Faut-il vraiment se forcer à créer un mot de passe compliqué ?
Tout le monde vous le rabâche : il faut un mot de passe « fort ».
Pourtant vous vous en passeriez bien : à force de complexifier votre mot de passe basique, vous ne vous en rappelez jamais. Cyb3rgu3rre ? CYb3-rgueRRe ? cYb!ergu-3rr3 ? Quel était mon mot de passe, déjà ? À force de changer vos mots de passe, vous pourriez être las et laisser tomber certaines bonnes pratiques. Mais attendez ! Pour commencer, suivez notre tutoriel pour créer une phrase de passe simple à retenir et suffisamment efficace :
https://twitter.com/Numerama/status/1114044998901616640
Ensuite, il faut comprendre pourquoi on se force (et sommes forcés) à utiliser des mots de passe forts. Considérez votre mot de passe comme la serrure de la porte d'entrée de votre domicile. Si la serrure est trop basique, un voleur n'aura aucun problème pour la crocheter ou pour forger une clé à la bonne taille. En revanche, si elle est unique et complexe, il devra trouver un autre moyen, beaucoup moins discret, pour ouvrir la porte. Or, sur Internet, on retrouve d'excellents crocheteurs de mots de passe, et c'est d'eux que vous devez vous protéger.
Pourquoi votre mot de passe doit être impossible à deviner
Lorsqu'un malfaiteur va chercher à trouver le mot de passe d'un de vos comptes, il va passer par plusieurs étapes.
Deviner l'évidence
D'abord, les évidences. Le hacker va tenter les mots de passe les plus simples comme « motdepasse », « 123456 », ou encore votre date de naissance. Parfois, pas besoin d'utiliser des méthodes complexes, il suffit d'en appeler à son intuition (et à la fainéantise de la cible). C'est ainsi qu'un chercheur néerlandais affirme avoir deviné le mot de passe Twitter de Donald Trump, à quelques jours de l'élection présidentielle de 2020. D'après lui, le mot du compte @realDonaldTrump très utilisé par le président sortant était « maga2020! ». Bien qu'il comportait des chiffres, des lettres et un caractère spécial, le chercheur l'aurait simplement... deviné. Reste que s'il avait eu une majuscule sur le « G », le chercheur serait sûrement passé à côté.
L'attaque par force brute
Une des techniques les plus communément utilisées par les hackers est l'attaque par force brute : elle consiste à tenter toutes les combinaisons de mots de passe possible, jusqu'à trouver la bonne. Elle est particulièrement efficace si l'attaquant connaît, d'une manière ou d'une autre, la longueur du mot de passe. C'est ici qu'utiliser des majuscules et des caractères spéciaux devient très intéressant. Prenons un exemple :
Jennifer a créé un mot de passe à 6 chiffres, le minimum demandé par le site. Si elle n'utilise que des lettres minuscules parmi les 26 de l'alphabet, alors un hacker devra tenter 26^6 (c'est-à-dire 26x26x26x26x26x26), soit plus de 300 millions de combinaisons pour être sûr de trouver le mot de passe. Ce nombre paraît gigantesque, mais avec les capacités de calcul actuelles, c'est l'affaire de quelques minutes tout au plus. Maintenant, ajoutez des lettres majuscules à son mot de passe, et vous doublez le nombre de possibilités pour chaque caractère : le pirate devra tenter 52^6, soit plus de 19 milliards de combinaisons, pour être sûr de trouver votre mot de passe. Allongez le mot de passe de 4 caractères, et le malfaiteur devra tenter 52^10, soit des milliers de milliards de combinaisons, pour être certains d'avoir le mot de passe.
Autrement dit, plus un mot de passe est long, et plus le nombre de possibilités pour chaque caractère est grand, et moins l'attaque par force brute sera efficace. Passé un certain seuil, le calcul sera trop long, et l’attaque ne sera même pas envisageable.
Pour contrer ce type d'attaque, une majorité de sites verrouille les tentatives de connexion après un certain nombre de ratés. Mais il existe des scénarios dans lesquels cette protection peut être contournée à cause de bugs, ou de vulnérabilités.
L'attaque par dictionnaire
Puisque l'attaque par force brute peut vite devenir laborieuse, les hackers utilisent une autre technique, plus rusée : l'attaque par dictionnaire. Les dictionnaires de mots de passe sont des listes des mots de passe les plus utilisés, classés selon certains critères (longueur, pays de l'utilisateur, exigences du site...). Il existe des listes gratuites, comme celle de Have I Been Pwned, mais les meilleurs hackers créent leurs propres listes personnalisées à partir des fuites de données qu'ils ont collectées.
Ainsi, au lieu de tester des milliards de combinaisons pour se connecter au compte, l'attaquant ne va essayer que les quelques centaines de milliers de mots de passe les plus utilisés pour ce cas particulier. Malgré un nombre de tentatives réduites, il couvrira, statistiquement, une large part de tous les mots de passe utilisés. Dans ces listes, on retrouve des mots de passe longs, qui utilisent de nombreux caractères, mais qui ne sont pas uniques, car trop évidents dans leur construction. Si vous avez un mot de passe suffisamment fort, et donc unique, il ne devrait même pas apparaître dans la liste, et vous serez hors portée de l'attaque. Comme souvent en sécurité, les attaquants vont préférer s'en prendre aux cibles les plus vulnérables que s'attaquer aux comptes les mieux protégés.
Comme l'attaque par force brute, l'attaque par dictionnaire peut être contrée par le plafonnement du nombre de tentatives de connexion au site… à condition que cette protection fonctionne correctement.
Même un mot de passe fort et unique a ses limites
Avoir un mot de passe fort, c'est-à-dire une excellente serrure sur la porte de votre compte, ne suffit malheureusement pas dans toutes les situations.
Votre mot de passe peut être compromis. Certaines entreprises ne sécurisent pas correctement leurs serveurs et votre mot de passe pourrait être dérobé. Comme si votre serrurier se faisait voler un double de vos clés. Ou alors, vous pourriez vous faire piéger par un phishing, et donner vous-même votre mot de passe à un malfaiteur. Pour contrer ces éventuelles défaillances , la plupart des sites proposent d'activer la double authentification. Cette protection consiste à placer un deuxième verrou sur votre compte, de sorte que même si un hacker obtient un moyen d'ouvrir la serrure principale, il ne pourra toujours pas ouvrir la porte vers votre compte.
Vous réutilisez le mot de passe sur un autre site. Même si ce mot de passe est fort, vous augmentez les risques de fuite à chaque réutilisation. Vous facilitez ainsi le travail des malfaiteurs : ils n'ont qu'une serrure à crocheter pour ouvrir toutes les portes.