La majorité des internautes n'a pas encore pris l'habitude de créer des mots de passe respectant un minimum les recommandations en matière de sécurité informatique. Une situation qui préoccupe la Cnil.

Il faut le répéter encore et encore : lorsque vous devez choisir un mot de passe, ayez l’obligeance de ne pas en prendre un parmi les plus répandus. Il en va de la sûreté de votre compte car les codes les plus communs comme par exemple 123456, qwerty, 111111, password ou 123123 sont également ceux qui sont susceptibles d’être testés en premier pour essayer d’accéder à votre compte.

Ce conseil marqué au coin du bon sens se heurte hélas à un constat décourageant : les listes indiquant les mots de passe les plus répandus ne changent finalement pas tant que ça d’une année sur l’autre, signe que cette recommandation n’imprime pas vraiment dans la tête du grand public. Il existe pourtant des astuces assez simples à employer pour élever significativement le niveau de votre protection.

Mots de passe faibles
Est-ce bien raisonnable ?

Cette situation est une source de préoccupation au sein de la commission nationale de l’informatique et des libertés (Cnil), à tel point qu’elle a adopté cette semaine une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal pour les particuliers comme pour les sociétés, dans la mesure où « le mot de passe reste LE sésame pour accéder à la plupart des services numériques ».

Les conseils de la Cnil portent sur les quatre phases de la « vie » du mot de passe, à savoir sa création (est-il unique ? Assez long et complexe ?), son utilisation (le site qui le demande lors de la connexion applique-t-il les bonnes pratiques de sécurité ?) sa conservation (est-il bien protégé par le service qui l’a enregistré ?) et enfin son renouvellement (le nouveau mot de passe risque-t-il d’être intercepté ?).

Des risques et des faiblesses à chaque étape.

Pour certaines de ces recommandations, l’internaute ne pourra pas faire grand chose. Par exemple, c’est au site web de s’assurer que le mot de passe est transmis par un canal sûr au moment de la connexion. C’est également à lui de le stocker correctement, en évitant qu’il puisse être trouvé si jamais un pirate compromet la base de données. Mais pour les autres remarques de la Cnil, l’internaute occupe un rôle central.

Pour l’assister dans la création d’un mot de passe, la Cnil a déterminé l’existence de quatre cas d’authentification et produit en conséquence un tableau qui liste les bonnes pratiques à suivre selon les cas de figure. Et bien souvent, le mot de passe seul ne suffit pas : « Très répandu, le mot de passe offre pourtant un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité », prévient l’autorité.

Très répandu, le mot de passe offre un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité

« Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification », ajoute-t-elle. Si par exemple un service n’utilise que le mot de passe, celui-ci doit faire au moins 12 caractères mélangés. En revanche, le mot de passe peut être plus court dans d’autres cas de figure.

La Cnil prend en exemple le cas de la carte bancaire dont le code à composer pour payer à la caisse ou retirer de l’argent n’a que quatre chiffres. C’est peu, mais cette apparente faiblesse est compensée par deux autres mesures de sécurité : il faut avoir la carte dans les mains et le matériel se bloque au bout de trois tentatives ratées. Or, il est extrêmement peu probable de parvenir à trouver un code de 4 chiffres en 3 essais.

Chaîne lock cadenas
CC Leeroy

Ainsi, « des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul », commente la Cnil. C’est tout l’intérêt, par exemple, de la double authentification (ou authentification forte)

Si vous ne savez pas comment choisir un bon mot de passe, vous pouvez visiter le site de la Cnil et utiliser son générateur de phrase de passe. Il suffit de mettre une phase, associée par exemple au site sur lequel vous voulez employer le mot de passe que vous cherchez à créer, et le site vous montre ce que ça donne. Par exemple, « Pour protéger mon compte Numerama, j’invente 1 phrase de passe ! » devient « PpmcN,j’i1pdp ! »

Et si vous craignez que ce mot de passe se confonde avec celui que vous comptiez utiliser pour un autre service dont le nom commence par la lettre N, par exemple les services en ligne de Nintendo, vous pouvez toujours les personnaliser : « PpmcNumerama,j’i1pdp ! » pour le premier et « PpmcNintendo,j’i1pdp ! » pour le second.

À lire sur Numerama : Comment fonctionne la protection d’un compte avec une clé USB de sécurité (U2F)

Partager sur les réseaux sociaux