Comment sécuriser ses mots de passe ?

Mots de passe
septembre 2021
Céline DARONNAT
L'article vous plait ? Partagez le

En octobre, c’est le cybermoi/s et l’édition 2021 est braquée sur les mots de passe et leur sécurisation. L’occasion pour nous de revenir sur ce premier bouclier de défense dans la sécurisation de votre SI.

Qu'est-ce que le cybermoi/s ?

Le cybermoi/s est la déclinaison nationale française du Mois européen de la cybersécurité. Consacré à la protection des usages numériques, le cybermoi/s est actif en France depuis 2017.

L'objectif est de faire de la prévention et d'alerter sur les usages du numérique en "prenant soin de son moi numérique". Pour plus d'information, consultez leur site.

Chaque année est placée sous une thématique. L'édition 2020 était sur la thématique du chantage numérique. Cette année, ce sont les mots de passe qui sont à l'honneur. Dans cet article, nous regroupons tout ce qu'il y a à savoir en tant qu'utilisateur numérique sur les mots de passe.

Les différentes attaques sur les mots de passe

Commençons par les différentes méthodes utilisées pour déchiffrer vos mots de passe. Il est toujours intéressant de les connaître afin d’appréhender les risques.

Entre le cybercriminel et vos mots de passe, il y a souvent un outil. Celui-ci est conçu pour ça, déchiffrer. Pour cela, ils passent par différentes méthodes d’attaques dont voici les principales.

Attaque par dictionnaire

Elle teste des mots issus du dictionnaire des prénoms, des noms d’auteurs, des synonymes… Cette attaque telle quelle, ne donne aucun résultat. En revanche, si elle est couplée avec des règles de transformation de mot, elle peut en donner. On entend par là que l’outil y associe le remplacement et/ou l’ajout d’un ou plusieurs caractères par un chiffre ou une majuscule. Des dictionnaires de mots de passe peuvent également être utilisés, mais ils nécessitent beaucoup plus de moyens notamment en mémoire.

Attaque par force brute

Celle-ci n’y va pas par quatre-chemins car elle teste toutes les combinaisons possibles. C’est une méthode qui est plus longue, car il faut le temps à l’outil de tout tester. Un mot de passe respectant les règles de sécurité sera, en général, non découvert ou moins rapidement.

Attaque indirecte

Attaque très pratiquée, l’attaque indirecte consiste à « capturer » le mot de passe. La capture s’effectue soit lors de la saisie soit via l’usage de tromperie ayant pour objectif de se faire communiquer le mot de passe. Ici, un mot de passe robuste ne suffit pas. Il doit être accompagné par de la sensibilisation.

Maintenant que vous en savez un peu plus. Passons à la création d’un mot de passe robuste.

Comment créer et choisir un mot de passe robuste ?

Les recommandations minimales à respecter pour générer un mot de passe fort

  • Choisissez des mots de passe longs d'au moins 12 caractères et complexes comprenant majuscules, minuscules, chiffres et caractères spéciaux
  • Utilisez un mot de passe unique pour chaque compte
  • N'intégrez pas d'informations personnelles telles que prénom, nom, date de naissance...
  • Le mot de passe ne doit pas se trouver dans un dictionnaire, le nom d'une personne, un caractère, un produit ou une organisation
  • Changez vos mots de passe par défaut
  • Ne communiquez jamais vos mots de passe
  • Changez vos mots de passe régulièrement et pour un mot de passe radicalement différent

Pour créer vos mots de passe, sachez également qu'il existe des outils pour générer des mots de passe sécurisés. Certains navigateurs incluent cette fonctionnalité.

Les méthodes de création pour se souvenir de ses mots de passe

Outre les recommandations à prendre en compte, il faut également veiller à créer des mots de passe que vous allez retenir. En effet, si le mot de passe est trop compliqué vous allez avoir tendance à le noter sur un post-it sous votre clavier, par exemple. Chose à ne surtout pas faire !

En bref, le mot de passe doit être difficile à deviner, mais facile à retenir ! Pour vous aider à créer et à retenir vos mots de passe, il existe trois méthodes mnémotechniques.

  • La méthode des premières lettres
    Elle consiste à prendre les premières lettres d'une phrase, d'une citation, d'un poème... Le tout en veillant à ne pas mettre uniquement des minuscules. Par exemple, la citation « Un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.
     
  • La méthode phonétique
    Celle-ci consiste à utiliser les sons de chaque syllabe d'une phrase. Par exemple, la phrase « J’ai acheté huit cd pour cent euros cet après-midi. » deviendra « ght8CD%E7am ».
     
  • La phrase passe
    Cette méthode consiste, un peu comme les deux autres, à créer son mot de passe à partir d'une phrase. « Ma tortue s'appelle Georgette et j'habite en Charente-Maritime » deviendra par exemple « Voilà_LA_toRtu_Du17 ». « GEORGETTE01 » ou « Georgette! » étant trop simple.

Comment sécuriser et gérer ses mots de passe ?

Une fois que vous avez créé un mot de passe fort, suivez ces instructions pour le sécuriser :

  • Ne partagez votre mot de passe avec personne. Même s’il s’agit d’un ami ou d’un membre de votre famille.
  • N’envoyez jamais de mot de passe par courrier électronique, message instantané ou tout autre moyen de communication non fiable.
  • Utilisez un mot de passe unique pour chaque site web / application mobile. Si quelqu’un vole un mot de passe que vous utilisez sur plusieurs sites web, toutes les informations que ce mot de passe protège sur tous ces sites sont exposées.
  • Dans la mesure du possible, modifiez immédiatement les mots de passe des comptes dont vous soupçonnez la sécurité compromise ou si vous pensez que la sécurité du mot de passe a été compromise.
  • Évitez d’entrer votre mot de passe sur un nouvel appareil si vous n’êtes pas certain de sa sécurité. Les appareils partagés ou destinés à un usage public peuvent avoir installé un logiciel d’enregistrement qui peut garder votre mot de passe lors de sa saisie. Vous devez également éviter d’enregistrer votre mot de passe sur un ordinateur public ou partagé.
  • Activer l’authentification multi-facteurs lorsqu’elle est disponible. L’authentification multi-facteurs est une méthode de contrôle d’accès qui requiert plusieurs informations d’identification à des fins de vérification (par exemple, exiger un mot de passe et un code confidentiel). Cela ajoute une couche de sécurité supplémentaire au cas où une personne devinerait ou volerait votre mot de passe.

Où stocker ses mots de passe ?

Premièrement, ne stockez jamais le mot de passe sur l’appareil qu’il protège. Ensuite, si vous ne souhaitez pas mémoriser plusieurs mots de passe, songez à utiliser un gestionnaire de mots de passe. Les meilleurs gestionnaires de mots de passe mettent automatiquement à jour les mots de passe stockés, les cryptent et nécessitent une authentification multi-facteurs pour y avoir accès. Voici une liste non-exhaustive de ceux présent sur le marché : 1Password, LastPass, Dashlane, Enpass ou encore KeePass qui est certifié par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information.

De notre côté, chez Axess nous recommandons le gestionnaire de mot de passe de notre partenaire F-Secure : ID PROTECTION.

Nos dernières recommandations

Méfiez-vous de toute personne qui vous demande des informations sensibles, même si elle semble être une personne que vous connaissez ou d’une entreprise à laquelle vous faites confiance. Par exemple, un escroc peut avoir piraté le compte d’un fournisseur et envoyé un e-mail à tout le carnet d’adresses de celui-ci. Traitez toutes les demandes d’informations sensibles non sollicitées avec précaution.

Ne partagez jamais votre mot de passe en réponse à une demande par e-mail ou téléphone (par exemple, pour vérifier votre identité) même si elle semble émaner d’une société ou d’une personne de confiance.

Accédez toujours aux sites web à l’aide de liens approuvés. Les fraudeurs peuvent copier l’apparence des communications d’une entreprise pour vous tromper et vous amener à cliquer sur un lien téléphonique ou une pièce jointe. C'est le genre d'attaque qui arrive sur des sites officiels comme celui des banques, ce qui peut mettre en danger vos comptes bancaires. Par conséquent, soyez prudent avec les liens qui s’affichent dans les e-mails, les SMS ou les messages instantanés non sollicités. En cas de doute, accédez directement au site web officiel de la banque ou du service en question par le biais de votre propre signet ou en entrant manuellement l’adresse légitime du service.

Axess, l'expert en management de l'informatique

Véritable manageur de l'informatique, Axess met son savoir-faire et son expérience au service des entreprises et administrations. Notre équipe accompagne nos clients en leur proposant des solutions adaptées et personnalisées à leurs besoins. Chaque jour, nous les conseillons pour affiner leurs pratiques et en faire des utilisateurs sensibilisés et informés aux usages du numériques. Le saviez-vous ? Axess est labellisé ExpertCyber !

En tant que Chargée de Communication et Marketing, Céline accompagne le Pôle Cloud Computing d’Axess dans le développement de ses activités.

Céline DARONNAT
Céline DARONNAT
Chargée de Communication et Marketing