Cybersécurité : un mot de passe sécurisé obéit à des règles bien précises

Le Web est désormais truffé de protections au point qu’il est impossible d’accéder à une multitude de services sans un laissez-passer : le mot de passe ! Voici quelques astuces pour en concevoir des difficiles à pirater.

Attention aux cambriolages virtuels

Le vol de mot de passe est le plus fréquent des actes de cybercriminalité (14 %), devant la fraude à la carte de crédit. D'après un rapport annuel commandé par une société dans le domaine de la sécurité informatique, paru en novembre 2017*, la France pointe en deuxième place des pays ayant connu le plus grand nombre de vol d'identifiants en 2016, derrière les Etats-Unis mais devant la Russie, avec 85,3 millions d'identifiants volés contre respectivement 791,8 et 83,5.

7 conseils pour un mot de passe difficile à « craquer »

Voici les commandements à respecter pour limiter les risques de vol d’identifiant :

• User et abuser des majuscules et minuscules, du point-virgule, du point d'interrogation, des chiffres... Les logiciels des pirates informatiques testent automatiquement toutes les combinaisons imaginables. Les experts estiment qu’un bon mot de passe combine au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux.
• Eviter le piège du mot de passe unique. Un compte = un mot de passe.
• Le mot de passe doit être déconnecté de la vie privée : ni année ni lieu de naissance ou noms des enfants. Le maître mot est « aléatoire ».
• Changer régulièrement ses codes d’accès, même si cela met la mémoire à rude épreuve.
• Si l’imagination fait définitivement défaut, il est possible de recourir aux générateurs automatiques de mot de passe. Il en existe de nombreux dont celui de la Commission nationale de l'informatique et des libertés (Cnil) (https://www.cnil.fr/fr/generer-un-mot-de-passe-solide).
• Un mot de passe se retient et ne s’écrit pas, ni sur un post-it, ni dans le dossier Notes du Smartphone, ni dans les mails de la messagerie. Il ne doit être communiqué à personne et, bien entendu, jamais transféré par mail.
• Accepter volontiers la double authentification. Le fait d’entrer son mot de passe déclenche l’envoi d’un mail sur l’adresse courriel indiqué ou d’un SMS sur le numéro de téléphone, qui demande à son tour de valider la demande de connexion, voire d’entrer un second mot de passe.

Un bon mot de passe, c’est aussi savoir s’en souvenir !

Plus le mot de passe est complexe, plus il est inviolable. Le revers de la médaille est la difficulté pour l’utilisateur de se le remémorer. Pour limiter les pertes de mémoire, il faut alors miser sur la logique.
Par exemple en convertissant une phrase en mot de passe composé des premières lettres de chaque mot, en y ajoutant un nombre à la fin. Selon la Cnil, pour un mot de passe de douze caractères ou plus, la phrase doit contenir au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots.
Le choix de la phonétique, telle un rébus, peut aussi s’avérer judicieux.

Une autre solution est de faire confiance à un gestionnaire de mots de passe. Il constitue une base de données de votre collection de mots de passe, le tout étant chiffré par un unique mot de passe, qui conditionne l’accès à tous les autres. L’avantage est de pouvoir alors employer des mots de passe très complexes puisque l’utilisateur n’aura pas à faire l’effort de les retenir ; l’ordinateur s’en chargera.
Ces gestionnaires de mots de passe sont multiples. Parmi eux, Keepass, dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI). La démonstration vidéo de la CNIL pour s’en servir est disponible à cette adresse : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe

D’autres solutions existent. Avec l’arrivée du système d’exploitation iOS 12, les utilisateurs ont accès à plusieurs nouvelles fonctionnalités, dont l’intégration de gestionnaires de mots de passe, proposant automatiquement des mots de passe complexes.

Hélène Joubert, journaliste

*https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf