Dans une visite en plein Bureau ovale devant Donald Trump en 2018, Kanye West a déverrouillé son iPhone, révélant devant les caméras du monde entier son mot de passe. Il s’agit de 000000, 8 caractères similaires, soit le pire mot de passe possible pour protéger ses données. Mais aussi l’un des plus utilisés — des stars du hip-hop aux administrations en passant par les particuliers et les entreprises.
Cette situation nous rappelle néanmoins à quel point la conception d’une bonne phrase de passe est nécessaire, tout comme la définition d’un bon code pour son smartphone. Notre guide pourra vous y aider.
Un bon mot de passe en bref
- Pour protéger vos données, ne pas utiliser de mot de passe classique comme 123456 ou motdepasse qui possède peu de caractère
- Utiliser 4 mots courants qui n’ont pas de rapport afin de maximiser le nombre de caractères du mot de passe (par exemple tablevachemonologueordinateur)
- Varier les mots de passe selon les services et les données que vous souhaitez protéger
- Utiliser des majuscules, des chiffres et des caractères spéciaux (symboles)
- Ne pas verrouiller un smartphone avec un code à 4 chiffres
Comment créer un mot de passe sécurisé
Rappelons d’abord simplement ce qu’est un bon mot de passe. Aujourd’hui, si vous ne souhaitez pas utiliser un gestionnaire de mot de passe qui va générer un mot de passe complexe et aléatoire pour chacun de vos comptes, le mieux est d’appliquer la « méthode XKCD », popularisée par l’éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s’il est long (plus de caractères, c’est plus de sécurité), s’il n’a aucun sens et s’il est facile à retenir (oui, cet aspect fait partie de la sécurité : vous ne voulez pas l’oublier).
Dès lors, XKCD conseille de choisir 4 mots communs qui n’ont rien à voir et de les associer. numeramaphotographieventilateurbureau (37 caractères) a plus de force (de « bits d’entropie ») que j3su1sunh4ck3r (14 caractères). Et puis se souvenir de 4 mots communs est bien plus simple que de se souvenir où vous avez placé le 4 ou le 3. Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd’hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit. L’incipit de votre roman préféré est donc à bannir : c’est certes long en lettres, mais à la sécurité faible !
Si vous voulez raffiner un poil votre mot de passe, vous pouvez partir de la même base et le modifier pour chaque service. Vous pouvez alors mettre le nom du service à la place d’un des 4 mots (numeramagmailventilateurbureau) ou, si vous souhaitez aller encore plus loin, donner simplement un indice sur la nature du service dont vous vous souviendrez. Ainsi, votre mot de passe pour Gmail sera numeramamoncourrierlventilateurbureau et votre mot de passe Facebook sera numeramacambridgeanalyticaventilateurbureau. Vous pourrez, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite de caractères, histoire d’augmenter la sécurité en compliquant la tâche des hackers.
Une fois que vous aurez fait cela, n’oubliez pas d’activer la double authentification sur tous les comptes qui le permettent, voire d’investir dans une clef USB U2F. La CNIL a également donné ses propres recommandations, tout comme le gouvernement. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.
Vérifier que ses mots de passe ne sont pas corrompus
Parfois, des sites internet se font hacker et leurs mots de passe se retrouvent dans des bases de données en clair. C’est un souci, même si vous avez pensé à modifier le mot de passe du site concerné : il n’est pas rare que les utilisateurs choisissent le même mot de passe pour deux services.
Pour savoir si votre mot de passe habituel est corrompu, un site fait référence : Have I Been Pwned. En saisissant votre mail, il regardera s’il trouve un mot de passe lié. Si c’est le cas, vous devez le modifier… sur tous les services que vous utilisez. En revanche, si la fuite date de quelques années, il est probable que vous ayez déjà pris la décision de modifier votre mot de passe. Ne paniquez pas.
Les navigateurs comme Chrome ou Firefox ont aussi des vérificateurs de mots de passe : ils pourront vous alerter s’ils repèrent votre mot de passe dans une des failles connues.
Quel code de smartphone choisir
La deuxième étape pour commencer à sécuriser l’accès à vos données est de choisir un code pour votre smartphone. La biométrie (empreinte digitale, visage, rétine…) est souvent critiquée par les spécialistes du chiffrement, notamment parce que ces codes ne peuvent pas être changés (vous n’avez pas un nombre infini de visage).
Cela dit, Apple a démocratisé le déverrouillage par empreinte digitale sur l’iPhone 5S pour résoudre un problème : avant, les gens utilisaient leur iPhone sans mot de passe. Sécurité 0. La biométrie ajoute donc une couche de protection : elle oblige à créer un mot de passe tout en conservant un accès simple et efficace pour l’utilisateur. Aujourd’hui, cela serait dommage de ne pas utiliser cette possibilité fort pratique au quotidien, même si elle doit s’accompagner de plusieurs précautions.
Règles générales
Quand on parle sécurité, on a une fâcheuse tendance à la flemmardise : est-ce que le code de verrouillage de votre smartphone est votre année de naissance ou celle de votre conjoint·e ? Si c’est le cas, ce n’est clairement pas sécurisé.
Nous vous conseillerions trois options selon votre niveau de confort, mais oubliez dès maintenant le code à 4 chiffres : les boîtiers GrayKey sont a priori capables de les craquer en un temps record, même sur un iPhone.
- Le code à 6 chiffres ou plus : c’est un bon premier pas qui vous couvrira dans la plupart des situations. Si vous avez une activité à risque ou une envie de mieux protéger votre smartphone, oubliez cette option.
- Le code à 6 chiffres et lettres : c’est le juste milieu entre la sécurité maximale et le code simple à composer. Contrairement à un mot de passe de service web, vous aurez à le taper peut-être plusieurs fois par jour (quand la biométrie ne fonctionne pas par exemple). Alternez les chiffres et les lettres et vous le retiendrez facilement tout en ajoutant de la complexité pour des attaques en force brute. Et ce sera moins simple à deviner pour vos proches que votre année de naissance.
- La phrase de passe : il est possible de configurer une phrase de passe comme pour un service web. Appliquez les mêmes méthodes que pour les mots de passe pour la concevoir. Vous aurez ainsi un smartphone hyper protégé, mais difficile à déverrouiller (par vous également). Nous conseillerions ce cas aux professions à risque ou aux particuliers pendant les voyages où la saisie de votre matériel à l’arrivée est une éventualité. Notez que plus la phrase est longue et complexe, plus vous pourrez vous tromper en la tapant sur le clavier virtuel… et dans certains cas, cela amènera au blocage complet de votre smartphone.
Sur un iPhone ou un appareil iOS
Les iPhone et iPad sont chiffrés : cela signifie que sans votre code, les possibilités d’accéder à vos données approchent de zéro (ou requièrent des moyens colossaux). TouchID et FaceID sont des déverrouillages fiables qui accompagnent sainement un bon mot de passe.
FaceID a un avantage par rapport à la concurrence : il demande votre attention pour déverrouiller votre iPhone. Il faudra être violent pour vous forcer à le déverrouiller avec votre visage et si le déverrouillage échoue 4 fois, le mot de passe sera demandé. Même chose pour TouchID. Notez d’autre part qu’il est possible de désactiver le déverrouillage biométrique très simplement (jusqu’au prochain déverrouillage avec mot de passe). Faites-le quand vous êtes dans une situation critique : il suffit d’appuyer 5 fois rapidement sur le bouton power.
Attention à la fonction « Effacer les données » au bout de 10 tentatives infructueuses : Apple ne plaisante pas avec cela. Si vous vous trompez 10 fois, vous perdrez tout.
Sur un smartphone Android
Les points à relier dans un ordre précis ont été popularisés par Android et ne sont pas une mauvaise solution pour déverrouiller un smartphone. En effet, c’est facile à retenir et cela peut-être très complexe à deviner pour une machine ou un humain. Reste que vos doigts son sales et/ou gras (oui) : votre code pourrait être laissé sur votre l’écran de votre smartphone sans que vous ne le sachiez. À vous de voir comment votre smartphone récupère les traces. Dans tous les cas, il vous faut désactiver son tracé apparent pour plus de confidentialité : n’importe qui derrière votre épaule pourrait voir votre schéma dans le cas contraire.
Les solutions biométriques par empreinte digitale des différents constructeurs sont très bonnes et les solutions avec les mots de passe évoquées ci-dessus existent aussi. Méfiez-vous en revanche des fonctionnalités de déverrouillage par le visage qui ont été déployées à la va-vite après l’annonce d’Apple : elles ne sont pas très fiables si elles ne possèdent pas une « vision en profondeur » de votre visage ou si elle ne demandent pas votre attention.
Les 10 mots de passe les plus utilisés en 2020
NordPass, le service de gestionnaire de mot de passe lié à NordVPN, a sorti un tableau statistique très complet des 200 mots de passe les plus utilisés en 2020. Et comme tous les ans, il est catastrophique.
Vous trouverez le Top 10 des mots de passe les plus utilisés ci-dessous, avec, dans la quatrième colonne, le temps qu’il faut à un ordinateur pour le craquer. En clair, si votre mot de passe est dans cette liste, autant le modifier tout de suite.
D’après la firme, 123456 est encore un mot de passe qui cartonne : il est toujours utilisé massivement — en 2016, on recensait 10 millions de comptes qui l’utilisaient dans les bases de données les plus étudiées. Ce chiffre est colossal. Et le numéro 2 n’est pas plus sécurisé : 123456789 est certes plus long, mais une suite aussi simple sera normalement l’un des premiers tests d’un logiciel conçu pour craquer des mots de passe.
Le reste de la liste est du même acabit : entre les « password », les « 111111 », les petits malins qui pensent qu’ajouter un « 1 » après un mot fera un mot de passe convaincant et les suites à l’envers, rien n’est sécurisé.
La leçon de 2017 ne semble pas avoir été retenue
En 2016, les chercheurs de Keeper Security ne savaient plus très bien comment réagir : « La liste des mots de passe les plus utilisés ne change que très peu d’année en année, ce qui signifie que l’éducation des utilisateurs a ses limites. Même si de plus en plus d’utilisateurs ont connaissance des risques, très peu vont faire l’effort de se protéger ». Bref, la leçon semble ne jamais être définitivement retenue.
Numerama vous met à disposition son comparateur des gestionnaires de mots de passe, à trouver dans son hub dédié à la cyberhygiène.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.