[Cybersécurité] 10 conseils pour créer un mot de passe « solide »

Les mots de passe vous protègent contre la fraude et les fuites de données. Or, malgré la hausse constante des attaques informatiques, peu de personnes choisissent des mots de passe vraiment fiables. Reprenons ensemble quelques principes de base.

 

1- Créez un mot de passe aussi long que possible

Plus le mot de passe est long, plus il est difficile à deviner ou à trouver en essayant toutes les combinaisons possibles (on parle alors d’attaque de force brute). Les mots de passe de 16 caractères ou plus sont beaucoup plus complexes à déchiffrer.

D’après Matthias Ungethuem, un hacker allemand de 28 ans plus connu sous le nom de « unnex », détenant entre autres à son actif le piratage de Facebook, de PayPal, d’Interpol, de la NSA, de la CIA, du FBI… un simple ordinateur équipé d’une carte graphique achetée 300 euros en supermarché pourra lancer 4,3 milliards d’attaques… par seconde, sur des mots de passe chiffrés par l’algorithme le plus répandu SHA1.

 

2- Utilisez différents types de caractères

Un bon mot de passe inclut des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Plus le nombre de caractères possibles (minuscules, majuscules, chiffres, caractères spéciaux) est élevé et plus le mot de passe est long, plus le nombre de possibilités est grand, plus l’attaquant mettra longtemps à casser le mot de passe.

Pour s’en convaincre, prenons à titre d’exemple, le mot de passe « password » qui ne contient que les petites lettres de l’alphabet (soit un nombre de caractères possibles égal à 26, de a à z), correspond à 26 puissance 8 (le nombre de caractères du mot de passe) soit 208 milliards de combinaisons possibles. En utilisant une carte graphique similaire à celle décrite précédemment, le mot de passe « password » serait donc identifié en… 48 secondes !

En revanche, avec le mot de passe « PassWoRd » comprenant à la fois des minuscules et des majuscules, on passe à 52 caractères possibles (de a à z et de A à Z) ce qui correspond à 52 puissance 8 possibilités soit 53 trillions de combinaisons possibles. Il faudrait 3 heures environ pour le déchiffrer d’où l’importance d’ajouter dans son mot de passe des chiffres et les caractères spéciaux comme #, Ë, %… ou également des caractères cyrilliques, chinois…

Sur les périphériques qui ne permettent pas d’insérer des caractères spéciaux, utilisez un mot de passe plus long avec des caractères différents.

 

3- N’utilisez jamais de termes du dictionnaire ou des mots courants

N’utilisez pas de mots, de noms de personnes ou de lieux que l’on trouve dans le dictionnaire, faciles à déchiffrer grâce à une attaque d’annuaire (par le biais d’un programme qui tente tous les mots du dictionnaire).

 

4- N’utilisez pas de phrase secrète

La grande tendance du moment est d’utiliser une phrase secrète composée d’un ensemble de simples mots qui ne sont a priori pas liés les uns les autres comme « Fleurs Judo Carlos 1978 » par exemple.

On pense ainsi qu’il est très difficile de deviner une combinaison de mots n’ayant aucun rapport les uns avec les autres, à tort… En effet, il est très simple de créer des listes de mots de passe permettant de couvrir des phrases secrètes, surtout quand plusieurs hackers s’associent et mettent ces listes en commun.

 

5- N’utilisez pas d’informations personnelles

Avec notamment l’essor des réseaux sociaux, il est désormais facile d’avoir accès à votre date d’anniversaire, au nom de votre conjoint ou celui de votre enfant, ou à votre numéro de téléphone. Ceci pourrait aider les hackers à deviner votre mot de passe.

 

6- N’utilisez pas votre identifiant

N’utilisez pas votre identifiant ou numéro de compte comme mot de passe.

 

7- N’utilisez pas un mot de passe unique pour tous vos comptes

Ne faites pas le choix d’utiliser un même mot de passe pour tous vos comptes mais privilégiez toujours un mot de passe différent pour chacun de vos comptes.

 

8- Utilisez des mots de passe difficiles à identifier pendant la saisie

Veillez à ne pas utiliser des caractères répétés ou des touches rapprochées sur le clavier. De même, ce mot de passe ne devra jamais être transmis en clair sans avoir été chiffré, ni être composé sur un site non sécurisé (ne disposant pas du protocole https par exemple). Enfin il ne faut jamais écrire votre mot de passe sur un morceau de papier ou sur un fichier informatique, il doit rester dans votre tête.

 

9- Évitez les gestionnaires de mots de passe

En cas de piratage de la base de données du gestionnaire de mots de passe les centralisant tous, l’ensemble de vos comptes peuvent être compromis du jour au lendemain.

 

10- Privilégiez toujours l’authentification à deux facteurs si elle est disponible

La double identification du propriétaire du compte reste efficace à condition que le second facteur ne présente aucun risque potentiel d’être également piraté.

A titre informatif, l’authentification à deux facteurs se matérialisant le plus souvent par un SMS reçu contenant un code d’authentification, qui peut potentiellement être intercepté par un pirate chevronné.

 

Finalement, un bon mot de passe c’est quoi ?

Gardez en tête qu’il n’existe pas de mots de passe à toute épreuve, seulement des mots de passe qui résistent plus longtemps que les autres à une attaque par force brute, méthode consistant à tester une à une toutes les combinaisons possibles.

En conclusion, un bon mot de passe est un mot de passe de 16 caractères, comportant des caractères spéciaux, des majuscules, des minuscules, des chiffres. Le mot de passe ne doit suivre aucune logique et être totalement déstructuré.

Ainsi pour mémoire, un mot de passe tel que celui-ci, « 8#/ß@y(J2’*d!Ä3h » offrirait 37 combinaisons possibles à 10 exposant 30 soit un nombre à 32 chiffres. Avec une carte graphique à 300 euros, un hacker aurait ainsi besoin de 273 billions d’années pour le déchiffrer bref, à vous de voir…

 

Sources :

Les menaces à la sécurité des systèmes et des données de A à Z, Sophos en collaboration avec le Center for Internet Security
https://www.sophos.com/fr-fr/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf

Un hacker allemand nous explique comment créer un mot de passe en béton armé, Motherboard
https://motherboard.vice.com/fr/article/newag7/un-hacker-allemand-nous-explique-comment-creer-un-mot-de-passe-en-beton-arme