L’usage de l’informatique implique souvent d’identifier les internautes. La technique la plus courante est basée sur le couple « identifiant/mot de passe ». Selon les situations, l’identifiant peut être privé ou public, mais est souvent mal protégé. Le mot de passe est l’outil qui assure donc l’essentiel de la sécurisation. Si un individu mal intentionné obtient un mot de passe d’une personne, il pourra usurper son identité avec des conséquences potentiellement très graves (récupération des données, opérations commerciales, détournement de listes de contacts, etc.).
Les opérateurs qui demandent une identification doivent donc mettre en place de nombreuses mesures de sécurité pour gérer les mots de passe : dans les règles de création, dans la méthode de conservation, etc. C’est un enjeu très important mais sur lequel on a peu de prise (si ce n’est d’éviter les opérateurs qui conservent ou transmettent les mots de passe en « clair » ou dont il est établi qu’ils sécurisent mal leurs données).
Côté utilisateu·ice, il faut toutefois prendre des précautions.
La première précaution est d’utiliser un mot de passe qui ne soit pas facilement devinable par un·e attaquant·e (mot de passe basiques type 12345, azerty, date de naissance, identique à l’identifiant…), mais il faut également se prémunir des techniques de « force brute » consistant à tester automatiquement de très nombreux mots de passe. Pour réduire ce risque, il faut que le mot de passe soit suffisamment long (minimum 14 caractères) et comporte de la diversité : des minuscules, des majuscules, mais aussi des chiffres et des caractères spéciaux. Un opérateur sérieux mettra en place des mesures protectrices : nombre limité de tentatives, utilisation de « CAPTCHA »… Cela ne dispense pas pour autant de se protéger car dans certains cas ces mesures ne seront plus efficaces (failles, récupération de la base de données...).
Le problème reste que même une pratique numérique limitée implique d’avoir de nombreux comptes. Comme il est très important de diversifier ses mots de passe et de ne pas réutiliser le même pour tous les services, leur mémorisation devient vite complexe. Une conservation en clair sur post-it, dans un tableur ou un courriel pose le risque d’être vue par des personnes susceptibles d’accéder au lieu, aux contenus des courriels ou à l’ordinateur.
Pour limiter ce problème de mémorisation, trois méthodes complémentaires sont disponibles :
- utiliser des « phrases de passe » facile à mémoriser, mais complexes à deviner ;
- utiliser des méthodes d’identification mixtes ;
- utiliser un gestionnaire de mot de passe.
6.1 Les « phrases de passe »
Plutôt que de devoir retenir des mots de passe complexes tels que « M9çT#411kl », on conseille d’adopter des « phrases de passe », plus simples à mémoriser tout en étant plus complexes à casser. Il s’agit de retenir un assemblage de termes inspiré d’éléments connus seulement de la personne. Au lieu de la date et lieu de naissance on pourrait mettre « Né à douze H13 un mardi ». Cette phrase peut être liée ou non au service utilisé (de façon non évidente) pour que l’on s’en souvienne. Pour une boite courriel par exemple : « HereJereçoisbien10mailsparjour ». La phrase de passe permet de concilier les avantages d’un mot de passe complexe tout en le mémorisant plus facilement.
Même sur des services non critiques où une compromission du compte ne serait pas vraiment problématique (sans élément relatif à la vie privée, données bancaires, base de contact, etc.), il faut éviter d’utiliser le même mot de passe. Au minimum, on peut adopter une phrase de passe « modèle » pour chaque site avec quelques variations non prédictibles. Il s’agit d’un compromis avec le risque que la découverte d’un mot de passe entraîne celle d’autres comptes (ex. si on est la cible particulière d’une attaque).
6.2 Les méthodes d’identification mixtes-multifacteurs
Des opérateurs mettent à disposition des méthodes d’identification mixtes où un élément supplémentaire au mot de passe va être demandé à la personne. Pour les opérations importantes, l’identification se fait souvent avec un contrôle supplémentaire. Il s’agit fréquemment d’indiquer un code éphémère transmis par SMS.
La contrepartie de cette amélioration de la protection des comptes est la transmission de données supplémentaires (numéro de téléphone dans le cas précédent, validation par courriel, utilisation d’une carte à puce, mais des données biométriques peuvent aussi être utilisées dans des approches similaires). Attention toutefois cette méthode n’est pas infaillible et le vol du téléphone peut paradoxalement permettre d’accéder au compte encore plus facilement.
Il existe des applications pour ordiphones (fiche 13) qui permettent de déployer des systèmes d’authentification multifactoriels (mot de passe + contrôle de l’ordiphone) pour des comptes en ligne qui acceptent ces solutions. Ce guide suggère les applications libres Aegis Authenticator ou FreeOTP. Il est aussi possible d’assurer cette authentification multifactorielle par le contrôle d’un dispositif physique : ce que font par exemple des dispositifs bancaires ou l’entreprise YubiCo avec ses YubiKeys qui doivent être insérées dans l’ordinateur en plus de la phrase de passe.
Les méthodes multifactorielles sont très intéressantes en terme de sécurité pure. Il faudrait pouvoir s’assurer qu’elles soient bien mises en œuvre et que l’autre élément demandé n’implique pas d’autres risques. Ainsi accepter de communiquer son numéro de téléphone à une banque pourrait être justifié, fournir des données biométriques pour un achat en ligne semble disproportionné.
6.3 Les gestionnaires de mots de passe
Quelle que soit la manière dont on fabrique ses mots de passe, leur mémorisation est toujours un défi. Une solution est d’utiliser des gestionnaires de mots de passe qui offrent une protection sans effort de mémorisation.
Attention, toutes les solutions disponibles ne sont pas équivalentes. Ainsi, la quasi-totalité des navigateurs offre la possibilité d’enregistrer les mots de passe. Cette possibilité, si elle simplifie la vie, peut s’avérer dangereuse. Ce point est critique sur Firefox, mais aussi sur d’autres navigateurs où, par défaut, les mots de passe sont conservés en clair sans protection. Un mécanisme similaire existe au niveau du système sur macOS où, par défaut et sur simple validation de l’utilisateur, tous les mots de passe sont enregistrés dans un « trousseau ».
Quiconque ayant accès au navigateur peut prendre connaissance de tous les mots de passe enregistrés. Pour pallier ce risque, il est absolument nécessaire de créer un « mot de passe principal » protégeant l’accès aux mots de passe enregistrés. Il faudra l’indiquer à chaque session ou accès, mais c’est une protection indispensable pour utiliser ce gestionnaire.
La procédure est détaillée dans l’aide de Firefox.
En bref, il s’agit d’aller dans « Paramètres », onglet « Sécurité », « Utiliser un mot de passe principal », puis d’indiquer une phrase de passe.
Une autre solution est d’utiliser un gestionnaire extérieur. Ce logiciel, à installer sur son ordinateur, gérera la mémorisation des mots de passe à notre place. Si les pratiques varient d’un logiciel à l’autre, les plus sérieux chiffrent les mots de passe qui ne deviennent accessibles qu’en fournissant le mot de passe principal d’accès, le seul à devoir être mémorisé. Il doit être complexe et respecter les règles précédemment évoquées. Il sera ensuite possible de stocker tous les mots de passe, même les plus complexes, dans le gestionnaire sans devoir les mémoriser. Le logiciel peut aussi proposer des mots de passe aléatoire robustes.
De nombreux gestionnaires sont disponibles : 1Password, Bitwarden... En raison de sa gratuité, de sa relative praticité d’utilisation, du fait qu’il ait été audité et certifié par l’ANSSI comme sûr, et qu’il s’agisse d’un logiciel libre, ce guide recommande le logiciel « Keepass » ou son cousin « KeepassXC ». Il s’agit de références en la matière.
Une pratique plus basique peut être de conserver ses mots de passe peu utilisés dans une archive chiffrée (voir fiche 11) en AES (via l’enregistrement d’un fichier odt avec chiffrement dans Libreoffice Writer par exemple) avec une phrase de passe solide.