Apprenez à mieux gérer vos mots de passe

Les articles ont beau se multiplier sur le sujet, les internautes continuent à mal choisir leurs mots de passe, quand ils n’en utilisent pas qu’un seul. Il faut dire que la situation est complexe. Il n’est pas rare de posséder des comptes sur une vingtaine de services internet, et d’accéder à de nombreuses applications dans son entreprise.

Sans compter qu’au final, quelque soit la solidité du mot de passe choisi, "il n’y a pas de miracle, tout repose aussi sur la manière dont le concepteur de l’application va stocker les mots de passe. Il n’est pas rare de recevoir un email avec un mot de passe en clair après s’être abonné à un service", regrette Gérome Billois, manager sécurité et gestion des risques chez Solucom. Dans ces conditions, le travail des pirates est grandement facilité.

Gérer ses mots de passe différemment selon les comptes

Pour limiter les risques, une bonne gestion de ses mots de passe implique de traiter différemment les applications que l’on utilise et leurs accès. "Une réflexion est nécessaire pour déterminer quels sont les comptes les plus critiques, ceux qui sont importants et ceux qui ne sont pas vitaux", énumère Gérome Billois. L’idée est de ne pas nécessairement utiliser partout des mots de passe difficiles à retrouver et à mémoriser.

En haut de la pyramide, les services les plus importants doivent être particulièrement protégés. Parmi eux, on compte les sites de banque en ligne et la messagerie électronique qui contient une bonne partie de notre vie numérique et qui permet de récupérer les mots de passe oubliés. "Pour les comptes les plus importants, mieux vaut utiliser l’authentification à deux facteurs", poursuit Gérome Billois. Avec cette technique, l’utilisateur se sert d’un mot de passe et d’un code envoyé par SMS, via une application sur son téléphone portable ou encore par email. "Certes cette technique n’est pas parfaite, car des malware existent pour récupérer le deuxième facteur, mais c’est le meilleur rapport protection ergonomie", ajoute Gérome Billois. Seul souci : tous les services grand public ne proposent pas ce type d’authentification et quand il est disponible il est parfois difficilement accessible. Pour savoir quel site utilise quoi, rendez-vous sur le site Two Factor Auth.

Mélanger les majuscules et les minuscules

Au deuxième étage de la pyramide, les comptes les plus importants auront droit à des mots de passe difficiles à deviner. C’est le cas des réseaux sociaux ou des sites qui stockent les cordonnées de cartes bancaires des clients. Pour construire ces mots de passe différentes techniques existent comme utiliser la première lettre de chaque mot d’une phrase en y mélangeant majuscules, minuscules et en introduisant des chiffres et des caractères spéciaux. Pour en savoir plus lire notre article Quelles techniques pour choisir de nouveaux mots de passe.

Attention ! Si vous utilisez une racine commune à tous vos mots de passe à laquelle vous ajoutez un suffixe selon le service, ne choisissez pas un suffixe trop évident commemot_de_passe_facebook puis mot_de_passe_google. Un pirate récupérant l’un de vos mots de passe aura vite fait d’avoir accès à tous vos services. Le troisième étage comporte les comptes qu’on utilise souvent, comme voyages-sncf.com ou certain sites de commerce en ligne. Ils seront gérés avec des mots de passe solides.
Enfin, au dernier étage, sont relégués les sites auxquels on ne fait pas confiance comme celui de l’association de quartier ou d’un forum hébergé à l’étranger. Il faut éviter d’utiliser sur ces sites des mots de passe utilisés sur des services plus sensibles. L’idéal est de choisir n’importe quel mot de passe, de ne pas chercher à le retenir et de se servir du mécanisme de récupération quand on en a besoin. Autrement dit, cliquer sur "j’ai oublié mon mot de passe" à chaque fois qu’on en a besoin.

Utiliser un gestionnaire de mots de passe

Pour se simplifier la vie, il est aussi possible d’utiliser un gestionnaire de mots de passe (aussi appelé coffre-fort). Ces outils gèrent les mots de passe à la place de l’utilisateur qui n’a plus besoin de les taper lui-même sur son clavier. Ils se nomment Dashlane (créé par des Français), 1Password, Lastpass ou Keepass, un logiciel open source. "Mais dans ce cas-là, si votre PC est compromis par un malware, toutes vos identités sont volées d’un coup", met en garde Gérome Billois. Mieux vaut continuer à gérer ses comptes les plus importants (le premier étage de la pyramide) en dehors du gestionnaire de mots de passe en utilisant l’authentification à deux facteurs.
Les gestionnaires de mots de passe sont aussi utiles en entreprise. Dashlane permet, par exemple, de gérer des mots de passe par équipe. Les membres de l’équipe n’ont pas accès aux mots de passe en tant que tels, c’est le gestionnaire de mots de passe qui s’occupe de tout. Pour les réseaux sociaux, il est aussi possible d’utiliser des outils comme Hootsuite qui stockent les mots de passe des comptes des différents réseaux sociaux. Il faut bien sûr éviter de stocker les mots de passe dans un fichier partagé. "C’est notamment ce qui s’est passé chez Sony Pictures, les hackers ont récupéré d’importants volume de fichiers, et ils n’ont plus eu qu’à faire une recherche sur le mot password", rappelle Gérome Billois.