J’aime pas mal la vulgarisation que Micode fait sur YouTube à propos de la sécurité informatique mais sa dernière vidéo, et plus précisément les commentaires de ses abonnés, m’a fait tiquer.

micode-passwords

Dans cette vidéo Micode présente et explique le fonctionnement des gestionnaires de mot de passe. En soi c’est une très bonne chose car ça explique un super outil technique pour sécuriser sa navigation sur Internet. Mais certains commentaires à propos des mots de passe m’ont un peu inquiété, surtout que le public de Micode est principalement constitué des “digital natives”.

Revenons sur quelques idées erronées.

Réutiliser un mot de passe “super compliqué” pour tout ses comptes

Mot de passe compliqué réutilisé

Réutiliser un mot de passe aussi compliqué soit-il est une mauvaise idée

Très mauvaise idée

Un mot de passe peut être aussi compliqué qu’on veut, on n’est pas à l’abri que l’un des sites sur lesquels on a renseigné son mot de passe se fasse pirater. En réalité des sites se font pirater tous les jours et les fuites de compte/mot de passe sont quotidiennes.

Le mot de passe est donc susceptible d’être facilement obtenu par un attaquant qui va le revendre sur Internet et les autres comptes seront affectés.

Un bon moyen de savoir si un mot de passe a fuité est de consulter Have I Been Pwned (en anglais) : https://haveibeenpwned.com/

Avoir un mot de passe maître pour sa base c’est la même chose que de mettre le même partout

Equivalence entre mot de passe maître et mot de passe réutilisé

Équivalence entre mot de passe maître et mot de passe réutilisé ?

Raccourci un peu rapide

Réutiliser un même mot de passe partout n’est pas la même chose que d’utiliser un mot de passe maître. À part dans les solutions “cloud” de gestion de mots de passe comme Dashlane (dont la sécurité est primordiale étant donné leur business), le mot de passe maître ne circule pas sur un quelconque réseau. Et même dans le cas des solutions “cloud” on peut attendre des standards de sécurité élevés que n’ont pas toutes les applications où on réutiliserait un même mot de passe.

Autre avantage de cette solution, si un site sur lequel on est inscrit se fait pirater il suffit de changer uniquement le mot de passe de son compte sur celui-ci et pas tous les autres.

En revanche il faut veiller à ce que le mot de passe maître soit très solide puisqu’il s’agit du sésame pour tous vos comptes : minimum de 15 caractères alphanumériques et spéciaux de manière à ce qu’il faille des millénaires pour obtenir vos mots de passe même si on obtient le fichier de votre base.

Les risques de l’utilisation d’un gestionnaire de mots de passe

Connaître les risques de l'utilisation d'un gestionnaire de mot de passe

Connaître les risques de l’utilisation d’un gestionnaire de mot de passe

Très bonne question

Utiliser un gestionnaire de mots de passe n’est pas sans risque, comme aller sur Internet ou faire ses courses.

On peut souvent signaler les risques suivants :

  • Vol du mot de passe maître
  • Oubli du mot de passe maître
  • Perte du fichier du gestionnaire de mots de passe

Et on peut appliquer les contre-mesures suivantes :

  • Mot de passe maître fort
  • Ne pas entrer le mot de passe maître sur des appareils non maîtrisés (d’école, du travail, le PC d’un ami, etc…)
  • Constituer un mot de passe qu’on n’oublie pas (une idée : “J’aime Manger des Pâtes le Soir à 19h en Regardant qui Veut des $” se convertit en “J’aMdPlSà19eRqVd$”)
  • Utiliser des solutions cloud pour stocker une copie du fichier du gestionnaire de mots de passe (le service ne peut pas le lire à cause du mot de passe maître)

Au final l’idéal serait d’avoir une mémoire d’éléphant et retenir chaque mot de passe. Comme c’est proche de l’impossible pour nous humains, un gestionnaire de mots de passe présente des risques mais est un bon compromis.

Variantes d’un même mot de passe

Constituer des variantes d'un mot de passe est aussi dangereux

Constituer des variantes d’un mot de passe est aussi dangereux

Dangereux

La première partie de cette suggestion est une bonne idée (j’en parle même juste au-dessus) mais la deuxième présente quelques dangers.

Admettons que LinkedIn se fasse pirater (c’est déjà arrivé). Votre mot de passe J41VdM!LinkedIn est dans la nature. Dans le cas d’outils automatiques de hackers (qui font ça) le mot de passe résistera à une réutilisation sur un autre site. Mais si c’est un attaquant qui vous cible personnellement (ça arrive aussi) il devinera très vite la logique derrière votre mot de passe et pourra attaquer d’autres applications pour y obtenir votre compte.

Conclusion

Les gestionnaires de mots de passe ne sont pas la panacée à vos problèmes de sécurité sur Internet. Mais bien utilisés ils deviennent de puissants alliés, surtout combinés avec l’authentification à double facteurs (comme quand vous devez retaper un code envoyé par SMS).

Si vous voulez plus de détails j’ai déjà écrit sur cette question, même si une certaine aisance avec l’informatique est déjà requise.