Mots de passe

Je connais (probablement) votre mot de passe

et vous ne devriez pas en rire.

En général un mot de passe est prévu pour être secret, un secret entre vous et un système d'authentification. Dans la pratique on constate que les humains sont très mauvais quand il faut choisir un bon mot de passe, différent pour chaque site/opérateur/réseau social/… ce qui les rend très prévisibles. Cela pose aussi la question de ce qui caractérise un bon mot de passe.

Un bon mot de passe est :

De l'unicité

Comme c'est simple d'utiliser le même mot de passe partout ! Pas de chance, c'est l'erreur la plus grossière et aussi la plus coûteuse que vous pourriez faire, en terme de mot de passe. En effet un mot de passe est un secret que vous partagez avec un système d'authentification. Mais un jour, ce système va être piraté, et les secrets (saupoudrés de vos données personnelles) vont être dérobés, revendus, publiés sur Internet.

Par exemple, le forum Pokemon sur lequel vous trainez est piraté. Pas de chance, les mots de passe dans la base de données ne sont pas bien protégés (voire pas du tout), et le pirate les casse facilement. Il est maintenant en possession de votre login (en général votre adresse email) et de votre mot de passe du forum Pokemon. Si il est mal intentionné il va fournir ces informations à un programme qui testera en quelques secondes votre adresse email et votre mot de passe pour se connecter à Twitter, Facebook, App Store Apple et Google, Amazon, Gmail/Hotmail/…, LinkedIn, Snapchat, Instagram, Badoo, Meetic, etc. Si le mot de passe de votre compte de forum amateur Pokemon est le même qu'un de ces services, voire de tous, vous avez la garantie que le pirate en fera bon usage. Via iCloud il peut télécharger vos sauvegardes d'iPhone (qui contiennent vos photos coquines), effacer votre téléphone à distance, etc. Via Amazon il peut commander des trucs sympa et se les faire livrer à l'étranger, hors de portée de votre commissariat de quartier. Via votre boîte email il peut lancer des arnaques auprès de vos contacts, envoyer du spam, faire un reset des mots de passe de vos comptes de réseau sociaux et poster des news intéressantes en votre nom… La liste est sans fin.

Il vous faudra aussi vous souvenir rapidement de tous les sites, de tous vos comptes, pour lesquels vous utilisez le même mot de passe, et il vous faudra vous y connecter très rapidement pour les modifier. Savez-vous seulement combien vous avez de comptes utilisateurs sur Internet ?

Faites-vous une fleur, épargnez-vous ce stress : utilisez un mot de passe différent pour chaque compte.

Les gens sont paresseux, vous êtes paresseux, je suis paresseux. Et c'est pour ça que, comme moi, vous devriez laisser une machine créer vos mots de passe, et vous devriez laisser un coffre numérique les retenir pour vous. À titre privé j'ai plus de 120 mots de passe différents pour des choses aussi variées que mes comptes Twitter, Amazon, LinkedIn, des forums… Ils ressemblent à des choses comme "dV}ykEHFJ;AL# +,gfj('y{ON" ou "benjamin tirez échoue dettes". Impossible d'en retenir autant, et je n'essaye même pas. Il s'agit seulement de retenir celui du coffre numérique (password managers) et le tour est joué.

De l'aléatoire

La casse de mots de passe (ou simplement les tentatives de connexion à la main sur votre compte) sont basées sur la prédictibilité de vos mots de passe. Un.e camarade de promo, un.e collègue de bureau, un membre de votre famille, autant de personnes qui vous connaissent un peu et qui peuvent tenter d'accéder à un de vos comptes en devinant votre mot de passe. Si vous utilisez le prénom de votre petit copain, ou celui de vos gamins, suivi d'une date de naissance, félicitation vous êtes prévisible, et votre mot de passe sera cassé dans les premiers.
Certains pensent probablement qu'ils sont plus malins que la moyenne et qu'il leur suffit de remplacer les E par des 3, les O par des 0 et le tour est joué. Oubliez ça, c'est aussi prévu dans les logiciels de casse de mots de passe. Gardez bien en tête que ces logiciels sont conçus par des experts, des gens qui passent réellement leur temps à étudier et casser ces petits secrets, des gens pour qui c'est un métier ou un domaine de recherche universitaire.

Pour prendre un exemple simple, considérez le mot "soleil" : combien de dérivés, de variantes de ce mot pensez-vous pouvoir créer ? 150 ? 300 ? 2000 ?
En utilisant ses règles de base, John The Ripper peut fabriquer 5347 dérivés du mot soleil, 6,87 millions si on utilise les règles avancées.

La liste de choses à ne pas utiliser dans vos mots de passe est tellement longue, que la recommandation la plus simple que l'on peut faire est d'utiliser un mot de passe ou une phrase de passe totalement aléatoire. Il existe des logiciels pour fabriquer de tels secrets, et la plupart des gestionnaires de mots de passe le proposent.
Des mots de passe comme z.R{$u0T*x B#z`|7f7ysv 5c ne sont pas toujours utilisables quotidiennement, car vous n'avez pas forcément votre gestionnaire de mdp à porté de main (pour vous connecter à un poste informatique Lyon 2 par exemple). Il vous faudra donc sûrement une poignée de phrases de passe de bonne qualité mais très faciles à taper. Pour créer de bonnes phrases de passe vous pouvez vous appuyer sur le site passphrases.peerio.com. Choisissez la langue qui vous convient et cliquez sur "generate". Bien sûr, ce sont des mots du dictionnaire, mais il y en a au minimum 5 et ils sont choisis absolument au hasard. Si vous prenez un bon dictionnaire de français vous y trouverez autour de 300000 mots. 5 mots pris au hasard dans un tel dictionnaire permettent de créer 2,43.1027 combinaisons. La "complexité" de cette phrase de passe est alors équivalente à celle d'un mot de passe de 14 caractères comme #y;xI(gS,sf_Jc, tout en étant très facile à retenir et à taper, même sur un clavier de téléphone.

De la longueur

La belle jambe que cela vous fait, une longueur "adaptée"… La longueur minimale d'un mot de passe est une notion floue, et qui change avec le temps. Il y a vingt ans, on aurait dit 6 caractères. À l'heure actuelle, on peut tabler sur 16 à 20 caractères au minimum. Cela tient essentiellement du mode de fonctionnement des logiciels de casse de mots de passe. Ces derniers testent des combinaisons de caractères, de mots, de phrases, pour tenter de retrouver votre mot de passe. Les ordinateurs actuels sont capables de venir à bout de tous les mots de passe de 8 caractères dans un temps souvent très raisonnables (quelques heures), et s'attaquent sans problème à ces mots de passe bien plus longs. À titre d'exemple, parmi les mots de passe que j'ai cassés le plus long fait 55 caractères et ceux qui dépassent les 20 caractères ne sont pas si rares.

Malheureusement, tous ne sont pas aussi longs. Une écrasante majorité de vos mots de passe sont courts, prévisibles et d'une simplicité enfantine. Comme vous avez souvent l'impression d'être unique, vous pensez que choisir vous-même votre mot de passe est un acte d'affirmation de votre originalité. Oubliez cela. Vous êtes le produit d'un environnement de plus en plus standardisé, et la probabilité que vous soyez en mesure de choisir seul.e un mot de passe convenable est infiniment faible.

En juin 2016, 117 millions de comptes d'un réseau social professionnel, dérobés en 2012, ont été mis à disposition sur Internet (61,8 millions de mots de passe uniques). J'ai téléchargé ces données à des fins de recherche, et j'ai commencé à casser les mots de passe de ces comptes. Avec un ordinateur vieux de plus de 5 ans, j'ai cassé 1 million de mots de passe dans les 15 premières secondes, et 10 millions au bout de 20 minutes.

Sur les 127 millions de mots de passe de sources diverses que j'ai cassés à ce jour, 92% font 10 caractères ou moins, et 85% sont constitués uniquement de lettres minuscules, de chiffres, ou des deux mélangés. Comme ce sont les plus fréquents, ce sont aussi ceux qui sont attaqués en premier. Vous comprenez donc sans doute un peu mieux qu'on vous impose une longueur minimale et une complexité de mot de passe.

Du secret

Cela peut paraître évident, mais oui, si vous dévoilez votre mot de passe à un tiers alors ce mot de passe ne vaut plus rien et n'a plus de sens. Ne donnez jamais votre mot de passe, même à un.e proche. Aucun service technique ne vous demandera jamais votre mot de passe.

Vous suspectez que votre mot de passe est connu d'une autre personne : changez-le. Vous constatez une activité étrange sur un de vos comptes utilisateur : changez votre mot de passe. Vous pensez que vous être peut être tombé.e dans un piège (phishing…), changez votre mot de passe.

Continuer d'utiliser un mot de passe connu d'autres personnes, c'est prendre le risque d'être victime d'une usurpation d'identité, d'une fuite de données personnelles, etc.

Illustration de bandeau By Garretttaggs - Own work, CC BY-SA 3.0