Les mots de passe

Note: Ecrit en… 2013, cet article, toujours d’actualité, est mis à jour dès que nécéssaire.

Souvenez vous (ou pas), cela ne fait seulement que quelques années que nous utilisons régulièrement des mots de passe et les choisissons.

Bien sûr cela fait bien plus longtemps que nous avons un code bancaire. Que nous avons un digicode à l’entrée. Mais ceux-ci pour beaucoup nous étaient tout simplement imposés, aucun choix à faire donc.

En revanche, surtout depuis l’avènement d’internet, nous sommes de nos jours souvent confrontés au choix de codes pour diverses choses. Autant des fois une certaine rigueur nous est imposée, autant des fois le choix nous est libre. Doit on pour autant choisir n’importe quoi? Evidemment NON. Voici donc quelques conseils pour le faire bien, et surtout le faire facilement !

À quel genre de sites avons nous à faire?

La première règle de bon sens est de se demander si un site est digne de confiance. En effet, même si il peut être tout à fait recommandable, cela n’exclue pas nécessairement l’hypothèse qu’il soit mal sécurisé.

Un bon test pour avoir un premier aperçu est de procéder au test de la perte du mot de passe. Si le site vous propose de vous renvoyer VOTRE mot de passe par email par exemple, cela implique que ce dernier est stocké en clair ou au mieux avec un chiffrage réversible dans leur base de donnée. Ne soyez pas dupes, chiffrer ne sécurise pas vraiment dans le cas de données stockées… Il suffit d’une fuite de ces données et un pirate aura tout le temps de trouver la clé de déchiffrer qui permettra d’obtenir tous les mots de passe de la base en clair. D’autant que si il a eu accès à la base de donnée, il aura sûrement eu loisir de trouver la clé de déchiffrement également…

Si en revanche le site vous propose de RÉINITIALISER votre mot de passe, c’est que très probablement celui-ci est hashé. Le hashage contrairement au chiffrage, n’est pas réversible (même si certaines techniques permettent presque d’y parvenir grâce au cloud entre autres).

Pour les « matheux », hasher c’est un peu comme une dérivée. Dériver une fonction d’origine arrive toujours au même résultat, mais l’opération inverse (intégrale) nous impose une constante inconnue qui aurait disparue en dérivant la fonction première. Cela imposerait une infinité de solutions.

Ce genre de site est donc bien plus sécurisé puisque même si on lui vole la base contenant les mots de passes, il sera compliqué de retrouver votre mot de passe en clair.

Evidemment il existe aussi des techniques pour trouver des correspondances au hash, comme les "rainbow tables", mais également des méthodes pour hasher mieux comme intégrer des "grains de sel". Ce n'est donc pas un test absolu de sécurité, mais c'est toujours bien mieux que le mot de passe en clair (cela montre déjà que le développeur s'est un minimum posé la question).

Mais donc… Quel mot de passe?

Déjà quand on vous demande un mot de passe « complexe » ce n’est pas pour vous embêter ou se donner un genre. Encore une fois c’est mathématique, démonstration…

Prenons une longueur de 6 caractères :

  • avec juste des chiffres : 10 puissance 6 soit 1 million de possibilités
  • avec juste des lettres minuscules : 26 puissance 6 soit presque 310 millions de possibilités
  • en mixant les deux : 36 puissance 6 soit un peu plus de 2 milliards
  • rajoutons des majuscules : (36+26) puissance 6 nous amène à 56 milliards et des poussières
  • enfin avec tous les caractères ASCII (environ 128) : 128 puissance 6 soit plus de 4 mille milliards
Et si, comme le préconise l'ANSSI, nous avions pris 12 caractères ? Simple : 128 puissance 12 soit exactement 19342813113834066795298816 (en gros 19 millions de milliards de milliards) de possibilités. Pour vous donner une idée, même avec une machine calculant des milliards de combinaisons par seconde (donc près de 350 milliards en 2012 déjà), cela demanderait encore près de 2 millions d'années !

Mais attention le choix des 12 fameux caractères en lui même est important !

Reprenons nos 12 caractères. Avec des minuscules nous avons 95 milles milliards de possibilités. Maintenant si vous choisissez des mots de la langue de Molière, admettons pour l’exemple que vous utilisiez 2 mots de 6 lettres, sachant qu’il y a 18.000 mots de 6 lettres environ cela ne fait donc plus que 18.000 puissance 2 possibilités soit 324 millions (c’est donc environ 300 millions de fois moins que précédemment) et je ne vous parle pas des 46500 mots de 12 lettres qui représenteraient donc… 46500 possibilités, bref avec les puissance de calcul actuelles et un choix non avisé, même en respectant 12 caractères, on parle d’une fraction de seconde avec une attaque de type dictionnaire !

Cela est aussi vrai pour les chiffres. Sur 4 chiffres on a 10000 possibilités, si l'on sait que c’est une année on en aura 5x moins (de 0 à 2021), si c’est la date de naissance d’un proche on pourra même arriver à 100x moins car il aura difficilement plus de 100 ans.

Oui d’accord, mais comment je mémorise 12 caractères en vrac moi ??

Je sais, il est bien plus facile de mémoriser au premier abord « Chaton75 » que « JarBmfaMe75! », mais regardez bien :

« JarBmfaMe75! » n’est autre que les premières lettres de « J’ai rencontré Brigitte ma femme à Monluçon en 75 ! ».

Le mot de passe est sans logique, sauf pour vous, qui savez très bien de quoi vous parlez. Et voila, vous n’avez plus d’excuse !

Et si on le trouve quand même ?

Oui parce que dans l’hypothèse du site qui stocke votre mot de passe en clair, quelque soit sa complexité il sera visible en cas de vol de la base de donnée…

En général une autre grande maladresse est de mettre le même mot de passe de partout. L’idéal étant un service = un mot de passe. Mais encore une fois la mémorisation risque de poser problème…

Pas de panique, on peu facilement y remédier avec la technique précédente. En effet, rien ne nous empêche d’intégrer le nom du service dans le mot de passe (autant on pourra voir ou trouver votre mot de passe autant votre moyen mémo technique n’est que dans votre tête). Cela pourrait donner : « le mot de passe de Tartempion en 2021 est il assez compliqué ? » = « lmdpdTe21eiac? »

Ainsi le mot de passe de votre banque sera différent de celui d’un site d’annonces douteuses ou de votre email etc.

Au pire (j’ai bien dit au pire), vous pouvez aussi catégoriser quelques mots de passes, avec par exemple un mot de passe rapide pour les choses sans importance, un autre pour les choses génériques, et un 3e pour les choses sensibles… Au minimum pensez à mettre un mot de passe unique pour votre boîte mail, c’est elle qui sert à réinitialiser les mots de passes depuis les autres sites, il est donc primordial de la garder en sécurité au maximum.

Résumons :

Dans l’idéal votre mot de passe sera :

  • long (12 caractères mini recommandés)
  • complexe (majuscules+minuscules+chiffres+caractères)
  • unique (un par service c’est bien)

D’autres bonnes habitudes sont aussi :

  • ne pas écrire ni sauvegarder vos mots de passe (y compris dans votre navigateur)
  • toujours penser à changer un mot de passe par défaut ou qui vous a été fourni automatiquement
  • changer au plus vite un mot de passe dès qu’il est connu par quelqu’un d’autre que vous
  • renouveler les mots de passe les plus sensibles régulièrement (rien n’est infaillible)
  • séparer les logiques de mots de passe professionnels et personnels

Avec les techniques mentionnées plus haut, rien d’insurmontable ;-)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.