Politique de sécurité des mots de passe

Le mot de passe tient son origine du besoin des militaires de se reconnaître. Ainsi, on trouve dans le manuel “Devoirs du soldat” de 1825 les consigne suivantes :
Question: Quand la sentinelle est isolée, qui doit reconnaître les rondes ou patrouilles ?
Réponse: La sentinelle doit les reconnaître elle-même, suivant l’ordre de la place.
Q: Quel est l’usage accoutumé pour cette reconnaissance ?
R: Que la sentinelle fasse avancer au mot de ralliement après qu’on lui a répondu ronde ou patrouille.
Q: Que doit faire la sentinelle, si c’est une patrouille qui vient à elle ?
R: Elle doit crier: Halte la troupe ! chef de patrouille, avancez au mot de ralliement !
Q: Que doit faire la sentinelle, si c’est une ronde ?
R: Elle doit crier: Avancez au mot de ralliement.
Q: Que doit, dans tous les cas, faire la sentinelle ?
R: Elle doit toujours croiser la bayonnette lorsqu’elle reçoit le mot, et ne doit jamais se laisser dépasser par la personne qui le lui donne.

Le Littré de 1880 donne comme définition de “ralliement” : mot qu’on donne après avoir reçu le mot d’ordre. Il s’agit donc d’un échange codifié, avec un secret partagé que les deux parties doivent connaître. “L’officier qui commande la troupe est obligé de venir donner le mot de l’ordre et de reconnaissance à celui qui le reconnaît. L’officier de la troupe arrêtée est obligé de prononcer le premier des deux noms, et celui qui reconnaît est obligé de prononcer l’autre, de crainte de surprise.” (Manuel du Garde national, Paris, an 2.)

Dans la littérature, les mots de passe sont utilisés pour s’identifier à l’entrée d’une porte discrète, lors de réunions secrètes. Dans la pièce de théâtre Hernani de Victor Hugo, le mot de passe des conjurés (acte IV scène3) est Ad Augusta per Angusta (Vers les sommets par des chemins étroits).

L’inventeur du mot de passe de l’ère informatique est Fernando Corbató qui a mis au point cette technique dans les années 60 pour sécuriser l’utilisation de son système d’exploitation à temps partagé CTSS. Il est mort en juillet 2019, et portait vers la fin de sa vie un regard critique sur son invention : il estimait cette pratique largement faillible, et que la gestion des mots de passe était devenue un cauchemar. Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

A l’aube de l’utilisation massive de la biométrie, le mot de passe reste pourtant souvent le seul rempart de protection pour l’accès à des données sensibles. Ainsi, il est important dans chaque organisme (cabinet d’avocat ou grande entreprise), de réfléchir à la sécurité des mots de passe. Je partage ici avec vous la politique de gestion des mots de passe que je préconise, mélange de réalisme et de vœux pieux. Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.

Utilisez un mot de passe suffisamment long et complexe

Une technique d’attaque répandue, dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, je recommande qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant au moins trois des quatre types de signes suivants : des majuscules, des minuscules, des chiffres ou des caractères spéciaux (comme par exemple !#?%). Cette recommandation est conforme aux préconisations 2018 de la CNIL et de l’ANSSI.

Le mot de passe doit être complexe, mais facile à retenir. Nous allons voir comment arriver à surmonter cette difficulté. Voici par exemple, trois méthodes pour choisir simplement des mots de passe complexes :

  • La méthode phonétique : « J’ai acheté dix cd pour cent euros cet après-midi » deviendra « ght10CD%E7am » [1]
  • La méthode des premières lettres : la phrase « Créé en 1971, le 44e a pour devise Rien ne craint que le silence » donnera « Ce1,l4apdRncqls » [1]
  • La méthode de l’association de 4 mots choisis au hasard et séparés de caractères spéciaux : « Lunettes:Ballons#Chat_Rouge » [1]. Cette méthode s’appelle « phrases de passe », et est très efficace et permet de créer une suite bien plus difficile à déchiffrer qu’un mot de passe compliqué « classique ».

Ainsi choisi, votre mot de passe est très difficile à deviner. Vous pouvez bien entendu inventer votre propre méthode connue de vous seul (poème, proverbe, chanson…).

Utilisez un mot de passe différent pour chaque site

Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seront piratables. Lorsqu’un pirate arrive à récupérer l’un de vos mots de passe, il va le tester (de manière automatique) sur un grand nombre de sites : messageries, sites bancaires, sites d’achat, etc.

OK, donc un mot de passe différent par site. Mais comment faire ? Je vous recommande la procédure suivante :
[edit du 16/10 : recommandation modifiée grâce à vos commentaires]

  • Choisissez un mot de passe « racine », selon l’une des méthodes évoquées précédemment, par exemple « Ce1,l4apdRncqls » [1]
  • Ajoutez, dans ce mot de passe « racine », une ou deux lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « aP » pour ugap.fr, en 5e position, ce qui donnerait « Ce1,aPl4apdRncqls » [1]

C’est tout, c’est simple, c’est facile à retenir et cela fait un mot de passe différent pour chaque site.

Changez votre mot de passe au moindre soupçon

Je ne préconise pas le changement régulier des mots de passe (tous les ans, tous les semestres, tous les 90 jours…) car cela fragilise la sécurité du système d’information et de plus en plus de RSSI pensent la même chose (cf https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ). En effet, lorsqu’un utilisateur est forcé de changer régulièrement son mot de passe, il y a de fortes chances que le nouveau mot de passe soit similaire à l’ancien. Les attaquants savent exploiter cette faiblesse. Le nouveau mot de passe a de grande chance avoir été utilisé ailleurs, et les attaquants le savent aussi. Le nouveau mot de passe est également plus susceptible d’être noté, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d’être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs dont les comptes sont verrouillés et pour les centres de service qui doivent réinitialiser leurs mots de passe.

C’est un scénario de sécurité contre-intuitif : plus les utilisateurs sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système.

J’ai donc demandé à mon service informatique de ne pas forcer l’expiration régulière des mots de passe. Nous croyons que cela réduit les vulnérabilités associées à l’expiration régulière des mots de passe tout en faisant peu pour augmenter le risque d’exploitation à long terme des mots de passe. Les attaquants peuvent souvent trouver le nouveau mot de passe, s’ils ont l’ancien. Et les utilisateurs, forcés de changer un autre mot de passe, choisiront souvent un mot de passe “plus faible” pour ne pas l’oublier.

Mais si vous avez un doute sur la sécurité d’un de vos comptes ou si vous entendez qu’une organisation ou une société chez qui vous avez un compte s’est faite pirater, n’attendez pas de savoir si c’est vrai ou pas : changez immédiatement le mot de passe concerné avant qu’il ne tombe dans de mauvaises mains. Ne pas être obligé de changer son mot de passe régulièrement ne signifie pas que vous ne devez jamais en changer : au moindre doute, changez votre mot de passe.

Méfiez-vous par exemple des smartphones qui pourraient, lors d’une présentation publique, vous filmer pendant que vous tapez votre mot de passe…

Utilisez un gestionnaire de mots de passe

N’écrivez jamais un mot de passe en clair sur une feuille de papier, dans un carnet ou dans un fichier Excel (même protégé par un mot de passe). Les pirates connaissent toutes les astuces communément mises en place par les utilisateurs : par exemple, un code de carte bancaire sera souvent noté dans un carnet d’adresse sous la forme d’un numéro de téléphone…

Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie, ou dans un fichier non protégé de votre ordinateur ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe protégeant votre gestionnaire de mots de passe et qui permet d’en ouvrir l’accès.

Je vous recommande le logiciel KeePass. Ce logiciel libre et en français, certifié par l’ANSSI (dans une ancienne version, mais bon), permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Le logiciel est disponible dans les environnements Windows, MacOS, GNU/Linux, Android, iOS, BlackBerry, Windows Phone, ChromeOS, PalmOS… Il existe également en version ne nécessitant pas d’installation qui peut être placée sur une clef USB, ou un partage de fichiers (OneDrive…) pour être synchronisée entre plusieurs ordinateurs.

Ne communiquez jamais votre mot de passe à un tiers

Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique ». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une tentative de piratage ou d’escroquerie.

Inversement, si un tiers vous fournit un mot de passe (le service support informatique par exemple), ce mot de passe doit être considéré comme provisoire et changé rapidement par l’utilisateur.

Le tiers le plus dangereux est le collaborateur proche. Il arrive qu’un VIP confie son mot de passe à son assistant “parce que c’est plus pratique” et qu’il travaille avec cette personne en toute confiance. Le problème vient que cet assistant peut parfaitement utiliser ce mot de passe pour son propre compte, et de fils en aiguilles pour un site personnel associatif peu sécurisé… Un pirate cible toujours les plus proches collaborateurs de sa cible principale.

Ne mémorisez pas vos mots de passe sur un ordinateur partagé

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre : utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques ; veillez à bien fermer vos sessions après utilisation ; n’enregistrez jamais vos mots de passe dans le navigateur.

Activez la « double authentification » lorsque c’est possible

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez, par exemple, autoriser un nouvel appareil à se connecter aux comptes protégés ou autoriser une transaction bancaire.

Exemples (non exhaustifs) de services répandus proposant la double authentification :
⦁ Office365, Gmail, Yahoo Mail…
⦁ Facebook, Instragram, LinkedIn, Twitter…
⦁ Skype, WhatsApp…
⦁ Amazon, eBay, Paypal…
⦁ Apple iCloud, Dropbox, Google drive, OneDrive…

Protégez en particulier votre messagerie

Une attention particulière sera apportée à la sécurisation de la boite email professionnelle, cible particulière des pirates souhaitant prendre le contrôle de tous les comptes associés à cette adresse email. En effet, une fois la boite email contrôlée, le pirate peut facilement déclencher les procédures d’oubli de mot passe, procédures qui envoient en général un lien de saisie d’un nouveau mot de passe vers l’adresse email.

Si vous disposez de plusieurs boites emails (professionnelles, personnelles, etc.), je vous recommande de relever séparément ces différentes boites, chacune ayant un mot de passe différent, et d’éviter le renvoi des emails vers une boite unique (dont le contrôle par un pirate deviendrait alors encore plus critique).

Votre mot de passe de messagerie est donc l’un des mots de passe les plus importants à protéger.

Bibliographie :

Recommandations de la CNIL
Recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
The problems with forcing regular password expiry
The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!
Fiche pratique – Comment bien gérer ses mots de passe


[1] Ne pas utiliser les mots de passe de ce billet, qui ne sont donnés qu’à titre d’exemple.

43 réflexions sur « Politique de sécurité des mots de passe »

  1. Merci pour cet article. Avec lequel je suis en très grande partie d’accord.
    Juste une question sur le conseil “je vous recommande de relever séparément ces différentes boites”.

    En quoi cela améliore t’il la sécurité ?

    Et merci pour ce blog !

    • Je ne suis pas très clair sur le sujet dans le billet. Ce que je veux dire est qu’il faut éviter de fowarder tous ses emails vers une seule boite, car si cette dernière se fait trouer, tous vos comptes sont compromis.

  2. Quelque remarques.

    1. La technique “mot de base + préfix en fonction du site” fait en sorte que, fondamentalement, tous les morts de passe sont les mêmes, à variation trivialle près.

    2. Le conseil “utilisez un gestionnaire de mot de passe” annule tous les autres conseils. À partir du moment où on utilise un gestionnaire, autant le laisser générer les mots de passe, et hop. Un complètement différent à chaque fois.

    3. Le conseil “longueur et mélanger les alphabets” est très surévalué. Un mot de passe de longueur 12 dans un alphabet de 72 symboles totalement mélangés (ce qui est nettement mieux que ce qui préconisé ici) est un peu moins bon que seulement 16 lettres minuscules (72^12 < 26^16).
    Donc le bon conseil est LONGUEUR et non MÉLANGE. Personnellement les mots de passe sont "20 lettres minuscules totalement mélangées" auquelles j'ajoute éventuellement "1A." pour respecter les règles.
    De plus, si un jour il faut taper le mot de passe à la main ou sur un clavier autre que celui auquel on est habitué … hum … les caractères spéciaux rendent l'opération pratiquement impossible.

    Je pense que "gesionnaire" est la seule bonne réponse au problème des mots de passe.

    • Dans un monde idéal où tous les utilisateurs suivraient à la lettre les recommandations du RSSI, oui. Dans la pratique, il me semble important de fournir une politique de mot de passe qui soient valable pour tous, y compris pour ceux qui ne choisissent pas d’utiliser un gestionnaire de mots de passe.

  3. Un point peut-être à rajouter, si les mots de passe se font si facilement attaquer…c’est aussi parce qu’on laisse la liberté aux hackers de tester toutes les combinaisons possibles et imaginables et ce ad vitam aeternam…!

    Donc, je rajouterai, un verrouillage du compte au bout de quelques tentatives (3 à 5) infructueuses, au moins John n’ira pas plus loin ! (a condition d’être admin du compte, bien entendu…)

    • La politique des mots de passe s’adresse aux utilisateurs. Elle s’adresse aussi aux administrateurs, mais ceux-ci ont d’autres contraintes.

  4. Je m’étonne du conseil d’utiliser le même mot de passe “racine” pour chaque site en y ajoutant 2 lettre du site.
    Si un attaquant tombe sur un mot de passe pour facebook du genre “fbDSFG;543” je pense qu’il trouvera bien vite le mot de passe de gmail ou instagram correspondant.

    • Il s’agit d’un conseil et d’un exemple. Rien n’interdit à l’utilisateur de choisir une autre astuce, ou un autre moyen mnémotechnique. L’objectif est ici de rassurer l’utilisateur quand vous lui dites qu’il faut un mot de passe différent pour chaque site. Les plus aguerris choisiront des mots de passe complètement aléatoires générés par le gestionnaire de mots de passe. La sécurité informatique est toujours relative et mon objectif réaliste est de la faire progresser, pas d’arriver en une fois au sommet pour tout le monde.

    • Tout dépends du modèle de menace et de l’attaquant.

      Un attaquand ne “tombe” pas sur un mot de passe, si c’est une attaque ciblée contre cette personne alors c’est une question de moyen de l’attaquant (pas pareil si c’est la NSA/CIA/FSB que si c’est un ado jaloux) et si les moyens mis en oeuvre permettent de trouver un mot de passe alors les autres mots de passes ne sont probablement pas à l’abri non plus. Mais ce n’est pas le cas courant.

      Le cas courant c’est une fuite de longues listes de mots de passe et de script automatisés qui vont rééssayer tel quel chaque mot de passe de cette liste sur d’autres sites. En changeant 2 lettres, ça suffit pour ne plus être dans le champ de ce genre d’attaques automatisées. C’est donc une technique efficace en pratique même si elle est insuffisante face à une attaque ciblée.

  5. > “Ajoutez, devant ou derrière ce mot de passe « racine », les premières lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « Ug » pour ugap.fr, ce qui donnerait « UgCe1,l4apdRncqls »”

    Je vous prierai de ne jamais faire ça, autant ne rien faire … Sinon, un pirate trouve votre premier mot de passe, ensuite il remplace le “Ug” par “Gm” et ça y est, il a le mot de passe de votre compte Gmail, donc c’est inutile.

    Et comme toujours, on retrouve la contradiction d’un mot de passe facile à retenir tout en utilisant un service qui les retient pour vous.

    Si on résume: gestionnaire de mots de passe, un point c’est tout.

    Désolé, mais j’ai toujours été en grippe avec ce genre d’articles, il faut arrêter de promouvoir des mots de passes que l’on peut retenir facilement (à par le mot de passe maître du gestionnaire que l’on utilise).

    • Je suis désolé que vous n’aimiez pas ce genre d’articles. De mon côté, je souris quand je lis “il faut arrêter de promouvoir les mots de passe que l’on peut retenir facilement”. Je préfère discuter avec les utilisateurs, prendre en compte leur comportement et leurs défauts, et faire avec.

    • “Si un pirate trouve votre premier mot de passe”…
      C’est bien connu, dès lors qu’on donne dans la piraterie informatique on trouve des mots de passe juste en se promenant dans les bois.
      Soyons réalistes, si le mot de passe se trouve dans la nature suite à une fuite, il sera l’objet de traitements automatisés, le “pirate” qui est dans ce business le fait pour y gagner quelque chose. Si il n’a pas fuité, le “pirate qui arrive a trouver ce premier mot de passe, pourra certainement faire de même avec les autres.

      Au lieu de prendre un exemple qui va dans le sens de votre démonstration, prenons en deux autres utilisant la même technique et toujours le mot de passe: Ce1,l4apdRncqls.

      uCe1,l4apdRncqlsp
      et
      PuCe1,l4apdRncqls

      Je souhaite bonne chance au “pirate” pour comprendre qu’il s’agit d’un mot de passe qui est dérivé pour chaque site en fonction du site.
      Et ça permets pour un moindre effort de mémoire supplémentaire d’avoir des mots de passes différents pour chaque usage tout en s’affranchissant des aléas de dépendre d’un logiciel externe pour avoir accès à ses mots de passe.

      Si le gestionnaire de mots de passe a des avantages, il ne faut pas oublier qu’il a aussi des inconvénients notamment et non des moindres d’instaurer une dépendance totale qui peut avoir des conséquences catastrophiques.
      Exemple: lors d’un déplacement, l’appareil qui contient le gestionnaire de mot de passe tombe en panne (tombe par terre, liquide renversé, plus de batterie, est volé, etc.), saurez vous vous connecter au site de réservation du logement, au site des billets de transports, à votre boite mail, etc. ?

      En matière de mots de passe, il n’y a pas de panacée. Le gestionnaire de mot de passe pas plus qu’un autre. Vouloir imposer une approche plutôt qu’une autre c’est contre productif.

  6. “Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.”

    C’est pas beaucoup, c’est énorme.
    Ou alors c’est beaucoup pour un seul homme.

  7. C’est beau. Utopiste mais bon…
    Pour moi, avant d’éduquer les utilisateurs (coût cognitif, toussa), faudrait éduquer les administrateurs (mots de passe en clair, sécurité insuffisante, 2FA mal implémentée, etc.).
    C’est comme préconiser des parfums pour cacher la mauvaise odeur corporelle, avant de préconiser de se laver.
    Je suis personnellement contre les politiques de mot de passe complexe : https://www.parigotmanchot.fr/2013/01/07/mais-laissez-moi-choisir-mon-mot-de-passe-bordel/ (vieillerie perso mais toujours dans ma ligne de conduite)…
    Bref, quand tous les admins seront aussi sérieux qu’on veut faire devenir les utilisateurs, ça sera le paradis, en attendant…

    • Hélas, quand on est RSSI, on doit mettre en place une politique de gestion des mots de passe qui s’applique à tous, utilisateurs comme administrateurs. Il faut aussi admettre qu’on ne sera pas écouté, que tout ce que l’on dit ne sera pas respecté, etc. Pour autant, il faut garder le cap et essayer d’améliorer le niveau de sécurité, de protection, de continuité de service. Bref, en attendant, il faut essayer…

    • Toutes les idées sont bonnes à prendre, mais j’ai du faire des choix. Keepass intègre un générateur de mots de passe, donc autant faire la promotion d’un seul outil, par soucis de simplification.

  8. Bonjour Zythom et merci pour cet article.

    J’utilise une solution très proche du mot de passe racine avec une transformation en fonction du site. Je trouve cela très pratique. Un mot de passe différent à chaque situation que je retrouve automatiquement sans avoir à m’en souvenir.
    Sauf que j’ai dû changer un mot de passe à cause d’un soupçon de fuite. Et là, toute ma pratique s’est effondrée. Si je change uniquement ce mot de passe, ma reconstruction des mots de passe ne fonctionne plus, car elle retombe sur l’ancien mot de passe à changer (même mdp racine, même transformation). Soit je change mon mot de passe racine uniquement pour ce nouveau mot de passe (même problématique pour le reconstruction automatique). Soit je change mon mot de passe racine pour TOUS mes mots de passe et je dois changer TOUS mes mots de passe pour un soupçon de fuite…

    Est-ce que vous avez une idée pour optimiser cette situation ?

    François

    • C’est la limite de l’exercice et de cette méthode. Si la construction du mot de passe est trop évidente, la fuite d’un mot de passe compromet tous les autres. Dans ce cas, il faut hausser le niveau de sécurité et vous êtes mûr pour psychologiquement accepter le gestionnaire de mots de passe (keepass) et son générateur aléatoire de mots de passe. Vous n’aurez plus qu’un seul mot de passe à connaître.

  9. Je rejoins Laurent sur sa remarque concernant l’ajout de caractères spéciaux, ça complique inutilement la vie de l’usager par rapport à un mot de passe à peine plus long sans ces caractères.
    voir par exemple cette explication: https://n.survol.fr/n/developpeurs-vous-devriez-avoir-honte-regles-de-mots-de-passe

    Utiliser a-z A-Z et 0-9 fournit suffisament d’entropie sans pour autant risquer de causer des surprises lorsqu’on se retrouve avec un clavier Bepo, dvorak, qwerty ou apple, ou bien lorsque l’on est en situation d’urgence/dépannage et que le système est utilise le mapping qwerty par défaut. C’est déjà suffisamment alambiquée de devoir faire la conversion sans avoir à rajouter des caractères qui nécéssitent des combinaisons de touches ou qui n’existent tout simplement pas (caractères accentués notamment).

    • Certains utilisateurs sont TRES sensibles à la longueur d’un mot de passe, il me faut bien en tenir compte. Le fait d’avoir au moins un caractère spécial ajoute beaucoup de difficultés aux crackeurs de mots de passe que j’ai pu tester.

    • En me relisant je constate que je me suis mal exprimé. Je vais reprendre de manière plus explicite: dès lors que le mot de passe à une longueur de 9 ou plus, utiliser a-z A-Z 0-9 ou a-z A-Z 0-9 et les caractères spéciaux ne change pas significativement le coût pour craquer le mot de passe par une attaque brute force.

      Ajouter les caractères spéciaux au dictionnaire n’apporte rien sinon de la compléxité pour l’usager, l’éfficacité des caractères spéciaux est limitée aux mots de passe de 8 caractère de long et moins.

      L’autre point est que, toujours face à une attaque brute force, un mot de passe a-z n’a besoin que d’avoir 2 caractères de plus qu’un mot de passe a-z A-Z 0-9 et caractère spéciaux pour offrir la même résistance au brute force. À condition que le mot de passe fasse ait une longueur d’au moins 12.
      En clair un passe a-z de 14 de long est aussi résistant au brute force qu’un a-z A-Z 0-9 +-% de 12 de long.

      Vu le gros potentiel des caractères spéciaux a aggraver significativement les cas qui sortent de l’usage courant, et le gain non significatif qu’ils apportent. À mon sens il vaut mieux les éviter (du moment que le mot de passe fait au moins 12 caractères de long).
      Je fais une exception pour l’espace car la barre d’espace se trouve facilement sur tout les claviers et que certains usagers préfèrent faire des phrases dès qu’on demande une certaine longueur dans le passe.

      Bien évidemment les deux approches offrent des résultats similaires, c’est fonction des préférences personnelles et du modèle de menace de chacun.

    • Il suffit de donner le choix aux utilisateurs : mots de passe de 12 caractères au moins, et respectant 3 des 4 conditions suivantes :
      – au moins une majuscule
      – au moins une minuscule
      – au moins un chiffre
      – au moins un caractère spécial
      du coup, tout le monde est content !

  10. pour compléter la méthode des mots choisis au hasard, je pense qu’il faut préciser que nous humains ne sommes pas bons pour choisir au hasard et qu’il vaut mieux déléguer à un outil comme https://diceware.com/

    il faut aussi moduler cette méthode en précisant que les craqueurs de mots de passe modernes comme hashcat sont très efficaces avec l’utilisation des dictionnaires de mots, il est possible que 4 mots ne soit plus suffisant aujourd’hui.
    https://www.netmux.com/blog/cracking-12-character-above-passwords

  11. Bonjour,
    je rajouterai une petite option. N’hésitez pas à utiliser vos connaissances linguistiques. Ainsi un mot de passe aussi basique que “1234” peut devenir “EttTwoTroisVier” (Suédois + anglais + français + Allemand). Bon pour l’Allemand j’ai regardé sur Internet car je ne connais pas la langue. Personnellement j’utilise des mots d’une autre langue, assez rare, dont j’ai des rudiments. Mais je ne vais pas l’utiliser ici. Avec ce type de technique, les attaques par dictionnaire vont avoir du mal, surtout si vos sortez des langues standards et que vous rajoutez des chiffres et des caractères spéciaux. Un truc comme “Ett4Two3Trois2Vier1” risque de laisser perplexe un hacker qui utiliserait une cracker intelligent. Et alors là, pour coup vous pouvez même utiliser le nom du site comme mot de passe. Ainsi, le mot de passe de votre banque peut commencer par 6AHK (Banque en Russe. Là encore merci Internet).

  12. “Le nouveau mot de passe est également plus susceptible d’être noté,”
    Enfin un admin qui tient compte du facteur humain.
    Sincèrement, combien de geek sont allé voir un psychologue avant de créer leur système de mot de passe et leur ont demandé:
    “je vais demander à des humains de mémoriser une suite de chiffres et de lettres. Comment puis-je faire pour qu’ils le fassent sans difficulté?”

    “Apprenez à utiliser un gestionnaire de mot de passe”
    Le truc me met mal à l’aise.
    En gros c’est un machin qui vous fournit tout vos mots de passe si vous entrez le mot de passe “principal”. Mais si le pirate trouve le mot de passe principal, on l’a dans l’os, non?

    • Oui. N’oubliez pas que si le pirate trouve votre mot de passe de messagerie, dans tous les cas, vous l’avez dans l’os également.

  13. Note à tous : je modifie le billet (et mon document de politique de sécurité des mots de passe) sur l’aspect “2 caractères du nom du site en début de mot de passe racine”, pour une personnalisation plus discrète. Merci pour les échanges.

    • La méthode du mot de passe racine est dangereuse, même si on met le salt non pas en suffix/prefix mais en milieu de mot.

      Il faut séparer les mots de passes important (messagerie principale, comptes importants) des autres. Les mots de passe important ne doivent JAMAIS être similaire. Pour les autres, osef, on peut utiliser une racine ou le même mot de passe.

  14. tiens, tiens tiens.
    j’me suis fait pirater mon compte google pas plus tard qu’hier. Le compte principal, évidemment, sinon c’est pas drôle. Pour le coup, merci la 2FA imposée par google.
    Pourtant, je peste contre la 2FA et je la refuse très fréquemment. Elle utilise un appareil pour m’identifier, mais le jour où je perds un appareil, je l’ai dans le baba, n’est-ce-pas ? Et à partir de là, je peux toujours me brosser pour récupérer mon compte auprès de mon site de vente préféré pour simplement racheter le matériel.
    Un portable c’est bien pour la 2FA, on l’a toujours sur soi. Mais en l’ayant toujours sur soi où qu’on aille, y a pas meilleur moyen pour le casser/noyer/se le faire voler.

    Je prends note des manières d’utiliser un mot de passe à peine différent sur plein de services.
    Parce que non, un gestionnaire n’est pas une solution absolue, je vais pas avoir une clef usb dans la poche chaque fois que je sors. Je sais déjà que je l’oublierai un jour, je serais fou de me croire à l’abri d’un oubli. Keepass me gère bien 70 comptes, mais il y en a toujours que je veux avoir accessibles les mains vides, partout.

    En bref, je veux des comptes en ligne, mais je ne veux pas que mon existence en ligne devienne dépendante de matériels à la fiabilité incertaine (une clef usb, parce qu’elle est facile à perdre, est incertaine).
    toutefois, quand il y a de l’argent en jeu, c’est keepass et c’est tout.

  15. Personnellement, j’ai un «gestionnaire de mot de passe» sous la forme d’un fichier texte brut, chiffré avec Vim (blowfish). Vim chiffre automatiquement à la fermeture. Le tout est sur un disque dur chiffré par ailleurs.

    Avantage contre un gestionnaire de mot de passe : je travaille sur un fichier texte brut, et j’ai donc plus de liberté pour ajouter des notes, des commentaires comme je le sent. Les mots de passe sont générés par un simple script en python (non, pas random.random).
    Pour retrouver mes mots de passe, je n’ai besoin que de Vim. Donc je n’ai pas une grosse dépendance.

    Ce mécanisme est solide contre la perte de mes objets (ordinateurs, disque durs). C’est par contre pas très solide contre le vol de l’ordinateur allumé, parce que Vim est souvent ouvert avec mon fichier de mot de passe déchiffré en clair. Ce n’est pas solide non plus contre “regarder par dessus l’épaule”, et donc contre les caméras de surveillance dans les lieux publics.

    Ah oui, et point important non abordé ici : j’ai un séparation TOTALE des mots de passes privés et professionnels. Totale. Mon disque dur personnel ne contient AUCUNE information professionnelle.

  16. “C’est tout, c’est simple, c’est facile à retenir” ????
    C’est “simple” ????
    Bon, je dois avoir un cerveau trop obtus…

    • C’est parce que vous lisez un exemple de mot de passe construit par quelqu’un d’autre. Choisissez vous-même un poème, un proverbe ou une chanson, et construisez votre mot de passe. La première fois, c’est un peu long, la deuxième c’est déjà plus rapide, et ensuite, c’est facile et simple 🙂

  17. Je bloque sur les gestionnaires de mot de passe (sauf quelques exceptions) pour deux raisons:
    1- si le pirate trouve le mot de passe principal, tous mes comptes sont compromis. Alors que s’il pirate un de mes mots de passe email, un seul compte est compromis. Cloisonnement 😉
    2- j’ai confiance en l’informatique 😛 et en la capacité du gestionnaire de mot de passe à planter dans les grandes largeurs. Paumant tous mes mots de passe au passage.

    Curieusement, je reviens parfois aux mots de passe écrits sur papier (donc non accessible par le net), rangées dans un endroit caché, écrits avec l’écriture la moins lisible possible et avec quelques variantes. En général le mot de passe est écrit dans un document dans lequel beaucoup d’autres caractères sont susceptibles de former un mot de passe. Je n’ai qu’à retenir la position des lettres.
    Jamais utilisé ça au boulot ceci dit. Là je me conforme aux règles de la boite.

    Je plussois sur l’intérêt d’éviter les caractères spéciaux en dehors de ceux présents sur tous les claviers ()!?.$ etc. Ceux qui ont eu à déboguer un clavier azerty devenu qwerty comprendront :D.

    • Ce qui est bien avec Keepass, c’est que vous pouvez justement cloisonner : avoir une base de mots de passe pour votre vie professionnelle, une autre base pour votre vie privée, et encore une autre base pour votre vie numérique. Chaque base étant protégée par un mot de passe principal différent.

      Quant aux caractères spéciaux, si vous ne souhaitez pas en mettre dans vos mots de passe, libre à vous : 3 signes à choisir parmi 4 types de signes, et hop, c’est réglé. Liberté !

  18. J’ai personnellement horreur des gestionnaires de mot de passe qui sont, à mon avis, la pire des solutions exception faite de toutes les autres…

    Nous sommes tous conscient que plus un mot de passe est compliqué, et plus il est réutilisé par les utilisateurs. Maintenant, l’utilisation de mots de passe composé d’une racine et d’une partie variable est, de mon expérience, également une mauvaise idée. J’ai des utilisateurs qui ont plusieurs dizaines de mot de passe compromis associés à leur adresse mail. Il n’est vraiment pas difficile d’extraire les racines les plus fréquemment utilisés et l’emplacement et la longueur des parties variables. À partir de là, un pirate sait quel est le coût probable pour trouver un nouveau mot de passe et comment faire.

    De manière générale, il faut considérer qu’un mot de passe est potentiellement compromis dès lors qu’il a été saisi au moins une fois. Il n’est pas judicieux d’utiliser un mécanisme dont la robustesse faibli avec le nombre de mots de passe compromis.

    Ce n’est pas la première fois que je vois conseiller aux utilisateurs de trouver leur propre méthode et je suis très sceptique pour la raison précédente. Les humains (moi y compris) ont tendance a manquer d’imagination et à utiliser les mêmes mécanismes. De plus, ces mécanismes reposent sur la ré-utilisation d’une donnée et sont susceptible de se fragiliser au fil des mots de passe compromis.

    En cas de soupçon, il faut effectivement changer de mot de passe mais il faut le faire de manière radicale. Je ne compte plus le nombre d’utilisateurs qui :
    – mettent la première lettre en majuscule et rajoutent un ou deux chiffres derrière
    – changent une date pour mettre l’année sur 4 positions au lieu de 2
    – rajoutent un mot clé (comme le nom du site)
    – doublent leur mot de passe ou inversent l’ordre des lettres

    Pour finir, un petit commentaire sur la double-authentification : elle ne présente pas une sécurité absolue et elle peut faire l’objet d’attaque par ingénierie sociale. Typiquement, un message frauduleux vous informe qu’une opération anormale sur votre compte a été effectuée (un paiement par exemple) et vous demande, si vous souhaitez l’annuler, le code qui vient de vous être envoyé…

    • Une politique de gestion des mots de passe s’impose à tous les utilisateurs de l’entreprise. Je n’ai pas mis ici dans ce billet ce que j’aime ou n’aime pas, mais ce que je préconise comme politique pour améliorer la sécurité informatique de mon entreprise.

  19. Je ne suis qu’un vulgaire (et peu compétent) utilisateur, mais je suis étonné de ce constat:
    Pour accéder à mon compte en banque et virer l’argent qui s’y trouve sur n’importe quel autre compte, ma banque se contente d’un mot de passe de 6 chiffres.
    Pour d’autres sites où le secret me semble beaucoup moins utile (mutuelle, assurance, ou autres …) on demande “au moins 8 caractères dont au moins une majuscule, au moins un chiffre, au moins un caractère spécial …”

  20. 1 – L’exemple “phrase de passe” donné est mauvais. Un algorithme à base de dictionnaire peut facilement assembler les mots du dictionnaire avec les caractères spéciaux.

    2 – Comme expliqué précédemment, le préfixage ou postfixage n’est pas bon non plus si les initiales sont triviales – il est facile de déduire les autres mots de passe en en connaissant un (se rappeler qu’une fois un piratage commencé c’est un humain qui travaille pas un algorithme).

    3 – Le côté pratique de la gestion des mots de passe n’est jamais suffisamment mis en balance. Nous avons tous 200, 300, 400 mots de passe à gérer. La plupart des utilisateurs n’ont aucune envie d’en avoir 200, 300 ou 400 différents avec des séquences impossibles à mémoriser.

    On se trouve souvent dans la situation absurde où un utilisateur doit changer de mot de passe tous les 6 mois pour des raisons de sécurité et se trouve de se fait incapable de retenir la flopée de codes nouveaux nécessaires pour au final se rabattre sur des choses simples.

    Dans les faits il va avoir comme mot de passe : Mon#papa, puis Mon#papa2, puis Mon#papa3, rendant le changement de code inutile : si le mot de passe est compromis une fois, le pirate connaît les suivants.

    Des conseils plus pragmatiques pourraient être :
    – d’arrêter les changements forcés de mot de passe ; il serait préférable d’afficher à l’utilisateur la date de sa dernière connexion, comme certaines banques le font
    – de raisonner par cercles et par enjeux : si vous vous faites pirater une boîte mail quelconque, peu importe ; c’est plus gênant pour le site de votre banque
    – de différencier les sites sur lesquels le nombre d’essais est illimité des autres ; sur les premiers le pirate ne peut pas aller bien loin
    – d’avoir à l’esprit que la sécurité est relative et donc d’être relativement “résilient”, en prévoyant et prévenant les conséquences d’un éventuel piratage : sauvegardes, suppression de données compromettantes, etc.

    Imaginer que les gens vont taper des mots de passe du style 53#2hT”4KtHlY^Era différents pour chacun de leur site / compte / logiciel, c’est rêver.

Les commentaires sont fermés.