Le mot de passe tient son origine du besoin des militaires de se reconnaître. Ainsi, on trouve dans le manuel « Devoirs du soldat » de 1825 les consigne suivantes :
Question: Quand la sentinelle est isolée, qui doit reconnaître les rondes ou patrouilles ?
Réponse: La sentinelle doit les reconnaître elle-même, suivant l’ordre de la place.
Q: Quel est l’usage accoutumé pour cette reconnaissance ?
R: Que la sentinelle fasse avancer au mot de ralliement après qu’on lui a répondu ronde ou patrouille.
Q: Que doit faire la sentinelle, si c’est une patrouille qui vient à elle ?
R: Elle doit crier: Halte la troupe ! chef de patrouille, avancez au mot de ralliement !
Q: Que doit faire la sentinelle, si c’est une ronde ?
R: Elle doit crier: Avancez au mot de ralliement.
Q: Que doit, dans tous les cas, faire la sentinelle ?
R: Elle doit toujours croiser la bayonnette lorsqu’elle reçoit le mot, et ne doit jamais se laisser dépasser par la personne qui le lui donne.
Le Littré de 1880 donne comme définition de « ralliement » : mot qu’on donne après avoir reçu le mot d’ordre. Il s’agit donc d’un échange codifié, avec un secret partagé que les deux parties doivent connaître. « L’officier qui commande la troupe est obligé de venir donner le mot de l’ordre et de reconnaissance à celui qui le reconnaît. L’officier de la troupe arrêtée est obligé de prononcer le premier des deux noms, et celui qui reconnaît est obligé de prononcer l’autre, de crainte de surprise.” (Manuel du Garde national, Paris, an 2.)
Dans la littérature, les mots de passe sont utilisés pour s’identifier à l’entrée d’une porte discrète, lors de réunions secrètes. Dans la pièce de théâtre Hernani de Victor Hugo, le mot de passe des conjurés (acte IV scène3) est Ad Augusta per Angusta (Vers les sommets par des chemins étroits).
L’inventeur du mot de passe de l’ère informatique est Fernando Corbató qui a mis au point cette technique dans les années 60 pour sécuriser l’utilisation de son système d’exploitation à temps partagé CTSS. Il est mort en juillet 2019, et portait vers la fin de sa vie un regard critique sur son invention : il estimait cette pratique largement faillible, et que la gestion des mots de passe était devenue un cauchemar. Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.
A l’aube de l’utilisation massive de la biométrie, le mot de passe reste pourtant souvent le seul rempart de protection pour l’accès à des données sensibles. Ainsi, il est important dans chaque organisme (cabinet d’avocat ou grande entreprise), de réfléchir à la sécurité des mots de passe. Je partage ici avec vous la politique de gestion des mots de passe que je préconise, mélange de réalisme et de vœux pieux. Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.
Utilisez un mot de passe suffisamment long et complexe
Une technique d’attaque répandue, dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, je recommande qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant au moins trois des quatre types de signes suivants : des majuscules, des minuscules, des chiffres ou des caractères spéciaux (comme par exemple !#?%). Cette recommandation est conforme aux préconisations 2018 de la CNIL et de l’ANSSI.
Le mot de passe doit être complexe, mais facile à retenir. Nous allons voir comment arriver à surmonter cette difficulté. Voici par exemple, trois méthodes pour choisir simplement des mots de passe complexes :
- La méthode phonétique : « J’ai acheté dix cd pour cent euros cet après-midi » deviendra « ght10CD%E7am » [1]
- La méthode des premières lettres : la phrase « Créé en 1971, le 44e a pour devise Rien ne craint que le silence » donnera « Ce1,l4apdRncqls » [1]
- La méthode de l’association de 4 mots choisis au hasard et séparés de caractères spéciaux : « Lunettes:Ballons#Chat_Rouge » [1]. Cette méthode s’appelle « phrases de passe », et est très efficace et permet de créer une suite bien plus difficile à déchiffrer qu’un mot de passe compliqué « classique ».
Ainsi choisi, votre mot de passe est très difficile à deviner. Vous pouvez bien entendu inventer votre propre méthode connue de vous seul (poème, proverbe, chanson…).
Utilisez un mot de passe différent pour chaque site
Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seront piratables. Lorsqu’un pirate arrive à récupérer l’un de vos mots de passe, il va le tester (de manière automatique) sur un grand nombre de sites : messageries, sites bancaires, sites d’achat, etc.
OK, donc un mot de passe différent par site. Mais comment faire ? Je vous recommande la procédure suivante :
[edit du 16/10 : recommandation modifiée grâce à vos commentaires]
- Choisissez un mot de passe « racine », selon l’une des méthodes évoquées précédemment, par exemple « Ce1,l4apdRncqls » [1]
- Ajoutez, dans ce mot de passe « racine », une ou deux lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « aP » pour ugap.fr, en 5e position, ce qui donnerait « Ce1,aPl4apdRncqls » [1]
C’est tout, c’est simple, c’est facile à retenir et cela fait un mot de passe différent pour chaque site.
Changez votre mot de passe au moindre soupçon
Je ne préconise pas le changement régulier des mots de passe (tous les ans, tous les semestres, tous les 90 jours…) car cela fragilise la sécurité du système d’information et de plus en plus de RSSI pensent la même chose (cf https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ). En effet, lorsqu’un utilisateur est forcé de changer régulièrement son mot de passe, il y a de fortes chances que le nouveau mot de passe soit similaire à l’ancien. Les attaquants savent exploiter cette faiblesse. Le nouveau mot de passe a de grande chance avoir été utilisé ailleurs, et les attaquants le savent aussi. Le nouveau mot de passe est également plus susceptible d’être noté, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d’être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs dont les comptes sont verrouillés et pour les centres de service qui doivent réinitialiser leurs mots de passe.
C’est un scénario de sécurité contre-intuitif : plus les utilisateurs sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système.
J’ai donc demandé à mon service informatique de ne pas forcer l’expiration régulière des mots de passe. Nous croyons que cela réduit les vulnérabilités associées à l’expiration régulière des mots de passe tout en faisant peu pour augmenter le risque d’exploitation à long terme des mots de passe. Les attaquants peuvent souvent trouver le nouveau mot de passe, s’ils ont l’ancien. Et les utilisateurs, forcés de changer un autre mot de passe, choisiront souvent un mot de passe « plus faible » pour ne pas l’oublier.
Mais si vous avez un doute sur la sécurité d’un de vos comptes ou si vous entendez qu’une organisation ou une société chez qui vous avez un compte s’est faite pirater, n’attendez pas de savoir si c’est vrai ou pas : changez immédiatement le mot de passe concerné avant qu’il ne tombe dans de mauvaises mains. Ne pas être obligé de changer son mot de passe régulièrement ne signifie pas que vous ne devez jamais en changer : au moindre doute, changez votre mot de passe.
Méfiez-vous par exemple des smartphones qui pourraient, lors d’une présentation publique, vous filmer pendant que vous tapez votre mot de passe…
Utilisez un gestionnaire de mots de passe
N’écrivez jamais un mot de passe en clair sur une feuille de papier, dans un carnet ou dans un fichier Excel (même protégé par un mot de passe). Les pirates connaissent toutes les astuces communément mises en place par les utilisateurs : par exemple, un code de carte bancaire sera souvent noté dans un carnet d’adresse sous la forme d’un numéro de téléphone…
Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie, ou dans un fichier non protégé de votre ordinateur ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe protégeant votre gestionnaire de mots de passe et qui permet d’en ouvrir l’accès.
Je vous recommande le logiciel KeePass. Ce logiciel libre et en français, certifié par l’ANSSI (dans une ancienne version, mais bon), permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Le logiciel est disponible dans les environnements Windows, MacOS, GNU/Linux, Android, iOS, BlackBerry, Windows Phone, ChromeOS, PalmOS… Il existe également en version ne nécessitant pas d’installation qui peut être placée sur une clef USB, ou un partage de fichiers (OneDrive…) pour être synchronisée entre plusieurs ordinateurs.
Ne communiquez jamais votre mot de passe à un tiers
Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique ». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une tentative de piratage ou d’escroquerie.
Inversement, si un tiers vous fournit un mot de passe (le service support informatique par exemple), ce mot de passe doit être considéré comme provisoire et changé rapidement par l’utilisateur.
Le tiers le plus dangereux est le collaborateur proche. Il arrive qu’un VIP confie son mot de passe à son assistant « parce que c’est plus pratique » et qu’il travaille avec cette personne en toute confiance. Le problème vient que cet assistant peut parfaitement utiliser ce mot de passe pour son propre compte, et de fils en aiguilles pour un site personnel associatif peu sécurisé… Un pirate cible toujours les plus proches collaborateurs de sa cible principale.
Ne mémorisez pas vos mots de passe sur un ordinateur partagé
Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre : utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques ; veillez à bien fermer vos sessions après utilisation ; n’enregistrez jamais vos mots de passe dans le navigateur.
Activez la « double authentification » lorsque c’est possible
Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez, par exemple, autoriser un nouvel appareil à se connecter aux comptes protégés ou autoriser une transaction bancaire.
Exemples (non exhaustifs) de services répandus proposant la double authentification :
⦁ Office365, Gmail, Yahoo Mail…
⦁ Facebook, Instragram, LinkedIn, Twitter…
⦁ Skype, WhatsApp…
⦁ Amazon, eBay, Paypal…
⦁ Apple iCloud, Dropbox, Google drive, OneDrive…
Protégez en particulier votre messagerie
Une attention particulière sera apportée à la sécurisation de la boite email professionnelle, cible particulière des pirates souhaitant prendre le contrôle de tous les comptes associés à cette adresse email. En effet, une fois la boite email contrôlée, le pirate peut facilement déclencher les procédures d’oubli de mot passe, procédures qui envoient en général un lien de saisie d’un nouveau mot de passe vers l’adresse email.
Si vous disposez de plusieurs boites emails (professionnelles, personnelles, etc.), je vous recommande de relever séparément ces différentes boites, chacune ayant un mot de passe différent, et d’éviter le renvoi des emails vers une boite unique (dont le contrôle par un pirate deviendrait alors encore plus critique).
Votre mot de passe de messagerie est donc l’un des mots de passe les plus importants à protéger.
Bibliographie :
⦁ Recommandations de la CNIL
⦁ Recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
⦁ The problems with forcing regular password expiry
⦁ The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!
⦁ Fiche pratique – Comment bien gérer ses mots de passe
[1] Ne pas utiliser les mots de passe de ce billet, qui ne sont donnés qu’à titre d’exemple.