[Geek] Bien gérer les mots de passe

 

Périodiquement, la presse informatique insiste sur la nécessité d’utiliser des mots de passe complexe. Récemment, c’est Numérama qui s’y est collé avec ce genre de propos à moitié anxiogènes qui m’énervent et me donnent soif. Cette fois, ils constatent qu’avec des équipements modernes, dotés d’une très forte puissance de calcul, le « hackage » devient de plus en plus rapide et à la portée de méchants habiles.

Tout d’abord, si on les suit bien, ce n’est pas la sécurité du mot de passe chez le gentil utilisateur qui est en cause mais son stockage chez les andouilles qui développent des applications nécessitant une authentification, à la connexion. En effet, pour permettre les contrôles de mots de passe, ils doivent les stocker dans des fichiers. Ces derniers ne sont parfois pas assez sécurisés et peuvent être « déchiffrés ». Forcément, si vos mots de passe sont complexes, les hackers auront plus de mal à les obtenir à partir des données stockées par les éditeurs.

Il n’empêche que l’on marche sur la tête ! On demande à l’utilisateur neuneu comme vous et moi et participer à un processus de chiffrement chez un spécialiste de la chose ou, du moins, qui devrait être spécialiste de la chose. C’est pourtant bien à eux de renforcer la sécurité. Le neuneu devrait se contenter d’avoir un mot de passe suffisamment compliqué pour ne pas avoir à subir un piratage manuel par un proche, par un voisin ou qui sais-je ?

Il est évident que si vous avez comme mot de passe « aaaa1234 », votre voisin de bureau ou de comptoir, d’avion, de train… pourra « l’intercepter » visuellement au moment où vous le saisissez. Pour le reste…

 

Dans la plupart des cas, les mots de passe sont mémorisés par vos navigateurs. Vous n’avez donc qu’à les saisir une seule fois (en règle générale) avec chaque navigateur que vous utilisez. La complexité pose des problèmes, nous allons y revenir, mais, dans la pratique, « au quotidien », cela ne change pas grand-chose.

Je pourrais donc dire que vous pouvez mettre un mot de passe totalement aléatoire avec quelques mots en majuscules, quelques signes « cabalistiques »… Bref, tapez n’importe quoi sur votre clavier en utilisant la touche « shift » pour quelques caractères et cela fera l’affaire si vous n’avez pas besoin de mémoriser le mot de passe.

C’est votre navigateur qui fera le boulot pour vous… Ne faites pas les cons pour les mots de passe qui ne sont pas mémorisés, comme celui que vous avez très certainement mis pour protéger l’accès à votre ordinateur, personnel ou professionnel, que cela soit au démarrage comme à la sortie du mode veille.

Par contre, vous utilisez plusieurs navigateurs, je suppose, notamment celui d’un ordinateur et celui du smartphone, d’autant que, sur ce dernier, vous n’utilisez pas le navigateur, généralement, mais des applications. Donc je viens de dire n’importe quoi et vous n’avez pas réagi mais, à ma décharge, c’est pour l’intérêt de ma démonstration.

Chaque mot de passe devra être saisi deux fois (au minimum) : une lors de la création, l’autre lors de l’utilisation avec un autre terminal. Générez donc le en tapant n’importe quoi sur le clavier, comme je le disais, mais dans un traitement de texte de manière à ce qu’il apparaisse à l’écran le temps que vous l’entriez partout. Evidemment, ne sauvegardez pas le fichier…

Notons que les éditeurs ne sont pas fous ! Ils proposent tous, ou presque, des systèmes de récupération par SMS ou par mail si vous les oubliez. Mon premier conseil est de vous en assurer (il suffit de vérifier que vous avez un bouton « mot de passe oublié » sur la page de connexion, en gros).

Mon deuxième conseil est d’avoir un mot de passe sûr et mémorisable pour votre système de récupération des mots de passe (donc votre messagerie mais aussi le code PIN de votre SIM : adieu le 0000).  Cela inclut le mot de passe à saisir pour démarrer votre ordinateur ou le sortir du mode veille… et, évidemment, tous les mots de passe qui n’ont pas de système de récupération.

Mon troisième conseil est, ainsi, d’en faire un référencement précis en tentant de penser à tout. Par exemple, si vous avez un mot de passe mémorisé par un navigateur mais qui n’est pas récupérable par SMS ou mail, vous pourriez être emmerdés si vous devez changer de navigateur (cela m’est arrivé récemment : j’ai eu un nouvel ordinateur professionnel et « on » nous a interdit d’utiliser Chrome, il a fallu prendre Edge).

 

Je vais donc appliquer ici mon troisième conseil devant vos yeux ébahis et… absolument pas intéressés mais dites-vous bien que c’est pour l’exemple. J’ai deux ordinateurs, un professionnel et un personnel, donc deux mots de passe de déverrouillage. J’ai deux smartphones, donc deux codes PIN pour le déverrouillage de la SIM et deux pour celui de l’appareil lui-même (n’oubliez pas vos codes PIN des cartes bancaires, c’est un peu à part mais cela joue sur vos neurones). J’ai un mot de passe pour les applications de la filiale de mon employeur où je bosse. J’ai un mot de passe (une espèce de long PIN) pour me connecter à ma banque. Donc outre les cinq « PIN » (rappel : le « N » de « PIN » est pour « Number »), j’ai trois de mot de passe à me souvenir (et encore, les conséquences d’une perte de la plupart ne seraient qu’un emmerdement ponctuel).

 

Les mots de passe complexe ont des défauts. Le premier est évidemment qu’ils sont chiants à saisir… J’ai connu un gugusse qui mettait des trucs très longs mais utilisant une suite de touches consécutives du clavier. Il avait trouvé une solution qui l’arrangeait mais il aurait mieux fait de pisser dans un violon (d’autant que ce n’était pas une application stratégique et c’était dans un environnement de test, avec le mot de passe partagé avec des collègues).

En outre, s’ils sont complexes, vous êtes obligés de les noter. Bonjour la sécurité… Sans compter qu’on a tendance à utiliser les mêmes pour plusieurs applications.

Certains conseillent d’utiliser des mots clés. Par exemple, l’article que je cite indique « Vous pouvez lister vos destinations et plats préférées, par exemple : « N0rvège!P1zza?Vi3t-N4m%Burg3r; » ». Franchement, on pourrait pas être un peu sérieux. Vous croyez qu’on peut utiliser un truc comme ça (et s’en souvenir) pour tous les mots de passe à mémoriser (même si j’ai réduit leur nombre à trois). Encore un truc idéal pour noter et pour foutre le même partout.

On simplifie ! Exemple : « Bicêtre!4391 ». Une partie du nom de ma commune de résidence (avec une majuscule et une minuscule accentuée), suivi d’un point d’exclamation et de l’année de naissance de mon père à l’envers…  Vous pouvez varier, prendre le nom de votre premier animal de compagnie en verlan avec les mensurations de votre grosse. Ou « 22600Colibri# » (le Colibri étant un bistro de code postal 22600 que je ne peux pas blairer car la patronne m’a accusé d’avoir pété au comptoir mais aussi un nom commun : qui va le deviner ?).  Ce n’est pas plus con qu’un machin avec des noms de pays et des noms de bouffe dans lequel l’andouille a remplacé certaines voyelles par des chiffres « qui ressemblent » ce qui rend le mot lisible mais… chiant à écrire. Faire un mot de passe facile à lire mais pénible à écrire. Il fallait l’inventer… Il faut le contraire, ou presque.

 

Vous avez ainsi deux ou trois mots de passe essentiels, c’est-à-dire qu’il faut saisir de temps en temps, comme de déverrouillage de votre poste. Je dis de temps en temps, mais l’ordinateur de bureau, c’est sans doute plus de 10 fois par jour : à l’arrivée, après le café du matin, en entrant en salle de réunion, en sortant de salle de réunion, après le repas, après le café du midi, après la pause cigarette qui va suivre…

Mon quatrième conseil : choisissez-en de relativement simples (je l’ai déjà dit) mais non prédictibles ( ?) et difficilement observable par un type qui serait derrière-vous. On peut supposer qu’ils sont sauvegardés sur les ordinateurs de votre boite ou chez Microsoft : on peut penser qu’il n’y a pas de risque de piratage des bases de données (du moins, si cela arrive, vous ne pourrez pas être accusés et votre avocat pourra se foutre de la gueule des informaticiens). Ne prenez pas les mêmes et faites en sorte qu’ils ne soient pas utilisés pour autre chose (en cas de piratage des bases de données).

Mon cinquième conseil : diversifiez les mots de passe (ne mettez pas les mêmes partout : si la base des données d’un éditeur était piratée, ça serait ballot de permettre l’utilisation d’autres applications). Ce n’est pas un problème grâce aux systèmes de récupération de mots de passe que j’évoquais.

 

Certains systèmes exigent de changer les mots de passe périodiquement (tous les deux mois, par exemple). N’ayez aucun complexe à compléter votre base avec un numéro que vous incrémenterez à chaque fois (dans mes exemples, le code postal ou l’année de naissance), ce qui diminue, d’ailleurs, la prédictibilité. C’est sans doute un mauvais conseil par rapport à un changement radical mais tout le monde le fait. Si vous faites un changement radical comme le dicterait la prudence et les experts en sécurité, vous serez obligé de l’écrire sur un post-it ou le coin d’un agenda… Attention aux bons conseils qui sont souvent dévastateurs. Ceci était mon sixième conseil : pensez aux travers des gens qui ne vivent que par la sécurité et qui oublient la vie de tous les jours des quidams ordinaires. Il faut trouver le bon compromis.

Parfois, les changements se font dans l’urgence, par exemple quand on reçoit une alerte de sécurité de Facebook ou quand, comme moi, on a remplacé mon PC professionnel. Dans ces cas, choisissez des mots de passe simple et revenez par la suite pour les changer. Encore une fois, on est humains : on a peur de perdre des trucs, on fait n’importe quoi. Il faut s’y préparer et corriger les potentielles erreurs a posteriori.

 

Je résume tout cela.

Petit 1 : identifiez les deux ou trois mots de passe vitaux qu’il faut absolument mémoriser. Pour eux, prenez des « mots » faciles à mémoriser et à taper mais non prédictibles s’il y a de bonnes probabilités pour qu’ils soient stockés dans un endroit sûr (vous feriez confiance à Twitter pour la sécurité de vos accès ?).

Petit 2 : pour le reste, prenez des mots de passe complexe s’ils sont mémorisés par le navigateur et notez les sur un post it le temps de les s aisir sur tous les appareils utilisés. Mais pas plus longtemps et en étant très prudents.

Petit 3 : privilégiez les applications qui ont un vrai système efficace d’authentification (Google, par exemple, est très bien : vous oubliez un mot de passe et il vous envoie un code à contrôler pour vérifier que « c’est bien vous »… le tour est joué.

 

A vous la main…