Choisir un mot de passe sécurisé : conseils et bonnes pratiques pour protéger ses données

Savoir si ses identifiants sont compromis

Il suffit de passer quelques secondes sur le site Have I Been Pwned, pour comprendre que vos identifiants ont de grandes chances d’avoir été compromis. Le site, créé en 2016 par Troy Hunt, un expert en sécurité ayant travaillé pour Microsoft, indique si vous faites partie des 7 milliards de comptes dont les identifiants sont connus. Ils ont été récupérés en exploitant une faille de sécurité : Tumblr en 2016, Adobe en 2013, LinkedIn en 2016… si vous détenez un compte sur les plateformes concernées et que vous ne mettez pas régulièrement à jour votre mot de passe, vous êtes potentiellement menacés.

Bien choisir son mot de passe

L’agence de cybersécurité nationale britannique a réalisé une étude des mots de passe les plus utilisés et à l’origine d’une grande partie des cyberattaques.

Certains mots de passe sont simples à deviner. Mettez-vous à la place de votre petite sœur qui veut accéder à votre ordinateur. Elle va penser à tous les mots et combinaisons qui vous correspondent, et les essayer un par un. Imaginez maintenant une machine capable de les énumérer très rapidement, en s’aidant des habitudes de millions d’autres utilisateurs tels que vous. Vous devez lui compliquer la tâche pour vous protéger.

Les types de mots de passe à éviter

• Des combinaisons trop simples : 123456, 123456789, qwerty, password, 111111…
• Des prénoms
• Des noms d’équipe sportives
• Des artistes ou musiciens
• Des personnalités fictives ou non

Les réflexes à adopter

• Utiliser un mot de passe différent pour chaque service.
• Renouveler le plus fréquemment possible son mot de passe, au moins tous les trois mois. Le mot de passe doit vraiment être renouvelé, il n’est pas suffisant de simplement ajouter un chiffre à la fin.
• Favoriser des mots de passe longs, de plus de 12 caractères, avec au moins une majuscule, un chiffre et un caractère spécial autorisé.

Des astuces pour générer un mot de passe sécurisé

L’agence Nationale de la sécurité des systèmes d’information donne deux bonnes idées pour trouver de bons mots de passe : 

• La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am
• La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Vous pouvez également utiliser cet outil de calcul de force d’un mot de passe, proposé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

La double authentification, c’est quoi ?

Choisir de bons mot de passe et les changer fréquemment, c’est bien. Mais la saisie du mot de passe n’est pas le seul élément de l’authentification, qui reste un point sensible. Sur certains services, vous pouvez activer l’authentification a deux facteurs (2FA), une méthode de sécurisation supplémentaire de l’identification sur un compte en ligne.

Un exemple d’authentification à deux facteurs consiste à demander un code au moment de la connexion (facteur de vérification n°1 : quelque chose que l’utilisateur sait) puis une confirmation de l’ordre via un code envoyé par SMS sur un mobile (facteur de vérification n°2 : quelque chose que l’utilisateur détient).

L’inconvénient est connu : la complexification de chaque opération en ligne, nécessitant la disponibilité du second facteur quel qu’il soit. C’est pourquoi le 2FA est systématique pour les comptes sensibles comme les banques mais ne s’applique que de façon optionnelle sur d’autres plateformes, comme les réseaux sociaux ou les jeux en ligne. Bien que l’identification via l’empreinte digitale et la reconnaissance faciale aient contribué à faciliter considérablement le processus, des questions continuent à mettre en doute leur fiabilité.

Côté développeur, il est possible de mettre en place un système de 2FA sur toute application, en générant des codes aléatoires et éphémères à envoyer via SMS à l’utilisateur. Il est important cependant de s’assurer que ni la façon de générer le code ni le SMS ne soit déchiffrables. Il existe des algorithmes, rendus disponibles sur Internet (Time-based One-time Password algorithm) pour une fiabilité encore plus élevée de ces codes.

Les fraudes les plus fréquentes

Les fraudes par email sont nombreuses et se diversifient souvent, cette année ce sont les tentatives de bluff qui se sont multipliées. Les pirates demandent des rançons à leurs victimes en leur faisant croire qu’ils détiennent les accès à leurs comptes et donc à des données confidentielles ainsi que leur base de contacts.

Technique plus classique et très efficace, le phishing ou hameçonnage, consiste à se faire passer pour un tiers de confiance, afin de siphonner des renseignements personnels et usurper l’identité de l’utilisateur. Cela peut prendre la forme d’une image attirante, d’un mail ou d’une publication Facebook qui cache un lien malveillant.

La tentative de compromission de compte, qui s’effectue dans le cadre d’une tentative de phishing, peut aussi passer par la demande auprès de l’utilisateur de donner des droits très larges sur son compte à une application tierce vérolée.

Changer ses mots de passe et choisir des mots de passe sécurisés

Si vous pensez que vos données sont compromises – et même dans le cas contraire, profitez de cette journée mondiale du mot de passe pour les changer, et optez pour des mots de passe sécurisés !