Récemment, des chercheurs ont découvert un portail Equifax protégeant l’accès à 14 000 dossiers personnels sécurisés par le mot de passe « admin/admin ». Le problème a été corrigé depuis, mais cet exemple met en évidence le manque d’importance accordé à la création de mots de passe, qui continue de nuire à la cybersécurité des entreprises et des particuliers.
La plupart des gens utilisent encore des mots de passe faciles à deviner pour les pirates malgré les effets dévastateurs du vol d’identité. Mais le problème ne concerne pas seulement la négligence, cela concerne aussi la nature humaine. Comprendre le problème vous aidera à créer de meilleurs mots de passe.
Le problème de la prévisibilité humaine
Bill Burr, fondateur de la stratégie actuelle de création de mot de passe, a admis récemment qu’il regrettait ses recommandations originales. En 2003, alors qu’il travaillait au National Institute of Standards and Technology (NIST), Burr a rédigé un guide qui énonce deux règles fondamentales pour la création d’un mot de passe:
- Il doit être composé de caractères alphanumériques, majuscules, minuscules et spéciaux.
- Il doit être changé tous les 90 jours.
La règle numéro 1 amène à un mot de passe comme « S3cur1Ty% », qui semble aléatoire, mais ce n’est pas si difficile pour les cybercriminels à deviner. C’est facile pour eux parce que les humains sont si prévisibles.
Par exemple, la plupart d’entre nous ont tendance à mettre une majuscule sur la première lettre de nos mots de passe. Nous utilisons également les mêmes substitutions numériques pour les lettres (ex « 3 » pour « E », « 1 » pour « i »). Ces deux stratégies courantes seules rendent nos mots de passe beaucoup plus prévisibles.
Le NIST a depuis révisé les directives de Burr, admettant que l’utilisation de mots de passe complexes oblige les utilisateurs à « répondre de manière très prévisible aux exigences imposées par les règles de composition ».
La règle numéro 2 entraîne le même problème. Les personnes qui changent régulièrement leurs mots de passe ont tendance à ne faire que des modifications mineures, comme ajouter simplement un « 1 » à la fin (ne créant pas exactement ici le code Enigma). Les directives du NIST ne suggèrent plus de changer les mots de passe tous les 90 jours. A la place, il est recommandé de les changer quand c’est approprié, comme par exemple après le piratage d’Equifax.
Comment les pirates informatiques volent-ils les mots de passe?
Les pirates ont plusieurs façons de voler vos mots de passe.
Les attaques en Force Brute
Les pirates informatiques utilisent un logiciel qui essaie plusieurs fois différentes combinaisons de mots de passe. Puisque le champion des pires mots de passe est toujours « 123456 », les attaques en force brute sont un moyen fiable de voler vos informations. Les logiciels de force brute pour cracker les mots de passe s’appellent Brutus, RainbowCrack, Wfuzz et sont gratuits à télécharger.
Les attaques en force brute sont efficaces avec des mots de passe courts, mais luttent contre les plus longs. Pour ceux-là, les hackers changent de stratégie.
Les attaques dictionnaire
Comme son nom l’indique, le logiciel d’attaque dictionnaire recherche une liste de mots préétablie, en essayant différentes combinaisons et variations. Ironiquement, les pirates informatiques utilisent des mots de passe volés pour faciliter le vol de mots de passe. Les pirates achètent souvent des listes de mots de passe volés au marché noir. Ils les achètent, non pas pour cibler des individus, mais pour déterminer les mots de passe les plus courants. Ils comptent sur la prévisibilité humaine pour restreindre leurs futures recherches.
Même les entreprises honnêtes achètent des mots de passe volés dans le seul but de protéger les informations de leurs clients
A cause de ces listes de mots de passe, le NIST recommande les sites qui évaluent la force du mot de passe d’un utilisateur en le comparant à une liste noire de mots de passe inacceptables. Si vous essayez d’utiliser un mot de passe de cette liste noire, le site web peut le rejeter.
Les attaque de surveillance Wi-Fi
Les pirates peuvent également voler votre mot de passe lorsque vous êtes connecté à un réseau Wi-Fi public. Un logiciel spécial alerte les pirates lorsque vous vous connectez au Wi-Fi et entrez votre nom d’utilisateur et votre mot de passe. Il intercepte et enregistre les données transmises, en volant vos informations d’identification. Les attaques Wi-Fi et les faiblesses récemment découvertes font de la surveillance Wi-Fi une menace encore plus importante.
Les attaques phishing (ou hameçonnage)
Les pirates utilisent de faux e-mails et de faux sites web pour voler vos mots de passe. Les attaques par hameçonnage sont généralement des e-mails déguisés venant d’entreprises de confiance. Ces e-mails vous invitent généralement à télécharger une pièce jointe, à cliquer sur un lien ou à vous connecter à un site web.
Cet email de votre « banque » semble authentique, mais son véritable auteur peut être un pirate vous invitant à entrer votre nom d’utilisateur et votre mot de passe dans un faux site web. Bien que les pirates deviennent de plus en plus sophistiqués, il existe encore des moyens efficaces de repérer les attaques de phishing avant qu’il ne soit trop tard.
Les nouvelles stratégies pour créer des mots de passe
Pour créer un bon mot de passe, il faut trouver le juste équilibre entre la capacité à le mémoriser et le hasard. Voici quelques stratégies basées sur les nouvelles directives du NIST.
Cesser d’être prévisible
Maintenant que vous comprenez comment les directives de Burr ont abouti à des mots de passe plus prévisibles, vous pouvez maintenant éviter ces problèmes en créant un mot de passe aléatoire personnalisé.
Utiliser des substitutions personnalisées
Au lieu d’utiliser des substitutions courantes (par exemple « 4 » pour « A », « $ » pour « S »), trouvez vos propres substitutions basées sur des associations qui vous sont propres. Par exemple, si votre nom commence par A et que vous êtes le troisième enfant, remplacez tous vos A par 3. Vous pouvez également remplacer tous les S par le nombre de S contenus dans le titre de votre film d’horreur préféré (par exemple « Texas Chain Saw Massacre » = 4).
Utiliser différemment les lettres majuscules
Évitez de mettre des lettres majuscules aux endroits prévisibles, comme à la première et la dernière position. Utilisez une préférence personnelle ou choisissez de mettre une lettre en majuscule là où elle facilite le plus la mémorisation.
L’utilisation d’associations d’idées personnelles facilite la mémorisation de votre mot de passe et il est plus difficile à deviner.
Créer des mots de passe longs
Plus votre mot de passe est long, mieux c’est. Un mot de passe avec beaucoup de caractères est protégé davantage contre les attaques en force brute, car cela augmente leur complexité. Vous devriez avoir huit caractères minimum. Le NIST recommande aux sites web d’encourager les utilisateurs à créer des mots de passe aussi longs qu’ils le souhaitent. Mais rappelez-vous : plus le mot de passe est long, plus il sera difficile de s’en souvenir.
Utiliser des acronymes
Utiliser des acronymes construits à partir d’une longue phrase est un bon moyen de créer un mot de passe sécurisé facile à retenir. Voici les étapes:
-
- Trouvez une phrase dont vous vous souviendrez facilement. Exemple: «Ne vendez pas la peau de l’ours avant de l’avoir tué».
- Créez un acronyme en utilisant les premières lettres de chaque mot dans la phrase. Donc, «nvplpdoadat».
- Ajoutez des chiffres et des caractères spéciaux en fonction des stratégies de substitution et de capitalisation déjà citées plus haut. Par exemple, nvplpdo3d3t% est un mot de passe fort facile à retenir.
Plus votre phrase initiale est longue et personnalisée, plus le mot de passe obtenu sera fort.
NB: « Personnalisé » ne veut pas dire personnel. N’utilisez jamais de renseignements personnels comme votre date de naissance, le nom de votre ville natale ou d’autres données qu’un pirate pourrait facilement trouver. Par exemple, une mauvaise phrase à utiliser serait « Mon anniversaire est le 15 juin 1980 ».
Utiliser une phrase secrète
Les phrases secrètes sont construites à partir de mots aléatoires reliés ensemble. Ils aident à contrecarrer les attaques de dictionnaire qui recherchent des modèles et des connexions courants. Si vous avez utilisé un générateur de nom aléatoire pour produire les quatre mots « couloir », « routine », « voyage » et « tsunami », vous pouvez créer un mot de passe avec un fort caractère aléatoire et une bonne longueur : couloirroutinevoyagetsunami. Ajoutez des substitutions inhabituelles et des caractères spéciaux et vous créez un mot de passe fort et mémorisable.
NB: certains analystes de la sécurité affirment que la force des mots clés d’une phrase secrète est moins sûre que ce que l’on pourrait penser étant donné le nombre limité de mots que la personne moyenne éduquée connaît (80 000 mots).
Utiliser la vérification en deux étapes
Si vous n’avez pas configuré de vérification en deux étapes (V2E) sur vos comptes, vous devriez le faire dès que possible. Aussi connu sous le nom d’authentification à deux facteurs, la V2E fournit une étape supplémentaire de protection en vous permettant de prouver votre identité. De nombreux systèmes V2E fonctionnent en envoyant un SMS sur votre téléphone avec un code d’accès. Après avoir entré le code, le site vous donne accès à votre compte.
Les V2E ne sont pas infaillibles à cause de la possibilité d’attaques Wi-Fi et d’hameçonnage, mais le NIST en recommande toujours la pratique.
Google a récemment annoncé le lancement de son programme V2E appelé Google Prompt pour les téléphones sous Android. La société affirme que Google Prompt est une méthode d’authentification plus facile et plus sûre que la version V2E traditionnelle.
Obtenir un gestionnaire de mots de passe
Un autre problème avec les mots de passe: environ 60% des personnes utilisent le même pour plusieurs comptes. Les inconvénients sont évidents, mais avec autant de services en ligne, la création de mots de passe uniques et mémorables n’est pas faisable.
Les gestionnaires de mots de passe gagnent en popularité car ils créent des mots de passe sécurisés que vous n’avez pas à retenir. La plupart fonctionnent en vous créant un mot de passe principal. Le logiciel vous permettra ensuite de créer et d’enregistrer plus de mots de passe pour chacun de vos comptes externes. Il va même générer des mots de passe au hasard pour vous. Si vous vous souvenez de votre mot de passe principal, vous pouvez accéder à tous vos autres mots de passe.
Pour créer des mots de passe forts, il est vraiment bien de ne pas suivre la foule. Les mots de passe sécurisés devraient être aussi uniques que vous, alors suivez les directives du NIST et gardez l’accès de vos comptes entre vos mains, pas entre celles des pirates informatiques.