lorsque je me connecte sur un nouvel ordinateur, après que j’ai entré mon identifiant et mon mot de passe, Gmail m’envoie un message sur mon téléphone mobile pour confirmation de mon identité. Ainsi même si quelqu’un m’a volé mon mot de passe, s’il n’a pas mon téléphone, il ne peut pas se connecter à mon compte Gmail. Vous connaissez peut-être ce mécanisme pour les achats en ligne où votre banque vous envoie un code de confirmation par SMS.
Stocker ses mots de passe
Puisque les comptes utilisateurs se multiplient et qu’on va essayer dans la mesure du possible de ne pas utiliser le même mot de passe partout, il faut être capable de retrouver identifiant et mot de passe pour chaque service utilisé.
Il y a plusieurs moyens pour cela :
- la mémoire
- le cahier
- le tableau
- le navigateur
- le logiciel.
La mémoire, certains arrivent à tout retenir, bravo à eux. 😀
Le cahier, c’est très courant. On note sur un calepin les mots de passe. Pratique, mais pas très sûr. On peut perdre ce calepin, se le faire voler ; qui a accès à ce calepin peut tout faire avec vos comptes.
Le tableau dans un fichier de type tableur (Calc Libre Office, Excel). Assez souvent utilisé par ceux qui maitrisent ces outils. On fait une colonne « service », une colonne « identifiant » et une colonne « mot de passe ». Il faut donc s’organiser pour avoir ce fichier sous le coude à tout moment. Quand on a besoin d’un mot de passe, on ouvre le fichier et on fait un copier/coller. Ça peut ressembler à ça (voir ci-dessous). C’est la version numérique du cahier.
Un point important : contrairement au cahier, on peut empêcher l’accès à ce fichier en le protégeant par un mot de passe. Oui, un de plus. Mais il suffit du coup de retenir celui-là pour avoir tous les autres. C’est un peu votre boîte à clés, il faut veiller à ce qu’il y ait une clé principale solide pour l’ouvrir !
Pour ce faire, penser à sauvegarder votre fichier de mots de passe avec l’option « Enregistrer avec mot de passe ». Vous aurez alors la possibilité de choisir ce mot de passe principal lors de la première sauvegarde, et il vous sera dès lors demandé lorsque vous voudrez rouvrir ce document. C’est une protection utilisable pour tous vos documents Libre Office.
Votre navigateur : il vous permet de stocker localement vos mots de passe et en plus de préremplir les champs lorsque vous revenez sur un site dans lequel vous vous êtes déjà connecté. Si vous utilisez toujours le même navigateur, cela peut être une solution, mais comme pour les tableurs, veillez à ce que ces mots de passe stockés ne soient accessibles qu’après avoir mis en place un mot de passe principal. La clé de votre boîte à clés.
Dans Firefox, vous pouvez configurer cela dans le menu « Options », puis onglet « Vie privée et sécurité ». Descendez dans la page jusqu’à la zone « Identifiants et mots de passe ». La première coche décide si le navigateur doit ou non vous proposer d’enregistrer un mot de passe quand vous en saisissez un. La deuxième valide l’utilisation d’un mot de passe principal.
Enfin, une autre solution est d’utiliser des logiciels entièrement consacrés au stockage de mots de passe. Il en existe beaucoup, personnellement, j’utilise Bitwarden (open source). Jérôme utilise Dashlane.
Une fois le logiciel installé, vous devrez si vous le souhaitez installer des composants additionnels dans vos navigateurs pour qu’ils puissent utiliser directement les informations du logiciel que vous avez choisi.
Synchroniser ses mots de passe
Si vous travaillez sur plusieurs machines, smartphones, tablettes, vous pouvez souhaiter utiliser une seule « boite à clés » pour tous vos engins. Pour cela, il faut pouvoir synchroniser les données. Il y a plusieurs façons de faire, mais pour ce qui est des navigateurs ou des logiciels comme Bitwarden ou Dashlane, vous devrez créer un compte et valider la synchronisation. Lorsqu’on change un mot de passe sur une machine, on retrouve la modification sur les autres.
Une autre possibilité est d’utiliser un logiciel qui enregistre toutes les données dans un fichier local et que ce fichier soit synchronisé via un service de fichiers synchronisés comme Nextcloud ou Dropbox.
Conclusion
Tout ceci fait peut-être un peu complexe d’un coup, mais pour les plus débutants d’entre nous, je conseillerais en priorité de retenir :
- Blinder le compte email en choisissant un mot de passe très robuste, et si possible utiliser la double authentification.
- Varier les mots de passe, par exemple avec une méthode mnémotechnique rien qu’à vous, ou un outil comme ce générateur de mots de passe.
- Si les logiciels vous semblent trop compliqués, utiliser un fichier tableur ou votre navigateur pour stocker les mots de passe, mais en pensant bien à protéger l’entrée dans ce « calepin » avec un mot de passe principal.
N’hésitez pas à demander de l’aide par exemple sur Discord ou en venant au troquet numérique le mercredi.
Ceux qui sont intéressés par une séance d’installation de Bitwarden peuvent déjà s’y inscrire avec ce lien.
Pour en savoir plus :
- un test de Bitwarden
- Notre salon dédié aux mots de passe sur Discord.
- Image de l’article empruntée à la CNIL.