Sécurité informatique : choisir et retenir tous ses mots de passe

À l’heure où les bases de données des plus gros sites Internet se font pirater les unes après les autres, il est assez inconscient d’utiliser un même mot de passe partout. Mais comment retenir autant de mots de passe qu’il y a de sites sur lesquels on est inscrit ? Une technique mnémotechnique simple permet de choisir et mémoriser autant de mots de passe sécurisés que vous voulez. Faisons un point sur tout ça, en commençant par vous dévoiler la technique. Je détaillerai ensuite l’importance de sécuriser ses mots de passe au vu des dernières actualités, et je terminerai par vous révéler un excellent outil permettant de détecter en temps réel si vos informations personnelles sont concernées par un piratage.

La technique pour mémoriser 5, 20 ou 500 mots de passe sécurisés

J’entends déjà monter l’indignation de certains internautes, s’exclamant « Au lieu d’utiliser un moyen mnémotechnique, utilise la synchronisation des mots de passe de ton navigateur ou un service comme 1Password. » En effet, j’utilise par exemple l’enregistrement de tous mes mots de passe dans Trousseaux d’accès sous macOS, synchronisé sur l’ensemble de mes terminaux Apple via iCloud. Et pourtant, j’utilise ce moyen mnémotechnique plus que jamais. Pourquoi ? Il suffit que je sois à l’extérieur, contraint d’utiliser l’ordinateur ou le smartphone d’un ami, ou que j’aie simplement envie de changer de navigateur ou de marque d’ordinateur. Sans oublier que 1Password n’est clairement pas gratuit. Le meilleur et le plus pratique des coffres-forts reste notre mémoire.

Cette technique, déjà éprouvée par de nombreux professionnels, structure chaque mot de passe en 2 parties :

  • la première partie contient une série de caractères communs à tous vos autres mots de passe, une sorte de clé que vous seul avez en tête
  • la deuxième partie contient une série de caractères liés au site sur lequel le mot de passe sera utilisé, ce qui rend le mot de passe unique

Prenons l’exemple de Jean-Marc Dursley, né le 24 juin 1958.

Le choix de la première partie du mot de passe, commune à tous les autres, peut être par exemple un diminutif du prénom et du nom suivi du nombre du jour de la naissance. Choisissons donc JMdur24

À savoir que de nombreux sites Internet obligent à choisir un mot de passe comportant au moins une majuscule et une minuscule, ainsi que de 2 chiffres. Autant les satisfaire dans cette première partie de caractères. En revanche, la ponctuation, qui peut sécuriser davantage votre mot de passe, n’est malheureusement pas acceptée par tous les sites Internet. Il ne vaut donc mieux pas l’utiliser afin de ne jamais casser la mnémotechnique de cette astuce.

Jean-Marc veut s’inscrire sur Amazon. Pour la 2ème partie du mot de passe, décidons dès maintenant de ne retenir que les 3 premiers caractères du site sur lequel le mot de passe sera utilisé, avec une majuscule sur la première lettre. Pour Amazon, cela donnera Ama

Le mot de passe en entier sera donc JMdur24Ama

Et Jean-Marc pourra ainsi utiliser cette technique sur tous les autres sites. Je vous laisse deviner sur quel site Jean-Marc compte utiliser les mots de passe suivants :

JMdur24Fac
JMdur24Eba
JMdur24Gma
JMdur24iCl
JMdur24Imp

Bien sûr, la règle peut être complexifiée pour plus de sécurité. Vous pouvez par exemple ne mettre les chiffres qu’à la fin, ce qui donnerait JMdurAma24, JMdurFac24, etc. Ou pour aller (vraiment) plus loin, vous pouvez écrire la 2ème partie du mot de passe, celle qui correspond au nom du site concerné, en décalant toutes les lettre d’une touche de clavier sur la droite… Bref, vous pouvez composer votre règle de mot de passe avec toute l’originalité que votre mémoire vous le permet.

Des dizaines de millions de comptes client piratés

Je l’ai mentionné en introduction, les plus gros sites sont victimes d’actes de piratage de grande ampleur. On a été témoin par exemple d’Adobe 1 et d’OVH 2 en 2013, plus récemment de Yahoo 3 officiellement dévoilé cette année, et encore il y a quelques jours, de Weebly 4. Mais on pourrait aussi mentionner MySpace, Badoo, Dropbox, Tumblr ou encore Dominoes (oui, oui, les pizzas) 5. Pour la majorité des cas, ce sont des dizaines de millions de données utilisateurs qui ont été récupérées -pour Yahoo, ça dépasserait le milliard- avec le plus souvent, les mots de passe cryptés.

Les hackers récupèrent ainsi des données personnelles, comme vos nom et prénom, téléphone, adresse postale, adresse email, mots de passe (le plus souvent cryptés), voire même des comptes de carte bancaire (mais c’est extrêmement rare sur les sites d’envergure). Pour les connaisseurs, rappelons que le cryptage des mots de passe n’est pas infaillible : on a vu il y a plusieurs années le chiffrement MD5 officiellement cassé (des services de décryptage de mot de passe en ligne sont même apparus par la suite), et, plus grave, ce serait peut-être le cas du SHA-1 6. Toutes ces informations personnelles peuvent être publiées librement sur Internet, vendues à des entreprises privées, voire à des gouvernements, l’univers du piratage étant particulièrement opaque.

haveibeenpwned.com : soyez au courant si vous êtes directement concernés par un hack

Il est pratique de savoir si vos informations personnelles ont été bel et bien piratées sur l’un des sites sur lesquels vous êtes inscrit. Le service Have i been pwned? est là pour vous alerter par e-mail dès qu’il le sait tout en précisant quels types d’informations confidentielles ont été récupérés. Pour cela, Have i been pwned? a juste besoin de votre adresse e-mail ; n’oubliez pas d’y renseigner tous vos emails si vous en avez plusieurs. C’est comme cela que j’ai su que les informations de mon compte Dropbox avait été piratées.

capture-decran-2016-10-23-a-09-40-09

Allez, je vous laisse, vous devez avoir beaucoup de mots de passe à changer.

Notes et références

  1. [fr] Message officiel d’Adobe : Alerte de sécurité à l’attention des clients
  2. [fr] OVH : Intrusion et piratage massif des données des clients européens, via Undernews
  3. [fr] Yahoo! confirme le piratage de 500 millions de comptes, via Le Figaro
  4. [fr] Weebly a été piraté, via Génération NT
  5. [en] Pwned websites via Have I been pwned ?
  6. [fr] Chiffrement : l’algorithme SHA-1 cassé ? via le JDN

À propos de l'auteur

Alex GiannelliWebmaster à Marseille, Alex Giannelli travaille en tant qu'indépendant pour des TPE, PME et agences de communication depuis 2012. Spécialisé dans la création de site vitrine sous Wordpress et de boutique ecommerce sous Prestashop, ses compétences lui permettent aussi d'intervenir dans tout développement web. Formé chez Ranking Metrics, le référencement naturel et la gestion de campagnes Adwords font également partie de ses spécialités.Voir tous les articles par Alex Giannelli

Laisser une réponse