Un bon mot de passe pour chaque occasion

Soyons honnêtes, choisir un mot de passe n’est pas facile. Avec le temps, on en accumule de plus en plus et on finit par les oublier. La tentation est grande de prendre le nom de son chien et de le réutiliser partout. 
Malheureusement, utiliser « Fido01! », c’est pas mal risqué.

Vincent Tremblay est un spécialiste en sécurité informatique et membre organisateur du Hackfest, un événement annuel de cybersécurité. Dans ses temps libres, il est aussi « friand de cassage de mots de passe ».

Les pirates, et les chercheurs en sécurité, utilisent diverses méthodes pour « casser » les mots de passe. L’une d’elle s’appelle la « force brute ». En gros, cela veut dire tester plein de possibilités jusqu’à ce que l’on trouve la bonne. Il existe sur Internet des listes contenant des dizaines de milliers de mots de passe.

En plus, il est aisé pour un malfaiteur de faire un peu de recherche pour trouver des mots qui pourraient être utilisés, le nom de votre enfant, partenaire ou animal de compagnie, et les ajouter aux listes déjà existantes. 

Un ordinateur peut tester des milliers de possibilités à la seconde. Les logiciels utilisés sont programmés pour essayer les substitutions fréquentes, comme le @ pour un a, par exemple.
Plus un mot de passe est long et compliqué et plus il est difficile d’utiliser la force brute, car le temps que cela prend pour tester toutes les possibilités devient énorme.

Passer du mot à la phrase de passe

Dans son guide, le Centre canadien pour la cybersécurité recommande l’utilisation d’une phrase de passe d’un minimum de quatre mots et 15 caractères.

Pour Vincent Tremblay, cette proposition est bonne, mais « si les mots composant la phrase sont communs ou ont des liens […] ou sont des phrases connues provenant par exemple de films, ça facilite la tâche [aux pirates] ». On peut donc rendre cette phrase plus robuste en faisant « des erreurs volontaires ou quelques substitutions », ajoute-t-il.
Par exemple, je peux utiliser quatre mots aux hasards en mettant la dernière lettre en majuscule et une faute au pluriel de cheval : « tablEchocolaToiseaUchevalS ».

Un gestionnaire pour vos mots de passe

Il est important de ne pas réutiliser un mot de passe. Si un compte est compromis, il devient facile pour le pirate de s’emparer de tous ceux utilisant les mêmes identifiants. Comme il est difficile de se souvenir de tout cela, Vincent Tremblay explique que « l'idéal à ce point est d'avoir un gestionnaire de mots de passe. »

Un gestionnaire de mots de passe est une application qui va générer et enregistrer ceux-ci. De cette façon, il n’y a qu’un seul mot de passe à retenir. Il faut bien sûr s’assurer que celui-ci soit robuste et unique.

Un deuxième facteur pour s’authentifier

Pour le membre de l’équipe du Hackfest, « la sécurité informatique idéale se compose de plusieurs couches ». Il recommande donc l’authentification à double-facteur (2FA). Cela veut dire que pour accéder à un compte, j’ai besoin d’une autre information en plus de mon mot de passe.

Cela peut être un code envoyé par texto, par exemple. L’expert informatique recommande l’utilisation de « Google Authenticator ». Il s’agit d’une application qui génère automatiquement des codes d’accès temporaires. « Dans l'ensemble, le 2FA est simple à utiliser bien qu'il y ait une période d'adaptation à prévoir », dit-il.

Les mots de passe que nous utilisons servent à protéger une foule d’informations sensibles et personnelles. C’est pour cela que les experts recommandent que chacun soit long, unique et difficile à deviner pour un attaquant.

Fido est peut-être capable de protéger la maison, mais utiliser son nom ne protégera pas longtemps le compte bancaire.

Par Sam Harper,
journaliste pigiste pour Victoire Événements & Web

Il y a quelques années, Sam Harper a troqué le stéthoscope pour le clavier. Journaliste indépendant et programmeur passionné par la cybersécurité, il écrit des mots et du code. Il s’intéresse particulièrement aux enjeux politiques et sociaux qui entourent les algorithmes qui influencent nos vies.