Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Faut-il vraiment se forcer à créer un mot de passe compliqué ?

Tout le monde vous le rabâche : il faut un mot de passe « fort »Il faut qu'il soit long, qu'il contienne des caractères spéciaux, des majuscules et des chiffres. Certains sites ne vous laissent même pas l'option d'échapper à ces exigences.

Pourtant vous vous en passeriez bien : à force de complexifier votre mot de passe basique, vous ne vous en rappelez jamais. Cyb3rgu3rre ? CYb3-rgueRRe ? cYb!ergu-3rr3 ? Quel était mon mot de passe, déjà ? À force de changer vos mots de passe, vous pourriez être las et laisser tomber certaines bonnes pratiques. Mais attendez ! Pour commencer, suivez notre tutoriel pour créer une phrase de passe simple à retenir et suffisamment efficace :

https://twitter.com/Numerama/status/1114044998901616640

Ensuite, il faut comprendre pourquoi on se force (et sommes forcés) à utiliser des mots de passe forts. Considérez votre mot de passe comme la serrure de la porte d'entrée de votre domicile. Si la serrure est trop basique, un voleur n'aura aucun problème pour la crocheter ou pour forger une clé à la bonne taille. En revanche, si elle est unique et complexe, il devra trouver un autre moyen, beaucoup moins discret, pour ouvrir la porte. Or, sur Internet, on retrouve d'excellents crocheteurs de mots de passe, et c'est d'eux que vous devez vous protéger.

Pourquoi votre mot de passe doit être impossible à deviner

Lorsqu'un malfaiteur va chercher à trouver le mot de passe d'un de vos comptes, il va passer par plusieurs étapes.

Deviner l'évidence

D'abord, les évidences. Le hacker va tenter les mots de passe les plus simples comme « motdepasse », « 123456 », ou encore votre date de naissance. Parfois, pas besoin d'utiliser des méthodes complexes, il suffit d'en appeler à son intuition (et à la fainéantise de la cible). C'est ainsi qu'un chercheur néerlandais affirme avoir deviné le mot de passe Twitter de Donald Trump, à quelques jours de l'élection présidentielle de 2020. D'après lui, le mot du compte @realDonaldTrump très utilisé par le président sortant était « maga2020! ». Bien qu'il comportait des chiffres, des lettres et un caractère spécial, le chercheur l'aurait simplement... deviné. Reste que s'il avait eu une majuscule sur le « G », le chercheur serait sûrement passé à côté.

L'attaque par force brute

Une des techniques les plus communément utilisées par les hackers est l'attaque par force brute : elle consiste à tenter toutes les combinaisons de mots de passe possible, jusqu'à trouver la bonne. Elle est particulièrement efficace si l'attaquant connaît, d'une manière ou d'une autre, la longueur du mot de passe. C'est ici qu'utiliser des majuscules et des caractères spéciaux devient très intéressant. Prenons un exemple :

Autrement dit, plus un mot de passe est long, et plus le nombre de possibilités pour chaque caractère est grand, et moins l'attaque par force brute sera efficace. Passé un certain seuil, le calcul sera trop long, et l’attaque ne sera même pas envisageable.

Pour contrer ce type d'attaque, une majorité de sites verrouille les tentatives de connexion après un certain nombre de ratés. Mais il existe des scénarios dans lesquels cette protection peut être contournée à cause de bugs, ou de vulnérabilités.

L'attaque par dictionnaire

Puisque l'attaque par force brute peut vite devenir laborieuse, les hackers utilisent une autre technique, plus rusée : l'attaque par dictionnaire. Les dictionnaires de mots de passe sont des listes des mots de passe les plus utilisés, classés selon certains critères (longueur, pays de l'utilisateur, exigences du site...). Il existe des listes gratuites, comme celle de Have I Been Pwned, mais les meilleurs hackers créent leurs propres listes personnalisées à partir des fuites de données qu'ils ont collectées.

Ainsi, au lieu de tester des milliards de combinaisons pour se connecter au compte, l'attaquant ne va essayer que les quelques centaines de milliers de mots de passe les plus utilisés pour ce cas particulier. Malgré un nombre de tentatives réduites, il couvrira, statistiquement, une large part de tous les mots de passe utilisés. Dans ces listes, on retrouve des mots de passe longs, qui utilisent de nombreux caractères, mais qui ne sont pas uniques, car trop évidents dans leur construction. Si vous avez un mot de passe suffisamment fort, et donc unique, il ne devrait même pas apparaître dans la liste, et vous serez hors portée de l'attaque. Comme souvent en sécurité, les attaquants vont préférer s'en prendre aux cibles les plus vulnérables que s'attaquer aux comptes les mieux protégés.

Comme l'attaque par force brute, l'attaque par dictionnaire peut être contrée par le plafonnement du nombre de tentatives de connexion au site… à condition que cette protection fonctionne correctement.

Même un mot de passe fort et unique a ses limites

Avoir un mot de passe fort, c'est-à-dire une excellente serrure sur la porte de votre compte, ne suffit malheureusement pas dans toutes les situations.