L’informatique existe depuis plus d’une cinquantaine d’années, et pourtant la sécurité de la plupart des services numériques repose encore et toujours sur un concept simple et banal : le mot de passe.
Il est pénible à manipuler, aisé à oublier, trop facilement victime d’une faute de frappe, et nous sommes nombreux à vouloir sa mort. Mais le code secret résiste et nous devons probablement encore le traîner comme un boulet pendant de nombreuses années. Alors, comment faire ? Voici quelques astuces et conseils techniques pour rendre cette cohabitation forcée plus supportable.
La méthode mnémotechnique, un pari risqué
Certains ont décidé de ne jamais stocker leurs mots de passe quelque part et ont adopté une méthode mnémotechnique. On peut par exemple partir d’un code secret de base que l’on est certain de retenir et que l’on va adapter pour chaque compte d’utilisateur en lui appliquant un algorithme secret. Exemple : mot de passe = [code secret] + [un dérivé du nom du service web].
Certes, on obtient des mots de passe qui sont tous différents, mais le fait d’utiliser un procédé mnémotechnique crée le risque qu’un pirate le découvre un jour. S’il arrive à mettre la main sur plusieurs mots de passe — les bases de données peu sécurisées ne sont malheureusement pas rares — il pourrait deviner la logique utilisée et donc compromettre tous les autres mots de passe d’un coup. C’est pourquoi il est toujours préférable de générer ses mots de passe de façon aléatoire.
Le calepin, moins ridicule qu’on pense
Le problème avec les mots de passe aléatoires, c’est qu’ils sont impossibles à retenir et qu’il faudra donc les noter quelque part. Si vous en avez moins de vingt et que vous n’êtes pas très nomade, il est tout à fait envisageable d’utiliser un petit calepin.
L’avantage, c’est qu’aucun pirate ne pourra voler son contenu par l’intermédiaire d’un malware. Il faudra quand même ne pas oublier de créer régulièrement une copie à déposer dans un endroit sûr, idéalement un coffre-fort.
Le moyen le plus simple pour générer de façon manuelle ses mots de passe, c’est de choisir une succession aléatoire de mots, en y ajoutant des chiffres, des lettres capitales et des caractères spéciaux. Ainsi, le mot de passe aura une longueur suffisante et sera plus simple à taper qu’une suite de caractères totalement aléatoire.
Mais il y a quand même un risque important, c’est de perdre ou de se faire voler ce support physique que l’on aura toujours à proximité. Le contenu pourrait alors être exposé à des tiers. Mais il existe des astuces pour réduire ce risque. Vous pouvez par exemple vous doter d’un code secret que vous serez le seul à connaître et que vous intégrerez systématiquement à chaque mot de passe.
Celui-ci sera alors la combinaison d’un code secret mémorisé et d’une succession de mots aléatoires notés dans le calepin. Même si ce support tombe dans les mains d’une personne malveillante, les mots de passe restent sécurisés, en tous les cas suffisamment longtemps pour pouvoir les changer rapidement.
Le navigateur, une solution à éviter
Si vous avez plusieurs dizaines de mots de passe à gérer, le calepin va vite devenir insupportable. Il faudra alors se tourner vers un logiciel. Les navigateurs permettent d’enregistrer des mots de passe, mais ces derniers ne sont pas toujours stockés de façon chiffrée. Quelqu’un qui accède à votre espace de travail peut alors siphonner tous vos codes secrets.
Pour avoir une sécurité optimale sur un navigateur, il faut créer un compte utilisateur, que ce soit pour Firefox, Chrome ou Edge.
L’avantage, c’est que le navigateur peut renseigner automatiquement le mot de passe sur les sites où vous vous connectez. Le hic, c’est que vous êtes alors dépendant de ce navigateur. Par ailleurs, cela ne résout pas le cas des mots de passe à rentrer sur des applications, qu’elles soient mobiles ou non. Les fonctionnalités proposées par les navigateurs ne sont pas non plus très fournies. Bref, ce n’est pas le bon choix.
Le gestionnaire de mot de passe, l’embarras du choix
S’il faut choisir un logiciel, mieux vaut se tourner vers un éditeur spécialisé, dont la mission principale est la gestion de mot de passe. Les solutions sur le marché sont assez nombreuses, mais sur le fond le principe est toujours le même. Il ne s’agit ni plus ni moins que d’une base de données, chiffrée et protégée par un mot de passe maître. Ensuite viennent s’ajouter toute une ribambelle de fonctionnalités : synchronisation automatique entre multiples terminaux grâce au cloud, génération automatique de nouveaux mots de passe, remplissage automatique des formulaires de connexion en ligne grâce à des extensions de navigateur, audit de la qualité des mots de passe utilisés, alertes de compromission, authentification forte, enregistrement de notes chiffrées, etc.
Les modes de tarification sont également très variés. Tous proposent généralement une version gratuite pour un nombre limité d’enregistrements ou de terminaux. Pour aller au-delà, il faudra mettre la main à la poche.
Il n’y en a qu’un qui soit totalement gratuit, c’est le logiciel open source KeePass (ainsi que les versions non officielles de la communauté KeePass). Malheureusement, il est moins facile à appréhender que les autres.
Les marques les plus en vue sont LastPass, 1Password, Bitwarden et Dashlane. Le mieux, c’est d’en tester plusieurs et de retenir celui qui vous semble le plus pratique.
Le nec plus ultra : le boîtier physique
Le problème avec les gestionnaires de mots de passe, c’est que ce sont des logiciels qui exposent systématiquement la base de mots de passe au niveau du système d’exploitation. Si ce dernier est infecté, le risque de perdre tous ses codes secrets est assez grand. C’est pourquoi certains ont développé des boîtiers physiques dédiés pour stocker les mots de passe, ce qui permet de réduire le risque de compromission au maximum.
C’est le cas, par exemple, de Mooltipass Mini, un appareil qui stocke les mots de passe de façon chiffrée et protégée par une carte à puce. Quand l’utilisateur veut se connecter à un service, le mot de passe est envoyé par USB vers le formulaire de connexion.
Une version améliorée avec support Bluetooth est en préparation. Des solutions matérielles similaires sont proposées par OnlyKey et Hideez. Là encore, il faudra évidemment ne pas oublier un back-up en cas de perte ou de vol de l’objet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.