Comment créer, gérer et stocker des mots de passe en toute sécurité

create-store-passwords-securely-blog

Soyons réalistes : rester maître de sa vie numérique peut être un cauchemar de nos jours. En moyenne, une personne a des dizaines – voire des centaines – de comptes en ligne à gérer, chacun d’entre eux nécessitant son propre nom d’utilisateur et son propre mot de passe.

Il est essentiel de disposer de solides identifiants de connexion pour protéger votre identité et éviter que vos données ne tombent entre les mains des malfaiteurs. Cependant, il n’y a tout simplement aucun moyen de garder mentalement la trace de tous ces mots de passe (en particulier si vous êtes un bon citoyen numérique et que vous utilisez des combinaisons alphanumériques uniques pour chaque mot de passe).

Quelle est la solution ?

Dans cet article, nous avons rassemblé tout ce que vous devez savoir en tant qu’utilisateur professionnel ou particulier pour gérer vos mots de passe de manière sûre et sécurisée.

Pourquoi est-il si important d’avoir un bon mot de passe ?

Il est important d’avoir un bon mot de passe pour une raison très simple : il empêche l’accès non autorisé à vos appareils physiques et à vos comptes en ligne. Si votre mot de passe est facile à craquer, un cybercriminel pourrait être en mesure d’accéder à votre banque, vos réseaux sociaux, votre messagerie électronique et autres comptes privés, ce qui pourrait avoir un effet dévastateur sur votre vie.

L’importance d’avoir des mots de passe robustes est particulièrement prononcée pour les petites entreprises. Non seulement les propriétaires d’entreprises doivent s’assurer que leurs données critiques sont sécurisées afin de minimiser les temps d’arrêt de l’entreprise, mais ils doivent également faire tout leur possible pour protéger les informations personnelles de leurs clients, qui peuvent être stockées sur le système de l’entreprise. Les petites entreprises se retrouvent souvent dans la ligne de mire des pirates informatiques, car elles n’ont généralement pas les ressources nécessaires pour avoir à disposition une équipe de sécurité informatique dédiée. Les cybercriminels en sont bien conscients : en 2019, 43 % des violations de données concernaient des petites entreprises, selon les chiffres de Verizon.

Bien sûr, rien de tout cela ne devrait être une nouvelle choquante. En fait, vous en avez probablement assez que les experts en sécurité vous disent d’améliorer la robustesse de vos mots de passe. Cependant, il semble qu’une assez grande partie de la population n’ait pas encore reçu le mémo, car beaucoup trop de gens se fient encore à des mots de passe qui sont aussi sûrs qu’un sac en papier mouillé (comprendre : pas du tout sûr). Comme l’indiquait NordPass, les mots de passe les plus populaires (c’est-à-dire les pires) de 2019 étaient « 12345 », « 123456 » et « 123456789 ». Parmi les autres mentions notables, citons « mot de passe » (au numéro 5), « qwerty » (numéro 10) et « iloveyou » (numéro 14).

Comment les pirates informatiques dérobent vos mots de passe

how-hackers-steal-your-password-content-breaker

Ainsi, un mot de passe fort réduit la probabilité qu’un cybercriminel obtienne vos identifiants de connexion. Mais comment les pirates informatiques volent-ils vos mots de passe au départ ?

1. Fuites de mots de passe

De temps à autre, une grande entreprise est piratée (Yahoo, Dropbox et Gmail pour n’en citer que trois), ce qui entraîne la fuite de millions de mots de passe sur le Web. Cela signifie non seulement qu’un criminel peut potentiellement avoir accès à votre compte piraté, mais aussi qu’il peut utiliser les informations divulguées pour se connecter à vos autres comptes.

Comment ?

Si vous faites partie des 87 % de personnes qui réutilisent leur mot de passe, un pirate informatique peut simplement utiliser le mot de passe que vous avez divulgué et tenter de se connecter à vos autres comptes privés. Le recyclage d’identifiants de connexion peut être tenté avec des mots de passe recueillis par n’importe quel moyen (pas seulement les fuites de mots de passe), ce qui souligne le fait que vous ne devez jamais réutiliser le même mot de passe.

2. Attaques par la force brute

Une attaque par force brute est une attaque lors de laquelle les cybercriminels essaient méthodiquement de se connecter à votre compte en utilisant toutes les combinaisons de caractères possibles jusqu’à ce qu’ils obtiennent le bon mot de passe. Comme vous pouvez l’imaginer, cela serait impossible à faire manuellement, c’est pourquoi les pirates utilisent des outils spécialement conçus à cet effet qui sont capables (s’ils fonctionnent sur le bon matériel) de traiter des millions de tentatives par seconde. Plus le mot de passe est court, plus vite une attaque par force brute pourra le dérober.

3. Keyloggers

Un keylogger est un certain type de logiciels malveillants qui s’exécute à l’arrière-plan de votre ordinateur. S’il peut passer inaperçu, un keylogger peut suivre chaque touche sur laquelle vous appuyez sur votre clavier et transmettre ces informations à une partie malveillante, ce qui permet aux criminels de dérober vos identifiants de connexion. Un produit anti-malware efficace est essentiel pour garder vos mots de passe en sécurité, protéger votre ordinateur contre les logiciels malveillants et s’assurer que votre système est exempt de keyloggers.

4. Phishing

Le phishing est une forme d’ingénierie sociale qui s’attaque à la nature humaine. Il s’agit essentiellement d’inciter les utilisateurs à divulguer volontairement des informations sensibles (telles que les identifiants de connexion, les données de carte de crédit, etc.) en déguisant des sites et des applications malveillants en services légitimes. Lorsque vous saisissez vos informations sur le faux site Web, vous envoyez par inadvertance les données directement aux mains des criminels qui peuvent alors librement assumer votre identité et se connecter à vos comptes privés. Le phishing reste incroyablement répandu, sans doute parce qu’il est prouvé à maintes reprises qu’il est un vecteur d’attaque efficace. Selon le rapport Verizon précité, le phishing est impliqué dans environ 32 % des violations de données.

5. Outils de post-exploitation

Les criminels volent aussi couramment des mots de passe en utilisant des outils de post-exploitation. Comme leur nom l’indique, les attaquants utilisent ces outils sur des systèmes qu’ils ont déjà exploités avec succès afin de mieux contrôler l’appareil ou le réseau. L’outil Mimikatz, largement utilisé, peut par exemple servir à récolter rapidement des informations qui peuvent être utiles, notamment tous les mots de passe existants sur le système compromis.

6. Rainbow table

Même si vous, en tant que consommateur, concevez un excellent mot de passe, il pourrait toujours être dérobé si le service pour lequel vous l’utilisez emploie de mauvaises pratiques de cryptage des mots de passe. De nos jours, la plupart des vendeurs sont conscients des dangers liés au stockage des mots de passe en texte clair (nous y reviendrons plus tard), et stockent plutôt leurs mots de passe sous forme hachée. Un hachage cryptographique est un algorithme mathématique qui peut être utilisé pour produire une somme de contrôle (une valeur généralement utilisée pour détecter les erreurs de données). Avec un hachage cryptographique, il est possible pour un vendeur de vérifier qu’un mot de passe est correct en croisant sa somme de contrôle avec celle de la base de données. L’ensemble du processus se déroule sans que le vendeur ne sache jamais quel est réellement le mot de passe.

Bien que cela puisse sembler être un moyen très sûr de stocker des mots de passe, les hachages ont leurs défauts. Les hachages les plus couramment utilisés (MD5 et SHA-1) ont un nombre total connu de hachages possibles, ce qui signifie qu’ils peuvent être (et ont été) précalculés. Ces valeurs précalculées sont stockées dans une liste appelée « rainbow table » que les criminels utilisent fréquemment par le biais de simples recherches pour inverser les mots de passe hachés. Une fois le hachage volé et le mot de passe décrypté à l’aide de la rainbow table, les pirates peuvent utiliser les identifiants de connexion sur d’autres sites Web où ils soupçonnent l’utilisateur d’avoir réutilisé le mot de passe. Dans ce scénario, la longueur du mot de passe n’a aucune importance car la table ne prend en compte que le hachage.

Pour contrer ce problème, les vendeurs se tournent de plus en plus vers les hachages salés, qui incorporent un caractère aléatoire à chaque mot de passe stocké afin de compliquer davantage le mot de passe. Avec un hachage salé, chaque mot de passe individuel nécessite sa propre rainbow table pour être déchiffré, ce qui rend les tentatives des criminels peu pratiques sur le plan des calculs.

Vous craignez que vos identifiants de connexion aient été volés à votre insu ? Utilisez Haveibeenpwned pour vous rassurer. Il vous suffit de saisir votre adresse électronique et le site la comparera avec des centaines de piratages parmi les plus importants de l’histoire récente et vous indiquera si vous êtes en danger. Vous pouvez également utiliser l’outil pour vous envoyer une alerte s’il trouve votre adresse électronique dans d’éventuelles fuites de données futures.

Comment créer un bon mot de passe solide

create-strong-password-content_breaker

Un bon mot de passe est donc un élément important de votre système de défense, mais qu’est-ce que cela signifie concrètement ? Eh bien, en ce qui concerne les meilleures pratiques en matière de mot de passe, les choses ont beaucoup changé ces dernières années.

« En 20 ans d’efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs » – XKCD.

Dans le passé, la règle générale était que votre mot de passe devait être aussi complexe que possible. En tant qu’utilisateur diligent de l’internet, vous vous assuriez que votre mot de passe comprenait des chiffres, des symboles et des lettres majuscules et minuscules, et le mot de passe qui en résultait pouvait ressembler à ceci :

3s+zq&KW

Cependant, nous nous sommes progressivement éloignés de cette approche. Le gouvernement américain a récemment mis à jour ses recommandations sur les mots de passe pour refléter la conception moderne de ces derniers et même Bill Burr, auteur de la publication spéciale 800-63 du NIST, annexe A (l’une des premières ressources pour encourager les gens à incorporer des caractères obscurs dans leurs mots de passe) a admis au Wall Street Journal qu’il y avait quelques défauts dans son travail original. Pour dire les choses simplement, tout le monde a finalement réalisé quelque chose : les ordinateurs ne sont pas des êtres humains.

Si le mot de passe ci-dessus est indéniablement difficile à deviner pour un humain, pour un ordinateur, il n’est pas plus sûr que toute autre combinaison de huit caractères comme « magazine », « princesse » ou « parapluie ».

La bonne nouvelle, c’est que la création d’un mot de passe robuste n’a pas besoin d’être difficile. Voici trois règles de base pour la création d’un mot de passe sûr en 2020 :

1. La longueur avant tout

La pierre angulaire de la fabrication d’un bon mot de passe est passée de la complexité à la longueur. Chaque caractère supplémentaire rend votre mot de passe exponentiellement plus résistant aux attaques par force brute. Ainsi, un bon mot de passe peut être fabriqué en enchaînant simplement un tas de mots aléatoires dans une longue phrase, comme :

vagantgerontogenousnidifugousyorkkelpielongiloquence

Plus c’est long, mieux c’est. Nous recommandons de viser un minimum de 16 caractères.

2. Un usage unique

Comme nous l’avons déjà mentionné, la réutilisation d’un même mot de passe pour plusieurs sites Web, applications ou appareils vous expose à toutes sortes de risques inutiles. Oui, vous pouvez avoir des dizaines, voire des centaines de comptes à gérer, mais cela ne justifie pas le recyclage de vos identifiants. Rendez chaque mot de passe unique et sûr, même si c’est pour un service que vous n’utiliserez qu’une ou deux fois. Il y a toujours une chance, aussi infime soit-elle, qu’un jour vous donniez à ces « petits services » les infos de votre carte de crédit, et il est fort probable que vous oubliez de renforcer votre mot de passe le moment venu.

3. Le tout aléatoire

En plus de la longueur, il est important que votre mot de passe soit également aléatoire. Si vous choisissez d’utiliser une chaîne de mots aléatoires comme décrit précédemment, ne comptez pas sur votre cerveau pour faire apparaître quelques mots apparemment « aléatoires », car il y a de fortes chances que ces mots soient plus faciles à deviner que vous ne le pensez. Utilisez plutôt un générateur de mots de passe fiable pour produire des combinaisons de caractères vraiment aléatoires. De même, évitez d’utiliser des expressions courantes, des citations et des références de la culture pop, ainsi que des mots de passe significatifs sur le plan personnel, tels que les anniversaires, les noms d’animaux domestiques, etc. Ce dernier point augmente votre risque d’être piraté manuellement par un criminel particulièrement studieux qui pourrait fouiller votre présence en ligne à la recherche d’indices de mots de passe.

Pour d’autres conseils sur la création de mots de passe sécurisés, consultez notre précédent billet sur le sujet.

Les meilleurs gestionnaires de mots de passe de 2020

Ne stockez pas vos identifiants de connexion dans un fichier texte. Si vous stockez tous vos mots de passe dans un fichier en clair, un pirate informatique peut tout simplement voler la liste complète des mots de passe d’un seul coup et faire de véritables ravages dans votre vie numérique. Si vous êtes propriétaire d’une entreprise, le stockage des mots de passe en texte clair augmente également le risque d’un problème de sécurité interne, car les employés peuvent accéder librement à leurs identifiants de connexion. Alors ne le faites pas, tout simplement.

En même temps, il est plus ou moins impossible de se souvenir de dizaines de longues combinaisons de caractères aléatoires et uniques. La manière la plus sûre de stocker des mots de passe en 2020 est d’utiliser un gestionnaire de mots de passe dédié.

1. KeePass

logo-keepass

Ce qui manque à KeePass en termes d’interface utilisateur flashy, ses fonctionnalités fluides le compense grandement. Ce logiciel gratuit et open-source est doté d’une installation portable, ce qui signifie que vous pouvez l’utiliser directement à partir d’un port USB. Il est doté d’un nombre impressionnant de fonctions de sécurité, dont un générateur de mots de passe, des notes sécurisées et une série d’options de saisie de mots de passe. Il n’y a pas de navigateur officiel ni d’implémentation Android, bien qu’il existe un certain nombre d’options non officielles.

Les identifiants de connexion sont stockés localement, ce qui signifie qu’ils sont moins bien intégrés que certaines solutions basées sur le cloud (ce qui les rend plus adaptés aux personnes qui souhaitent une solution à appareil unique), mais l’avantage est qu’il y a également moins de risques de fuite de vos mots de passe. Comme pour tous les logiciels libres, vous pouvez inspecter le fonctionnement interne de KeePass, qui donne aux utilisateurs à l’esprit technique la possibilité de rechercher des failles potentielles dans le code.

Prix : Gratuit

2. Dashlane

logo-dashlane

Dashlane est facile à utiliser et est doté d’un grand nombre de fonctionnalités conçues pour protéger vos mots de passe. En plus de stocker vos identifiants de connexion et de les remplir automatiquement lorsque vous en avez besoin, Dashlane est également doté d’un générateur de mots de passe robuste et d’un portefeuille numérique qui gère les informations de votre carte de crédit en toute sécurité, ce qui vous permet de faire des achats en ligne rapidement.

Si vous utilisez la fonction de synchronisation, Dashlane stockera vos données cryptées sur le cloud ; si vous désactivez la synchronisation, vos données seront définitivement supprimées de leurs serveurs, les laissant stockées localement sur votre ordinateur.

Prix : Gratuit pour un appareil et jusqu’à 50 mots de passe. Mise à niveau payante requise pour les fonctions Premium.

3. Sticky Password

logo-sticky

Autre option conviviale, Sticky Password présente quelques caractéristiques intéressantes dans un design résolument épuré, bien que légèrement dépassé. Comme de nombreux gestionnaires de mots de passe, Sticky Passwords vous permet de stocker et de gérer en toute sécurité un nombre illimité de mots de passe sur un seul appareil ou, si vous passez à la version Premium, de synchroniser vos identifiants de connexion sur plusieurs machines. Contrairement à certains gestionnaires de mots de passe, Sticky Password peut également gérer les connexions aux applications, ce qui est une excellente nouvelle si vous devez régulièrement utiliser des logiciels protégés par un mot de passe.

Pouvoir choisir entre la synchronisation des données sur les serveurs Sticky Password ou sur votre réseau Wi-Fi local est une très bonne idée pour ceux qui souhaitent une solution intégrée sans compromettre la sécurité.

Prix : Gratuit, sans connexion cloud ni synchronisation locale. Mise à niveau payante requise pour les fonctions Premium.

4. 1password

logo-1password

1Password est peut-être le plus attrayant gestionnaire de mots de passe Mac du marché (mais il existe aussi en version Windows et navigateur). Il peut faire tout ce que vous pouvez attendre d’un bon gestionnaire de mots de passe, avec quelques autres avantages en plus, comme l’organisation et la synchronisation de vos licences de logiciels et de vos fichiers. Il convient de noter que, contrairement à la plupart des autres gestionnaires de mots de passe, 1Password n’utilise aucune identification à deux facteurs et s’appuie plutôt sur un cryptage de bout en bout et des clés secrètes pour s’assurer que vous êtes bien celui que vous prétendez être.

Prix : 30 jours d’essai gratuit. Mise à niveau payante nécessaire pour continuer à l’utiliser.

5. RoboForm

logo-roboform

RoboForm ne s’embête pas avec des fonctionnalités fantaisistes ou une belle interface graphique, et concentre plutôt ses efforts sur la gestion des mots de passe. En plus du cryptage sécurisé, RoboForm prend en charge les connexions aux applications, le stockage des notes et l’accès d’urgence. Le générateur de mots de passe hautement personnalisable est l’un des meilleurs qui existent et la société a récemment ajouté la prise en charge de connexions illimitées dans la version gratuite, ce qui en fait un excellent choix pour les utilisateurs soucieux de leur budget et qui ont besoin d’un excellent gestionnaire de mots de passe.

Prix : Gratuit, sans synchronisation ni sauvegarde dans le nuage. Mise à niveau payante requise pour les fonctions Premium.

6. bitwarden

logo-bitwarden

bitwarden est hautement recommandé par les membres de l’équipe du labo d’Emsisoft – et pour de très bonnes raisons. Le logiciel open-source est doté de la technologie 2d’authentification à deux facteurs, d’un cryptage de bout en bout et, contrairement à la plupart des autres entrées de cette liste, la version gratuite inclut même une synchronisation illimitée entre les appareils ! bitwarden intègre également un générateur de mots de passe compétent et est compatible avec un grand nombre de systèmes d’exploitation et de navigateurs différents. La cerise sur le gâteau est que vous pouvez choisir d’héberger l’infrastructure de bitwarden sur la plateforme de votre choix, ce qui signifie que vous n’avez pas à dépendre du service sur le cloud de bitwarden si vous ne le souhaitez pas.

Prix : Gratuit avec certaines restrictions. Mise à niveau payante requise pour les fonctions Premium.

7. LastPass

logo-lastpass

LastPass est souvent en tête de liste des meilleurs gestionnaires de mots de passe. Compatible avec toute une série de systèmes d’exploitation et doté d’un générateur de mots de passe robuste, de défis de sécurité et d’un système d’authentification à deux facteurs (même avec la version gratuite !), LastPass est la référence en matière de gestion des mots de passe depuis un certain temps déjà. Toutefois, il convient également de garder à l’esprit que LastPass a été piraté dans le passé, Son hachage avancé signifie que les criminels n’ont probablement pas été en mesure de craquer les mots de passe volés.

Prix : Gratuit avec certaines restrictions. Mise à niveau payante requise pour les fonctions Premium.

Sécurisation des mots de passe : Plus d’excuses

Il n’est tout simplement pas possible de conserver manuellement la trace de tous les mots de passe qui font partie intégrante de la vie moderne. La meilleure façon de générer et de stocker en toute sécurité vos mots de passe en 2020 est d’utiliser un gestionnaire de mots de passe fiable. La mise en place de ce système ne prend que quelques minutes, et le temps investi vaut absolument la peine d’avoir l’esprit tranquille, sachant que vos identifiants de connexion sont stockés en toute sécurité.

Assurez-vous d’utiliser une solution de sécurité éprouvée telle que l’Emsisoft Anti-Malware en conjonction avec votre gestionnaire de mots de passe afin de vous assurer que votre système est exempt de keyloggers et autres logiciels malveillants qui pourraient compromettre la sécurité de vos identifiants de connexion.

Utilisez-vous un gestionnaire de mots de passe génial qui n’est pas mentionné dans la liste ? Faites-le nous savoir dans la section commentaire ci-dessous !

Jareth

What to read next

Reader Comments