Les mots de passe sont souvent le talon d’Achille des systèmes informatiques, chez les particuliers comme dans les entreprises. En effet, comme ils se multiplient, on a du mal à les mémoriser et de nombreux internautes optent pour des mots de passe courts faciles à retenir, utilisant les mêmes mots de passe pour plusieurs services. Et ce sont les hackers qui sont contents : en devinant ou en « crackant » un mot de passe, ils accèdent à des données sensibles, pouvant aller jusqu’à prendre le contrôle du système informatique d’une société. Dans cet article, nous vous présentons les bonnes pratiques à adopter en matière de mots de passe, indispensables pour éviter les cyberattaques.
De l’importance du choix des mots de passe pour les particuliers
Souvent, les internautes considèrent le choix d’un mot de passe comme une simple formalité, souvent contraignante. Or, les mots de passe sont extrêmement précieux : ce sont des sésames qui donnent accès à vos informations confidentielles, même sur les services les plus anodins. Par exemple, en volant le mot de passe qui vous sert à accéder à votre site de vente en ligne favori, les hackers peuvent obtenir votre nom et adresse, votre date de naissance, et, pire encore, vos coordonnées bancaires. Sur un site administratif, il pourrait obtenir votre numéro de sécurité sociale.
Et ces informations se vendent très vite sur le Dark Web : un numéro de sécurité sociale s’achète pour 1 dollar, et un numéro de carte de crédit pour une vingtaine de dollars.
Comme de nombreux internautes choisissent la facilité en termes de mots de passe, comme une date de naissance, le nom d’un animal de compagnie ou une suite de caractères simple, les pirates n’ont souvent pas à faire beaucoup d’effort pour deviner un mot de passe : rien qu’en parcourant un profil Facebook public, ils peuvent en savoir beaucoup sur vous, et utiliser ces informations pour tenter de pénétrer dans un de vos comptes. Mais beaucoup de hackers ne s’en donnent même pas cette peine : ils utilisent des attaques par force brute, utilisant des programmes informatiques qui essaient toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe.
Les bonnes pratiques en termes de sécurité des mots de passe pour les PME
Un mot de passe par service. C’est une mesure essentielle : elle évite que, en cas de perte ou de vol d’un mot de passe, tous les services et sites sur lequel vous l’utilisez soient en danger.
Des mots de passe longs et complexes. La meilleure façon d’éviter les attaques par force brute est de créer des mots de passe qui contiennent au minimum 12 signes et qui mélangent plusieurs types de caractères : majuscules, minuscules, chiffres et caractères spéciaux.
Des mots de passe impossibles à deviner. Au lieu de recourir à la technologie, certains pirates tentent de deviner les mots de passe en fouillant dans les données disponibles sur vos réseaux sociaux : date de naissance, prénom d’un animal de compagnie ou d’un enfant, groupe de musique favori, etc. Choisissez donc un mot de passe qui ne dit rien de vous ! Mais parfois, les hackers n’ont pas à faire trop d’efforts : de nombreux internautes choisissent des suites de caractères courantes, comme 123456 ou azerty… À éviter à tout prix !
Un mot de passe particulièrement fort pour votre messagerie. Bien souvent, la messagerie email est associée à de nombreux services, et vous permet de recevoir des liens de réinitialisation de vos autres comptes. Autant dire que si un pirate réussit à mettre la main sur votre mot de passe Gmail, c’est la catastrophe ! Il pourrait réinitialiser vos mots de passe et contrôler vos comptes.
La double identification. Quand c’est possible, activez la double authentification ; ainsi, vous serez prévenu par SMS ou email quand quelqu’un tente de se connecter à un de vos comptes. Vous pourrez ensuite leur refuser l’accès.
Des mots de passe qui changent. Si un des services que vous utilisez s’est fait pirater, ou si vous pensez qu’un de vos comptes est en danger, changez immédiatement de mot de passe. Mieux vaut prévenir que guérir !
Des mots de passe à conserver dans votre tête. N’écrivez jamais vos mots de passe, ni sur du papier ni sur un fichier informatique. Évidemment, le problème, c’est que les mots de passe forts sont extrêmement difficiles à mémoriser… vous pouvez utiliser un gestionnaire de mot de passe, comme nous vous l’expliquons ci-dessous, ou utiliser un moyen mnémotechnique. Par exemple, mémorisez une phrase et utilisez la première lettre de chaque mot pour créer un mot de passe, en ajoutant chiffres et caractères spéciaux.
Les outils de gestion des mots de passe : utile ou pas ?
Comme retenir des dizaines de mots de passe longs et complexes est impossible, il faut absolument résister à la tentation de les noter sur un support papier ou de faire un copié-collé dans un fichier sur votre ordinateur ou smartphone : c’est bien trop risqué ! À la place, IPE vous conseille d’utiliser un gestionnaire de mots de passe.
Un gestionnaire de mots de passe, c’est un logiciel qui fonctionne grâce à une extension installée sur votre navigateur web. Il permet d’importer tous vos mots de passe, automatiquement ou par saisie manuelle. Il évalue le niveau de sécurité de chaque mot de passe : libre à vous ensuite de les conserver ou de les changer. Votre gestionnaire vous proposera alors un mot de passe fort, créé automatiquement avec un générateur intégré, qui répond aux critères de chaque site (avec ou sans chiffres et caractères spéciaux, par exemple). Et, lorsque vous créez un nouveau compte sur un site ou service, votre gestionnaire vous propose un nouveau mot de passe.
Avec un générateur de mots de passe comme 1 Password, KeePass ou Myk, vous n’avez à mémoriser qu’un seul mot de passe : votre mot de passe maître, qui contrôle tous vos autres mots de passe, et que vous devez indiquer à au démarrage de votre ordinateur ou lorsque vous vous connectez à un service. Ensuite, le gestionnaire s’occupe de tout : il pré-remplit les champs identifiant et mot de passe de chaque site.
Le mot de la fin
En choisissant des mots de passe solides et en suivant nos conseils, vous gagnerez en sérénité et en sécurité. Pour les entreprises, qui doivent gérer des dizaines d’utilisateurs et de mots de passe, cela ne sera peut-être pas suffisant : faire appel à l’équipe d’experts d’IPE est une bonne façon de mesurer la fiabilité de vos mots de passe, et de bénéficier de recommandations adaptées à vos besoins.
