Le 18 février, l’informaticien Simon Wirth a présenté un atelier sur les méthodes de gestion des mots de passe. Le sujet intéresse et inquiète en même temps car nous connaissons tous quelqu’un qui s’est fait pirater, induisant des suites plus ou moins désagréables. Quand un intrus obtient votre mot de passe, en particulier pour votre courriel en ligne, les conséquences peuvent être très dommageables : on pourra lire votre correspondance privée stockée en ligne, envoyer des messages à votre nom, siphonner la liste de vos contacts, frauder en usurpant votre identité et plus encore. Sans parler des sites d’achat en ligne ou de banque en ligne, où le vol du mot de passe peut provoquer des conséquences financières dramatiques.
Le but de cet atelier était de donner des indices pour une meilleure gestion de ces sésames si nécessaires.
Pour ceux qui n’ont pas pu participer, voici un résumé des infos communiquées pendant l’atelier.
Compte-rendu
La gestion de nos mots de passe ressemble souvent à un cauchemar, tant en terme d’usage que de sécurité : on nous demande d’insérer des caractères spéciaux, on oublie les mots de passe, on les note sur des bouts de papier, on utilise le même sur plusieurs sites, les sites se font pirater, …
Faisons le point sur les bonnes pratiques :
- avoir un mot de passe par compte en ligne (ne jamais utiliser le même mot de passe à plusieurs endroits),
- utiliser des mots de passes longs et aléatoires,
- ne pas stocker ses mots de passe en clair (dans un fichier texte sur son ordinateur, sur un bout de papier, …).
Nous avons de plus en plus de services en ligne, donc de plus en plus de mots de passes longs et compliqués à retenir… Bonne nouvelle, un logiciel peut nous aider : le gestionnaire de mots de passe !
On peut voir ce logiciel comme un coffre-fort : il va contenir les mots de passe nous permettant d’accéder à tous les services en ligne que nous utilisons. Et c’est un coffre-fort dans le sens où toutes les données stockées à l’intérieur sont chiffrées, c’est-à-dire lisibles uniquement avec la “clé” du coffre-fort.
Cette clé est donc le point crucial : elle doit être robuste, et vous ne devez pas l’oublier, sinon vous ne pourrez plus ouvrir votre coffre-fort.
Comment bien choisir sa clé ?
Plusieurs techniques existent. Je vous propose ici l’utilisation d’une phrase de passe. Une phrase de passe est une suite de plusieurs mots. Une bonne phrase de passe doit répondre à plusieurs critères :
- elle doit être assez longue pour être difficile à deviner (au moins 5 mots),
- ce n’est pas une citation célèbre de la littérature, des livres saints, d’un film, d’une chanson, etc,
- elle est difficile à deviner, même par quelqu’un qui connaît bien l’utilisateur,
- elle est facile à retenir et à taper avec précision.
Pour augmenter la sécurité de votre phrase de passe, vous pouvez intégrer volontairement une faute d’orthographe, remplacer des caractères, ajouter des espaces, des chiffres, mettre des lettres en majuscule, etc. Pour en savoir plus, voici deux liens :
- https://guide.boum.org/tomes/1_hors_connexions/3_outils/01_choisir_une_phrase_de_passe/
- https://fr.wikipedia.org/wiki/Phrase_secrète
Bien entendu, votre phrase de passe ne doit vous servir que pour votre coffre-fort, et ne la notez pas sur un papier !
Quel logiciel choisir ?
Il existe de nombreuses solutions, à vous de choisir selon vos besoins (plusieurs utilisateurs, multi-plateforme, service payant ou gratuit, etc). Lors de l’atelier, c’est KeePassXC qui a été présenté, un logiciel libre, multi-plateforme (fonctionne sous Windows, MacOS, Linux) et gratuit : https://keepassxc.org/
Voici deux guides pour utiliser KeePassXC :
- https://ssd.eff.org/fr/module/guide-pratique-utiliser-keepassxc
- https://atelier-mediatheque-rlv.frama.site/blog/tutoriel-keepassxc/KeePassXC%20sous%20Windows.pdf
KeePassXC va donc créer un fichier chiffré, votre “base de données”, contenant tous les mots de passe que vous aurez renseignés, et que vous seul pourrez déchiffrer à l’aide de votre clé. Pour pouvoir utiliser votre base de données KeePass sur smartphone / tablette, vous pouvez installer une des applications de la liste suivante : https://keepass.info/download.html
Deux autres possibilités sont Dashlane et Lastpass, qui sont payantes au delà d’un utilisateur, mais peut-être plus faciles à prendre en main et utilisables directement sur smartphone :
- Dashlane : https://www.dashlane.com/fr
- Lastpass : https://www.lastpass.com/fr
Vous trouverez également d’autres logiciels dans ce guide :
https://www.zdnet.fr/guide-achat/quels-outils-pour-ne-plus-oublier-ses-mots-de-passe-39842448.htm
Autre sujet abordé durant l’atelier : haveibeenpwned.com. En rentrant votre adresse email, vous saurez si un ou plusieurs comptes associés à cette adresse ont été compromis dans une fuite de données, et quelles données ont potentiellement fuité.