Skip to main content

Un auto-entrepreneur passionné à votre service,

Pour votre projet de site internet et vos dépannages informatiques

Votre mot de passe est-il fort ? Comment améliorer sa sécurité ?

Article publié le 7 Décembre 2019
Dernière modification 3 Janvier 2024

Page 1 sur 4

Page 1 sur 5

Votre mot de passe est-il bien sécurisé ? Pourquoi faut-il utiliser un mot différent sur chaque site et chaque application que vous utilisez ? Et surtout, comment faire pour ne pas les oublier ? Autant de questions qui devraient trouver réponse ici même.

Mon mot de passe est-il bien sécurisé ? Faut-il utiliser un mot différent sur chaque site et chaque application que l’on utilise ? Combien de caractères dois-je utiliser, et surtout, comment faire pour ne pas l’oublier, sans le noter sur un petit papier collé sur l’écran de l’ordinateur ?

Depuis une dizaine d’années, on ne compte plus les attaques de la part des cyberdélinquants chez les grands éditeurs… Attaques qui se soldent parfois par un « succès » pour les pirates, qui parviennent à dérober de précieuses informations concernant les internautes.

Bannir le sempiternel « 123456 »

Si ces menaces ont de quoi affoler les internautes, elles mettent aussi le doigt sur un travers dont nous sommes tous coupables. Car les pirates s’empressent dans la foulée de révéler les mots de passe des utilisateurs. Et le plus effrayant, c’est peut-être de découvrir que finalement, nos habitudes n’ont guère changé. Oui, nous sommes encore nombreux à écrire nos mots de passe sur un papier collé au bas de l’écran ou dans un fichier de texte stocké dans un répertoire de l’ordinateur.
Et le pire, c’est que le mot de passe le plus utilisé, c’est toujours l’incontournable « 123456 ». Comment imaginer que ce mot de passe soit efficace 2 secondes ? Même chose pour les autres poncifs : « password », « qwerty » (ou sa variante « azerty »), « admin », « abc123 », « 111111 »…

Rester vigilant, il faut rester vigilant

Des mots de passe, nous en utilisons vraiment sur tous les appareils. Sur nos PC et nos Mac, bien évidemment. Mais également sur nos smartphones, nos tablettes, nos disques réseau, notre box ADSL… Et des mots de passe, on en trouve tout le temps : au démarrage de l’ordinateur ou du smartphone. Mais aussi pour se connecter à un réseau local, pour poster sur un forum, pour consulter ses comptes en ligne, pour effectuer un achat sur un site web, synchroniser ses données entre différents appareils, etc. Bref, ils sont devenus indispensables et garantissent un maximum de sécurité aux utilisateurs. Mais encore faut-il en user à bon escient, car ils peuvent parfois être très faciles à deviner, se retrouver sur la place publique et s’échanger entre hackers du monde entier. Afin de bien les choisir, mais aussi vous en rappeler et faire en sorte qu’ils soient stockés dans un espace inviolable, voici une série de conseils liés aux mots de passe.

Comment les pirates s’y prennent pour trouver un mot de passe

Pour dérober un mot de passe et l’identifiant associé, il existe plusieurs techniques. La plus répandue consiste à utiliser des « dictionnaires » de mot de passe. Un petit script va tester tous les « termes » ou « combinaisons de termes et de chiffres » généralement employés par les utilisateurs du monde entier. Les hackers peuvent bien évidemment recourir à des dictionnaires classiques et localisés, mais ce ne serait pas très efficace. Ils ont en effet à leur disposition des catalogues de mots de passe bien plus complets. Stun, l’un d’entre eux, a même compilé un dictionnaire de plus de 1,5 milliard de mots de passe et l’a diffusé via le réseau de p2p Bittorrent. C’est à ce jour la plus grand base de mot de passe jamais réalisée (le fichier une fois compressé pèse plus de 4 Go).

Autre méthode : l’attaque par force brute. Dans ce cas, un script tente toutes les combinaisons possibles, sans faire appel à un dictionnaire. Cette méthode est certes plus longue, mais se révèle plus fructueuse, puisqu’en théorie, elle est capable de trouver n’importe quelle séquence, aussi complexe soit-elle (majuscule, minuscule, chiffre, caractères spéciaux…).

Un mot de passe complexe découvert en seulement quelques heures… en théorie

Quand on sait qu’un ordinateur est capable d’effectuer plusieurs millions de calculs à la seconde, et donc de générer autant de mots de passe en conséquence, on pourrait rapidement s’affoler. En théorie, en quelques heures, un mot de passe de huit caractères peut être piraté à l’aide d’un PC classique. Mais ce n’est pas si simple. Car nos ordinateurs, les sites web, les smartphones et autres appareils sont mieux protégés qu’il n’y paraît. Ils peuvent par exemple utiliser un « timer » : au bout de trois tentatives infructueuses d’entrer un mot de passe, le système refuse à l’utilisateur (ou le hacker) un quatrième essai. Il doit attendre quelques minutes, voire quelques heures, avant de pouvoir tenter à nouveau sa chance.

Dès lors, si le mot de passe est un tant soit peu complexe, il est impossible de le trouver à l’aide d’un dictionnaire ou en force brute… À moins d’y passer quelques millénaires. Certains systèmes, comme les webmails par exemple, vont même jusqu’à refuser définitivement une quatrième tentative, obligeant l’utilisateur à contacter le SAV, afin de réinitialiser le mot de passe oublié.

Il existe une seconde méthode, assez similaire, qui consiste doubler le temps entre chaque tentative d’entrée. On n’empêche pas l’utilisateur d’entrer un mot de passe, mais on augmente fortement les probabilités qu’un hacker mette la main sur le précieux sésame à l’aide d’une attaque brute.

Enfin, toutes ces méthodes peuvent aussi être couplées à des techniques plus « physiques », comme la reconnaissance d’empreinte sur les ordinateurs ou les smartphones, la reconnaissance faciale ou la reconnaissance vocale.

Peut-on vérifier qu’un mot de passe est sécurisé ?

Sur le web, il existe des centaines de services proposant de vérifier la « force » d’un mot de passe. Rendez-vous par exemple sur The Password Meter et entrez votre mot de passe afin de tester son efficacité. Microsoft livre aussi un service en ligne qui permet de vérifier la validité d’un mot de passe. Il n’y a rien à télécharger, il suffit de se rendre sur le site de Password Checker et d’entrer le mot de passe, afin de mieux éprouver sa résistance aux tentatives de piratage. Mais il y a plus ludique, toujours chez Microsoft. Le service en question s’appelle Telepathwords et se propose de deviner l’intégralité d’un mot de passe au fur et à mesure que vous l’entrez. Là encore, il y a de quoi s’inquiéter : Telepathwords est capable de détecter les lettres ou chiffres que vous allez entrer dans 50 % des cas.

Faut-il changer de mot de passe régulièrement ?

En théorie, il faudrait modifier tous ses mots de passe au moins une fois par mois. Une manipulation vraiment contraignante, que (presque) personne n’effectue. Et pourtant, c’est la clé d’un mot de passe inviolable. Le meilleur conseil que nous pouvons vous donner est alors de les changer au moins une fois par an, plutôt que par mois. Et si vous craignez de ne pas vous en rappeler, utilisez un agrégateur. Enfin, dernier conseil : variez systématiquement vos mots de passe.

N’utilisez jamais deux fois le même sur le web, surtout si vous les associez à la même adresse email. Imaginez en effet qu’un site, malgré toutes ses précautions, vienne à se faire pirater et que l’ensemble de ses comptes utilisateurs soit divulgué. En théorie, les mots de passe sont chiffrés dans la base de données du site, mais rien ne vous l’assure à 100%. En conséquence, si un hacker vient à récupérer vos identifiant et mot de passe sur un site, il y a de fortes chances pour qu’il tente de les utiliser sur d’autres plates-formes. C’est pourquoi il est fortement recommandé de ne jamais utiliser deux fois le même mot de passe.

Avant tout, prenez gare aux keyloggers !

Vérifiez également qu’aucun « keylogger » n’est installé sur votre ordinateur. Un keylogger, ou enregistreur de frappe en français, détecte et stocke toutes les utilisations des touches du clavier. En clair, il s’agit d’un petit espion, qui intercepte vos identifiants et vos mots de passe et les transmet ensuite par le web à un cyberdélinquant. Si vous soupçonner d’un keylogger sur votre PC, installez n’importe quelle suite de sécurité, même une version gratuite. Tous les antivirus, même les plus basiques, sont en effet capables de détecter un keylogger : il n’est nul besoin de faire appel à un logiciel dédié.

Génération aléatoire et technique des touches décalées
Page