La sécurité informatique repose de plus en plus sur nos identifiants grâce au chiffrement des données.
Les détenteurs de BitCoin l'ont bien compris, si la plateforme qui héberge leur portefeuille subit un piratage, leur mot de passe a intérêt à être incassable au risque de dire au revoir à leur mine d'or numérique.

Lorsqu'on ouvre un compte, le choix du mot de passe peut être un calvaire, surtout quand les services nous imposent des chiffres, des majuscules, des caractères spéciaux et parfois non consécutifs.

« Mais pourquoi font-ils ça ? Mon mot de passe habituel ne fonctionne pas sur ce site »

Les services qui nous imposent ces contraintes partent d'une bonne intention mais nous allons voir pourquoi ils ont tort de nous l'imposer alors qu'ils devraient simplement nous encourager à le faire.

Quand un pirate cherche à trouver mon mot de passe, il va essayer des milliers de combinaisons - on parle d'attaque par force brute - avec plusieurs stratégies lui permettant de le trouver le plus rapidement possible :

  • il va tenter des mots ou des combinaisons de mots les plus fréquents depuis des dictionnaires : password, Hello, chat, 123456, jaimejulie, octavemylove et ainsi de suite...
  • il va tenter avec des éléments qu'il connaîtrait de vous : prénom, date de naissance, code postal...

Vous l'avez compris, si on ajoute des caractères spéciaux, des majuscules et des chiffres, cela va compliquer la tâche du pirate qui va devoir essayer des milliards de mots de passe sans même y parvenir.

Le problème avec ces contraintes imposées dès l'inscription, c'est que le pirate lui aussi sait ce que doit contenir le mot de passe, soit a minima :

✅ une majuscule
✅ un chiffre
✅ un caractère spécial

Si tous les mots de passe qui ne respectent pas ces règles ne peuvent pas être présents dans la base de données du site, cela élimine donc des milliards de possibilités que l'attaquant ne va pas tenter. Il gagnera un temps considérable et aura plus de chance de trouver votre secret.
L'inconvénient face à ces contraintes, c'est que nous, humains, allons transformer notre mot de passe préféré avec des permutations ou substitutions beaucoup trop logiques : password deviendra P@$$w0rd, il faudra seulement 3 secondes pour le casser.

Vous devez aussi retenir qu'un long mot de passe n'est pas forcément costaud.
nnnnnnnnnnnnnnnn sera facile à cracker car les répétitions sont toutes testées par le pirate (mais pourquoi tant de n).

Une longue phrase secrète vaut bien mieux qu'une suite style hacker/geek de 8 caractères

Saviez-vous que le mot de passe demainnousironsaubois est un mot de passe des milliards de fois plus fort que @p3Pit0! ?

Selon vous, lequel est plus facile à retenir ?
Voilà pourquoi nous regrettons l'obligation des caractères spéciaux qui nous prive notre longue phrase secrète qui assure une plus forte sécurité.

Bien sûr, il ne faudrait surtout pas que la phrase demainnousironsaubois soit dans le dictionnaire du pirate, on essayera d'être très créatif et d'y introduire de l'inédit ou du non sens : demaincaresseunoursin

En théorie, il faudrait 6 milliards d'années* à un pirate pour trouver ce mot de passe. Pour nous, il est simple à retenir et facile à taper sur son mobile.

Mais attention à la théorie, un hacker pourrait tenter des combinaisons de mots courants et tomber plus rapidement sur demaincaresseunoursin. Inverser les mots ne nous protégera pas tellement plus.

C'est là qu'entrent en jeu les caractères plus spéciaux.

Maintenant que nous avons inventé notre mot de passe super costaud, adaptons-le pour qu'il passe l'inscription sur ces sites qui ajoutent des contraintes !

En ajoutant quelques majuscules, des chiffres et des caractères spéciaux, on réduit considérablement les chances de trouver ces associations de mots.

Evitons la simple majuscule en début ou en fin de phrase ou des suites de chiffres !

demaincAres$seunoursi,n (3 trillions d'années pour le cracker)

Ici, j'ai introduit une majuscule, un $ et une virgule à des endroits aléatoire pour casser la logique.
Pas trop de difficulté à retenir puisque j'en suis l'auteur mais je rends plus longue la saisie sur mon smartphone avec des caractères spéciaux.
A vous de voir et choisir le meilleur entre illogisme, facilité de rétention et accessibilité.
Retenez que les caractères les plus accessibles pourraient aussi être ceux qui sont testés en premier.

Autrement, utilisez un gestionnaire de mot de passe comme Octave le propose !

Méfiez vous de la logique !

On pense souvent être le seul à avoir une logique infaillible et pourtant les algorithmes de hackers en connaissent la plupart :

  • Mettre une lettre sur deux en majuscule : mOtDePaSsE
  • Remplacer les E par des 3 et les a par des @
  • Doubler les lettres mmoottddeeppaassssee
    -> C'est une très mauvaise idée !

Un mot de passe différent sur chaque service

Cela peut paraître évident lorsque je partage mon mot de passe Netflix à mes amis. Si ce mot de passe est le même que mon compte PayPal, un (ex-)ami mal intentionné pourrait l'essayer et avoir accès à mes paiements.

Imaginons le cas où j'ai mis le même mot de passe sur une petite boutique en ligne et sur PayPal. Un jour, la petite boutique en ligne se fait pirater et la liste des mots de passe des utilisateurs fuite. Le pirate partira de cette liste pour tenter de connecter chaque utilisateur sur Netflix, sur PayPal, et plein d'autres. Si mon mot de passe est dedans c'est foutu.

Le service https://haveibeenpwned.com/ recense les services qui ont subi des fuites de données suite à des attaques. Votre e-mail est peut-être dedans.

Comment s'en sortir ?

Une solution simple serait d'ajouter à votre mot de passe le nom du service pour les différencier. On pourrait imaginer intégrer les 4 premières lettres de celui-ci en majuscules :

  • Netflix : demaincAres$NETFseunoursi,n
  • Facebook : demaincAres$FACEseunoursi,n
  • Instagram : demaincAres$INSTseunoursi,n

Ça commence à être compliqué ! Oui, je vous l'accorde, mais il s'agit là du mot de passe le plus sécurisé que vous n'ayez jamais créé. Vous vous attacherez au vôtre et le retiendrez à vie. Contrairement aux idées reçues, il ne servira à rien de le changer régulièrement. Espérons que les sites ne nous imposerons pas de changement fréquents comme à la vieille école !

Dernière remarque :

Si vous avez l'habitude de partager vos mots de passe avec votre entourage (PAS BIEN !), faites alors très attention à ce que la logique de construction ne soit pas compréhensible.
Ici, demaincAres$INSTseunoursi,n, on comprendra facilement qu'il s'agit d'Instagram et on pourra deviner demaincAres$PAYPseunoursi,n pour PayPal.

Attention à ne pas trop la simplifier au risque de retomber sur le même mot de passe pour différent services demaincAres$Aseunoursi,n pour Apple VS demaincAres$Aseunoursi,n pour Amazon).

Le meilleur moyen reste l'utilisation d'un gestionnaire de mot de passe comme Hey Octave le propose. Il suffit de ne retenir qu'un seul mot de passe - celui du gestionnaire - les autres seront générés aléatoirement et aucune logique ne se trouvera dedans.

Une autre logique pour avoir le look geek !

Un autre moyen mémotechnique consiste à retenir une longue phrase et n'utiliser que les premières lettres tout en conservant les chiffres et caractères spéciaux :

Mon rouleau de dentifrice coûte 1,97€ en Océanie soit 24% de moins qu'hier.

Mrddc1,97€eOs24%dmqh


Conclusion

Le choix de son mot de passe doit être pris de plus en plus au sérieux. Prenez le temps de trouver votre logique une bonne fois pour toute.

L'idée est de créer un jeu de loterie auquel le pirate ne peut pas gagner tout en retenant parfaitement la combinaison gagnante.

Oubliez maintenant tous les exemples et soyez créatifs !

Testez la sécurité de votre nouveau mot de passe avec Hey Octave : https://app.hey-octave.com/est-ce-que-mon-mot-de-passe-est-solide

Récap' de recette :

  • Optez pour un mot de passe long mais simple à retenir
  • Ajoutez-y les fameuses majuscules et caractères spéciaux sans pour autant risquer de les oublier
  • Enfin trouvez votre stratégie pour avoir une différenciation facile à retenir entre les sites.

Ça coule de source

* Toutes les estimations de temps sont valables à l'heure de l'écriture de cet article et pourraient réduire avec le progrès des machines (notamment avec l'arrivée du calculateur quantique).