Comment gérer ses mots de passe

Une chose que j’entends souvent lorsqu’on me parle de mots de passe c’est : « Nan mais difficile de faire un mot de passe fort et différent pour chaque application ! ». C’est vrai, mais ce n’est pas pour autant que c’est une fatalité.

Vous trouverez nombre de sites sur le web qui vous donneront des conseils pour vous forger de bons mots de passe faciles à retenir. J’en cite quelques-uns à la fin de cet article (en anglais pour la plupart).

Mais là encore vous me direz : « En plus avec des sites qui demandent des choses toutes différentes, on ne peut plus s’en sortir ». Vrai aussi. Mais comment faire ? Et au fait, c’est quoi un mot de passe fort ?

Nous allons voir dans un premier temps ce qui fait la force d’un mot de passe et donner quelques conseils sur leur fabrication puis nous allons nous concentrer sur une solution assez efficace à nos problèmes : le gestionnaire de mots de passe dont on va expliquer rapidement le fonctionnement avant d’en voir quelques-uns.

Si vous n’êtes intéressé que par les différents gestionnaires de mots de passe, sautez directement à la section correspondante, ce n’est pas grave si vous n’avez pas lu les sections précédentes.

La « science » du mot de passe

Premièrement, un mot de passe c’est quoi ?

Un mot de passe (password dans la langue de Shakespeare) est une chaîne de caractères, c’est-à-dire une suite de caractères, qui permettent le déverrouillage d’une ressource ou l’authentification. Ainsi quand vous vous connectez à votre messagerie, à Facebook ou chez votre banque, vous utilisez pour vous authentifier un mot de passe. Il existe d’autres méthodes, beaucoup plus efficaces, mais le mot de passe reste la manière la plus simple de prouver son identité sur Internet.

Dans bien des cas, pour pouvoir obtenir un accès à votre compte, un attaquant n’aura plus d’autre choix que de « casser » votre mot de passe (à défaut de vulnérabilité à exploiter sur le service).

« Casser » un mot de passe signifie ni plus ni moins que d’essayer toutes les combinaisons possibles (« aaaa », « aaab », etc…) jusqu’à obtenir le bon.

Or, informatiquement, cette recherche coûte cher en calcul. En effet si l’attaquant essaye de déterminer votre mot de passe « en ligne », c’est-à-dire directement sur l’application qui fournit le service, il peut espérer une vitesse de recherche de 1000 mots de passe par seconde. Cela vous paraît peut-être grand mais attendez la suite.

Il arrive qu’un attaquant obtienne le contenu de la base de données de l’application, c’est-à-dire l’ensemble des données stockées par l’application pour son bon fonctionnement. Or dans une application bien faite, on ne conserve pas le mot de passe « en clair » mais plutôt une empreinte. Imaginons qu’il s’agisse d’une couleur. À chaque authentification, le calcul est refait pour déterminer à quelle couleur correspond votre mot de passe.

Un attaquant peut alors faire sa recherche à raison d’une vitesse de l’ordre d’un milliard d’essais par secondes. Un exemple d’une telle machine (en anglais) : http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/ (attention, une telle machine n’est utile que sur une base locale, elle ne fonctionne pas en ligne).

Ça fait beaucoup, n’est-ce-pas ? Mais ce n’est pas fini.

Le nombre de mots de passe à tester nécessaires pour la découverte par recherche exhaustive (en essayant chaque mot de passe) suit la formule suivante :

mn

m est le nombre de l’espace de caractères possibles à chaque position (lettres minuscules = 26, lettres majuscules = 26, chiffres = 10, caractères spéciaux = ~20) et n le nombre de caractères du mot de passe. C’est-à-dire qu’on multiplie m n fois avec lui-même.

Exemple : si le mot de passe est constitué uniquement de chiffres et fait une longueur de 4 caractères m = 10 et n = 4. Ainsi on aura 104 possibilités ou autrement dit 10 000 possibilités. Un mot de passe cassé en quelques secondes par une attaque en ligne. Si on ramène donc à 82 caractères (somme de tous les chiffres en haut) possibles avec une longueur de 12 ça fait… beaucoup, mais alors vraiment beaucoup plus.

Voilà la raison pour laquelle on exige souvent des mots de passe d’une longueur minimum ou d’une complexité minimum (combinaison de caractères minuscules, majuscules et spéciaux).

Mais concrètement, qu’est-ce que cette formule veut dire ? Tout simplement que le nombre de mots de passe à tester augmente exponentiellement avec la longueur du mot de passe. C’est-à-dire très, mais vraiment très vite.

Ainsi autant un mot de passe de 4 caractères peut demander moins d’une seconde à casser, autant un mot de passe de 12 caractères peut demander plusieurs milliards d’années.

Attention : tout ceci dépend de la puissance de calcul disponible. Mais les ordres de grandeur restent les mêmes pour les mots de passe de grande longueur parce que l’augmentation de la puissance de calcul est linéaire, même si vous avez les supercalculateurs de la NSA.

Enfin, tout cela est vrai si votre mot de passe est constitué de caractères aléatoires. Ce qui est rarement le cas en pratique, c’est difficile de faire de l’aléatoire même si on le veut !

Dans la plupart des cas, les mots de passe « cassés » font 8 caractères ou moins et/ou appartiennent au dictionnaire. Ainsi un attaquant cherchera plus souvent à déterminer si votre mot de passe correspond au nom de votre chien.

Note : vous pouvez voir ici les 500 mots de passe à ne surtout pas utiliser (en anglais) : http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time.

Un bon mot de passe c’est donc :

  • 10 caractères minimum, 12 si c’est sensible,
  • Lettres majuscules, minuscules, chiffres et caractères spéciaux,
  • Pas trop proche d’un mot du dictionnaire.

Il n’existe pas de science infuse concernant la création de mot de passe mais voici une piste : https://www.xkcd.com/936/.

Les gestionnaires de mots de passe

Si comme moi, vous avez de grandes difficultés à garder quelque chose en mémoire, vous pouvez utiliser un gestionnaire de mots de passe.

Qu’est-ce qu’on demande à un gestionnaire de mots de passe ?

Une méthode de stockage de mots de passe qui aura coûté cher à TV5 Monde

Plus de détails sur le piratage de TV5 Monde : Coût du piratage de TV5 Monde

Tout d’abord un gestionnaire de mots de passe doit garder vos mots de passe, c’est une chose évidente. Mais surtout pas n’importe comment ! Imaginez que vous laissiez votre ordinateur aux mains de quelqu’un qui n’est pas digne de confiance, il pourrait obtenir l’ensemble des mots de passe stockés sur votre ordinateur ! Un fichier texte est donc une mauvaise manière de conserver ses mots de passe (comme les Post-It de l’image ci-dessus).

Un gestionnaire de mots de passe va donc sécuriser le stockage de vos mots de passe. Pour cela, il va chiffrer (rendre illisible si on n’a pas la bonne clé) la base de données contenant vos mots de passe. Un mot de passe maître (ou une clé USB spécialisée) est alors nécessaire pour débloquer la base. À partir de là vous pourrez obtenir tous vos mots de passe.

Ceci présente plusieurs avantages :

  • Vous pouvez désormais utiliser des mots de passe de longueur arbitraire sans avoir besoin de les retenir,
  • Vous pouvez utiliser un mot de passe différent pour chaque site que vous visitez (ainsi, un compte compromis a moins d’impact car le mot de passe ne pourra pas être réutilisé ailleurs),
  • Vous pouvez dresser une liste de tous les sites internet où vous êtes inscrit,
  • Avec certains modules vous pourrez vous connecter automatiquement et depuis n’importe où à tous les sites que vous utilisez par un simple clic, les champs du formulaire de connexion seront automatiquement remplis.

Il faut quand même faire attention à quelques trucs :

  • Il faut utiliser un mot de passe maître suffisamment fort (c’est bête si quelqu’un déverrouille votre coffre-fort de mots de passe sans votre autorisation),
  • Il faut faire attention à faire des sauvegardes de votre coffre-fort, si vous le perdez, vous allez avoir des problèmes à vous connecter à vos comptes,
  • Il faut veiller à l’avoir disponible partout : sur votre ordinateur, votre smartphone, etc…

Nous allons voir que les 2 derniers points peuvent être résolus assez facilement grâce à certains outils en ligne.

La solution du parano en sécurité : KeePass

KeePass est un gestionnaire de mots de passe libre et Open Source disponible à l’adresse : www.keepass.info.

Le logo de KeePass

Il s’agit d’un logiciel lourd (qui s’installe sur votre ordinateur) qui permet d’éditer des bases de données de mots de passe stockées dans des fichiers.

Il est simple d’utilisation et permet de créer une base de mots de passe comme suit :

  • Vous créez un nouveau fichier de mots de passe (Fichier ->Nouvelle Base de données KeePass),
  • Vous entrez une clé maître forte,
  • Vous pouvez donner un nom à votre base,
  • Ça y est, vous pouvez stocker vos premiers mots de passe !

Voici en images la création d’une base et d’un mot de passe :

Création d’une base de données KeePass
Création d’une clé maître KeePass, notez que KeePass vous donne une idée de la sécurité de votre mot de passe maître
Interface de KeePass

Comme on peut le voir dans l’interface, à gauche vous pouvez créer vos dossiers et vos mots de passe à droite. Vous avez déjà 2 exemples présents dans la base mais vous pouvez ajouter les vôtres !

Attention : pensez à bien sauvegarder (CTRL+S) à chaque fois que vous faites une modification.

Pour ajouter un mot de passe, rien de plus simple :

  • Cliquez sur le bouton « Add Entry » (CTRL+I),
  • Remplissez les champs de la fenêtre qui s’affiche alors,
  • Vous pouvez remplir l’URL du site où se trouve votre compte pour que les extensions de navigateurs dédiées (dont on parle plus bas) remplissent automatiquement vos champs de connexion dans votre navigateur,
  • Cliquez sur OK.

Voici une fenêtre de création de mot de passe pour un compte Google :

Création de mot de passe dans KeePass

Et voilà, plus besoin de vous en souvenir ! Vous n’avez plus qu’à le copier dans le champ correspondant lors de la création de votre compte ou la modification de votre mot de passe sur le site web. Lorsque vous devrez vous en servir, placez votre curseur dans le premier champ du formulaire de connexion, allez dans KeePass, sélectionnez la bonne entrée et faites CTRL+V. Les champs se rempliront tout seuls !

Vous pouvez également installer des extensions de navigateur comme KeeFox (sous Firefox) pour compléter ces champs automatiquement :

KeePass gère également le chargement de fichiers à distance (via différents moyens), ce qui vous permet de les garder dans des solutions type Google Drive et donc retrouver le même fichier depuis n’importe lequel de vos appareils.

Vous pouvez par exemple voir du côté de KeePassDroid ou KeePass2Android ainsi que MiniKeePass pour utiliser KeePass sur Android et iPhone.

C’est le logiciel que j’utilise et pour quelqu’un qui a la mémoire courte comme moi c’est juste la pépite !

Note : il arrive que des sites n’acceptent pas la forme des mots de passe proposés par défaut par KeePass. Vous pouvez bien sûr gérer les paramètres du générateur de mot de passe en cliquant sur le bouton à droite du champ de confirmation du mot de passe pour ouvrir la fenêtre des paramètres.

Les solutions tout-en-un

Il existe aussi des gestionnaires de mots de passe en ligne.

Ceux-ci stockent vos mots de passe de manière sécurisée (selon leurs dires) sur leurs serveurs avec comme seule possibilité pour les débloquer votre mot de passe maître. Ces solutions ont aussi leurs avantages :

  • Les mots de passe sont par essence accessibles de partout pour vous,
  • Les éditeurs ont presque tous des applications dédiées sur la plupart des plateformes et peuvent également mettre à disposition l’accès à votre base par un simple navigateur.

Ceux-ci présentent aussi des inconvénients :

  • Vous ne savez pas comment vos mots de passe sont stockés, vous devez faire confiance à l’éditeur,
  • Votre base est potentiellement exposée sur Internet si vous ne choisissez pas un mot de passe maître suffisamment fort.

Malgré ses défauts cette solution est également un très bon choix et probablement le bon si vous ne voulez pas vous embêter à devoir gérer votre base.

Il existe plusieurs solutions proposées par des éditeurs différents :

  • Dashlane,
  • LastPass,
  • Sticky Password.

Je ne vais pas rentrer dans le détail de tous (ce n’est pas mon objectif). Mais je vous conseille d’en essayer plusieurs afin de découvrir lequel est le meilleur pour vous. De plus, je suis assez parti pris dans la question étant donné que je préfère personnellement utiliser KeePass avec ma propre base.

Je vais me pencher plus sur Dashlane qui présente quelques avantages par rapport à ses concurrents :

  • C’est français (et mince ! Ils ont été rachetés, bien que d’origine française il s’agit désormais d’une entreprise de droit américain),
  • Vous pouvez stocker localement votre base et également y avoir accès depuis le cloud (sans connexion Internet, vous pouvez toujours utiliser vos mots de passe),
  • Vous avez nativement des applications pour tous vous appareils (Windows, Mac, iPhone et Android).

Petit bémol : pour bénéficier du stockage centralisé de votre base dans le cloud, il est nécessaire de régler un abonnement annuel d’environ 39€ (mais les avantages en valent la peine).

Le démarrage avec Dashlane est très simple :

  • Rendez-vous sur le site : https://www.dashlane.com/ et cliquez sur “télécharger” pour installer Dashlane sur votre ordinateur et directement l’intégrer à tous vos navigateurs,
  • Créez un compte et choisissez un mot de passe maître fort (ne vous contentez pas des 8 caractères minimum !),
  • (optionnel) suivez le petit tuto initial,
  • Créez vos mots de passe !
Création d’une base Dashlane

Une fonctionnalité intéressante est que Dashlane importe tous vos mots de passe depuis les différentes bases présentes sur votre ordinateur (navigateurs, Skype, etc…). Vous pouvez ainsi supprimer ceux-ci de la base de vos navigateurs et ainsi les utiliser uniquement depuis Dashlane.

De plus, vous disposez maintenant d’un générateur intégré à votre navigateur, il n’y a rien de plus simple que créer un nouveau mot de passe !

Création d’un nouveau mot de passe à partir du navigateur

Par ailleurs, Dashlane vous indique dans le navigateur lorsqu’il peut remplir les champs à votre place, il suffit pour cela de mettre votre curseur dans le champ et cliquer sur le bon identifiant qui est alors proposé.

Sur certaines applications (liste ici : https://www.dashlane.com/fr/liste-password-changer), Dashlane vous permet de changer automatiquement votre mot de passe sans accéder à l’application elle-même, il suffit pour cela d’utiliser la fonctionnalité Password Changer disponible dans la fenêtre des mots de passe (si vous l’avez fermée sous Windows, vous pouvez y accéder depuis la barre des tâches – la flèche à droite – en affichant les applications en arrière-plan).

Par ailleurs Dashlane vous fournit un coffre-fort pour y mettre vos documents et informations très personnelles (numéros de cartes bleues, reçus, etc…) :

Écran principal de Dashlane

Une dernière fonctionnalité intéressante proposée par Dashlane peut être trouvée sous l’onglet “Urgences”. Elle vous permet d’ajouter des contacts de confiance à qui les informations contenues dans votre base seront envoyées si quelque chose devait vous arriver. Vous pouvez ainsi définir ces contacts, indiquer quelles informations seront mises à leur disposition et également une période d’attente durant laquelle vous pourrez faire opposition pour éviter les abus :

Ajout d’un contact de confiance en cas d’urgence

Conclusion

Les gestionnaires de mots de passe ne règlent donc pas définitivement les problèmes inhérents aux mots de passe (nécessité de complexité, nécessité de mémorisation, etc…). Cependant, lorsqu’ils sont bien utilisés, ils facilitent énormément la tâche de gestion des mots de passe et augmentent significativement la sécurité de vos mots de passe en vous permettant d’éviter les pièges classiques (sites non sécurisés, mots de passe identiques, mots de passe trop simples, nécessité d’imaginer et de retenir des mots de passe qui doivent changer régulièrement).

Bref, s’il ne s’agit pas de la solution parfaite, ce sont indéniablement des outils indispensables lorsqu’on a commencé à les utiliser. Vous n’imaginez pas encore quelle épine ils tirent du pied.

C’est bien simple, je ne peux plus m’en passer !