Les impôts, la sécurité sociale, les opérateurs de téléphonie mobile, les réseaux sociaux et les innombrables boutiques en ligne : chacun exige son mot de passe. Très vite débordée, on cède à la facilité, et on multiplie les déclinaisons à partir de dates de naissance et de suites de chiffres. Malheureusement, cela signifie que nos données personnelles sont en danger. Notre identité, notre numéro de téléphone, nos courriers électroniques et nos coordonnées bancaires sont à la merci même du plus nul des pirates du web.
En panne d’idées
Le cerveau humain est fainéant. Quand il comprend qu’il doit phosphorer pour imaginer une nouvelle combinaison, c’est comme si toutes les lumières s’éteignaient. Selon une étude du gestionnaire de mots de passe NordPass, la plus utilisée en 2020 était « 123456 ». Comme en 2019, 2018 et probablement tous les ans depuis que le concept a été inventé ! Il faut moins d’une seconde à un pirate informatique pour pénétrer un système aussi mal gardé. Et que dire des dates de naissance ou des prénoms de nos proches ? « Les hackers les trouvent sur internet, et en particulier sur les réseaux sociaux », répond Guillaume Pigeon, spécialiste en sécurité informatique. Des associations plus complexes, comportant des arobases ou des chiffres à l’intérieur de mots faciles à retenir, notamment en rapport avec les sites internet concernés, sont-elles plus sûres ? Pas de chance : « @Monoprix1985 » ou « LaPoste35! » sont à peine mieux. « Nous avons tendance à tous utiliser les mêmes méthodes, en plaçant plus ou moins toujours les mêmes signes ou chiffres aux mêmes endroits », explique Guillaume Pigeon.
Mot de passe : trois mois de vie
D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), un mot de passe efficace doit contenir au moins 12 caractères de types différents (majuscules, minuscules, chiffres et caractères spéciaux), et ne doit avoir aucun rapport avec notre vie ou nos activités. Certains sites attribuent des mots de passe par défaut ? Fausse bonne idée : ils sont souvent trop simples à deviner pour les hackers. En cas de doute, des outils internet permettent de tester la robustesse d’un mot de passe, comme le site de Kaspersky, un éditeur de logiciels antivirus. Une fois que l’on a trouvé la clé parfaite, on est tenté de la réutiliser plusieurs fois, voire tout le temps. Mais on s’expose alors au piratage en cascade de tous nos comptes et informations. L’ANSSI est intraitable sur ce point : il faut imaginer un mot de passe différent pour chaque service que l’on utilise. Cerise sur le gâteau, on considère qu’ils sont périmés au bout de trois mois, car le risque qu’ils aient été « craqués » est trop grand.
Mot de passe : une solution phonétique ?
Des techniques permettent d’inventer des mots de passe solides et (relativement) mémorisables. À force d’étudier les cas de piratages, les experts en sécurité informatique sont arrivés à cette conclusion : les meilleurs sésames ne sont pas forcément les plus tarabiscotés. Ce sont surtout les plus longs. Il vaut donc mieux imaginer une phrase, et tout simplement coller les mots les uns derrière les autres. Les caractères spéciaux et les chiffres restent la plupart du temps obligatoires, mais il n’est plus nécessaire de se casser la tête. On peut très bien rajouter une date de naissance ou une arobase à la fin, puisque ce n’est pas cela qui fait la force de la combinaison. Autre méthode : trouver une phrase qui peut se traduire par des caractères particuliers. L’ANSSI donne l'exemple suivant : « J’ai acheté huit CD pour 100 euros cet après-midi », ce qui donne : « ght8CD%E7am ». Pas si simple ! Les mots de passe phonétiques sont difficiles à trouver, et on est rapidement tentée par des phrases bateau largement utilisées et éventées. « Je préfère la méthode qui consiste à trouver une phrase et à prendre la première lettre de chaque mot, complète Guillaume Pigeon. Cela forme un mot de passe complexe, mais avec un moyen mnémotechnique pour le retenir. »
Gestionnaire de papier
Certains logiciels proposent de générer des mots de passe et de les centraliser. Il suffit alors d’une clé unique pour accéder à tous. Rien n’est complètement impossible à pirater, et les gestionnaires OneLogin et LastPass l’ont été par le passé. Mais ces solutions pratiques restent plus fiables que beaucoup de combinaisons maison. L’Agence nationale de la sécurité des systèmes d’information recommande KeePass, le seul gestionnaire de mots de passe certifié. Reste le bon vieux carnet papier, que l’on range dans le tiroir de la commode. Les hackers n’y ont pas accès, c’est certain, mais Guillaume Pigeon n’approuve tout de même pas : « C’est très imprudent, car on ne sait pas qui peut pénétrer chez vous et s’en emparer. »
Nos informations personnelles sont précieuses, et elles intéressent beaucoup de monde. Les pirates informatiques peuvent les vendre, les utiliser pour usurper notre identité. C’est bien embêtant, mais il n’existe aucune méthode très simple pour les protéger : d’une façon ou d’une autre, il faut mettre les mains dans le cambouis de l’informatique.
3 réflexes pour vous protéger
1. Activez la double authentification. Les banques et la plupart des sites officiels la proposent. En plus d’un mot de passe, on doit renseigner un code envoyé par SMS ou utiliser son empreinte digitale.
2. Méfiez-vous du navigateur. On vous suggère d’enregistrer votre mot de passe pour la prochaine fois ? Évitez, car sinon toutes les personnes qui utilisent cette cession informatique accéderont à vos informations.
3. N’enregistrez pas votre carte bancaire sur un site marchand. Cette option vous est très souvent proposée. Refusez-la pour la même raison.
A lire aussi :
⋙ Mon ordinateur a des bugs, que faire ?
⋙ Facebook : 3 astuces pour se protéger du piratage
⋙ Arnaque : attention aux faux sites bancaires
Adieu Touch Bar, je ne te regretter...
Caddy, l'unique serveur web à utili...
Burkina Faso / Gabon (TV / Streamin...
Ce que le futur du travail ne sera...