Avez-vous l’habitude d’utiliser toujours le même mot de passe lorsque vous vous inscrivez sur un site web ? Si c’est le cas, sachez que vous n’êtes pas le seul : une personne sur sept ne change jamais de mot de passe au moment de la création d’un nouveau compte en ligne, selon une enquête menée par Kaspersky Lab, une société russe spécialisée dans la sécurité informatique.
[floating-quote float= »right »]Une poignée d’internautes a de très mauvaises habitudes.[/quote]
Mais ce n’est pas tout : nous apprenons également que la qualité des mots de passe laisse franchement à désirer pour 12 % des sondés : ceux-là n’utilisent ni majuscules, chiffres ou caractères spéciaux pour leur mot de passe, se contentant de lettres tapées en minuscule. De plus, 10 % de ceux qui ont répondu utilisent un mot de passe relativement court : huit caractères au maximum. Comment doit-on interpréter ces données ? En changeant de point de vue, on se rend compte que six personnes sur sept emploient au moins deux mots de passe différents pour leurs activités et que la très grande majorité des sondés ont une hygiène de base en matière de sécurité, en utilisant des mots de passe qui s’appuient sur des caractères variés et nombreux.
C’est encourageant, même si cela ne fait pas tout et qu’il y a encore du progrès à faire : un tiers des sondés utilise par exemple deux à trois combinaisons différentes du même mot de passe pour l’ensemble des sites.
Quant à ceux qui ont encore de mauvaises habitudes, il faut rappeler une nouvelle fois que l’utilisation d’un même mot de passe partout est très risqué : s’il est découvert, il peut alors déverrouiller tous vos profils et vos comptes sur Internet. Par contre, l’utilisation d’un mot de passe par service permet de circonscrire l’incident à un seul site. Et qu’un mot de passe trop simple est de fait plus facile à découvrir.
D’aucuns diront qu’il est impossible d’utiliser un mot de passe différent par site parce que la mémoire humaine est faillible. C’est là que les gestionnaires de mots de passe comme Dashlane, KeePass, LastPass et 1Password entrent en scène. Ils ont pour rôle de servir de « mémoire externe » en stockant vos codes secrets. Il suffira alors simplement de mémoriser le mot de passe principal qui servira à protéger la base de données du gestionnaire.
L’utilisation d’un gestionnaire n’est évidemment pas à prendre à la légère : il faut en effet avoir conscience des incidents qui peuvent survenir (que se passera-t-il si le disque dur plante ? Il faut prévoir une sauvegarde ailleurs, qu’il faudra renouveler régulièrement) et le fait que les gestionnaires de mots de passe, bien que sécurisés, ne sont pas infaillibles (mais quel système l’est ?).
Les conseils d’Edward Snowden
Il s’agit pourtant un bon compromis face aux exigences parfois contradictoires imposées par la sécurité informatique. D’ailleurs, Edward Snowden lui-même recommande d’utiliser un gestionnaire. Au site The Intercept, il explique qu’un tel logiciel « vous permet de créer des mots de passe uniques pour chaque site qui sont incassables, sans que vous ayez la charge de les mémoriser ».
Car aux yeux d’Edward Snowden, le gros danger au niveau des mots de passe qui ne sont jamais changés d’un site à l’autre est la fuite de données d’un service qui a été piraté. « Vos informations personnelles peuvent être révélées parce qu’un service que vous avez arrêté d’utiliser en 2007 est compromis, et le mot de passe que vous utilisiez pour ce site fonctionne aussi pour votre compte Gmail ».
Il est aussi recommandé d’utiliser, lorsque c’est possible, l’authentification forte (aussi appelée validation en deux étapes), qui est également conseillée par Edward Snowden.
Chiffrement des appels, des SMS et du disque dur, utilisation du gestionnaire de mots de passe et de la validation en deux étapes.
Lorsqu’elle est activée, la fonctionnalité effectue deux vérifications. D’abord, le service demande le mot de passe de l’utilisateur. Une fois celui-ci renseigné, un second code est alors demandé. Celui-ci est fourni par le terminal qui a été préalablement vérifié et associé au compte de l’usager. Le code est renouvelé régulièrement, et est obtenu via un SMS, un appel téléphonique ou une application mobile.
Il s’agit d’une excellente solution pour élever significativement la protection d’un compte, car même si le mot de passe est dévoilé par un tiers, celui-ci sera a priori bloqué à la seconde étape. En effet, pour la franchir, il faut être en possession du terminal qui a été rattaché au compte (sauf si l’attaquant déploie des efforts exceptionnels pour intercepter le code de vérification ou le contourner, mais c’est un cas de figure rarissime).
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.