Le mot de passe ou la phrase de passe sont la base de la sécurité informatique. Que ce soit pour vos comptes, réseaux sociaux ou smartphones, choisir un bon mot de passe est capital. On vous explique comment en créer un.

Dans une visite en plein Bureau ovale devant Donald Trump (qui est l’un des pires mots de passe de 2018…), l’artiste controversé Kanye West a déverrouillé son iPhone, révélant devant les caméras du monde entier son mot de passe. Il s’agit de 000000, soit le pire mot de passe possible. Le musicien a poursuivi en demandant à Donald Trump de construire un avion à hydrogène pour remplacer Air Force One. Cet iPlane, comme il le nomme, devrait être construit par Apple, parce que… pourquoi pas ?

Cette situation ubuesque nous rappelle à quel point la conception d’une bonne phrase de passe est nécessaire, tout comme la définition d’un bon code pour son smartphone. Notre guide pourra vous y aider.

En bref

  • Ne pas utiliser de mot de passe classique comme 123456 ou motdepasse
  • Utiliser 4 mots courants qui n’ont pas de rapport (tablevachemonologueordinateur)
  • Varier les mots de passe selon les services
  • Utiliser des majuscules, des chiffres et des symboles
  • Ne pas verrouiller un smartphone avec un code à 4 chiffres

Comment créer un mot de passe sécurisé

Rappelons d’abord simplement ce qu’est un bon mot de passe. Aujourd’hui, si vous ne souhaitez pas utiliser un gestionnaire qui va générer un mot de passe complexe et aléatoire pour chacun de vos comptes, le mieux est d’appliquer la « méthode XKCD », popularisée par l’éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s’il est long, s’il n’a aucun sens et s’il est facile à retenir (oui, cet aspect fait partie de la sécurité : vous ne voulez pas l’oublier).

Dès lors, XKCD conseille de choisir 4 mots communs qui n’ont rien à voir et de les associer. numeramaphotographieventilateurbureau a plus de force (de « bits d’entropie ») que j3su1sunh4ck3r. Et puis se souvenir de 4 mots communs est bien plus simple que de se souvenir où vous avez placé le 4 ou le 3. Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd’hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit. L’incipit de votre roman préféré est donc à bannir.

Si vous voulez raffiner un poil votre mot de passe, vous pouvez partir de la même base et le modifier pour chaque service. Vous pouvez alors mettre le nom du service à la place d’un des 4 mots (numeramagmailventilateurbureau) ou, si vous souhaitez aller encore plus loin, donner simplement un indice sur la nature du service dont vous vous souviendrez. Ainsi, votre mot de passe pour Gmail sera numeramamoncourrierlventilateurbureau et votre mot de passe Facebook sera numeramacambridgeanalyticaventilateurbureau. Vous pourrez, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite, histoire de bien compliquer la tâche.

Une fois que vous aurez fait cela, n’oubliez pas d’activer la double authentification sur tous les comptes qui le permettent voir d’investir dans une clef USB U2F. La CNIL a également récemment donné ses propres recommandations. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.

Quel code de smartphone choisir

La deuxième étape pour commencer à sécuriser l’accès à vos données est de choisir un code pour votre smartphone. La biométrie (empreinte digitale, visage, rétine…) est souvent critiquée par les spécialistes du chiffrement, notamment parce que ces codes ne peuvent pas être changés (vous n’avez pas un nombre infini de visage).

Cela dit, Apple a démocratisé le déverrouillage par empreinte digitale sur l’iPhone 5S pour résoudre un problème : avant, les gens utilisaient leur iPhone sans mot de passe. La biométrie ajoute donc une couche de protection : elle oblige à créer un mot de passe tout en conservant un accès simple et efficace pour l’utilisateur. Aujourd’hui, cela serait dommage de ne pas utiliser cette possibilité fort pratique au quotidien, même si elle doit s’accompagner de plusieurs précautions.

Règles générales

Quand on parle sécurité, on a une fâcheuse tendance à la flemmardise : est-ce que le code de verrouillage de votre smartphone est votre année de naissance ou celle de votre conjoint·e ? Si c’est le cas, ce n’est clairement pas sécurisé.

Nous vous conseillerions trois options selon votre niveau de confort, mais oubliez dès maintenant le code à 4 chiffres : les boîtiers GrayKey sont a priori capables de les craquer en un temps record, même sur un iPhone.

  • Le code à 6 chiffres ou plus : c’est un bon premier pas qui vous couvrira dans la plupart des situations. Si vous avez une activité à risque ou une envie de mieux protéger votre smartphone, oubliez.
  • Le code à 6 chiffres et lettres : c’est le juste milieu entre la sécurité maximale et le code simple à composer. Contrairement à un mot de passe de service web, vous aurez à le taper peut-être plusieurs fois par jour (quand la biométrie ne fonctionne pas par exemple). Alternez les chiffres et les lettres et vous le retiendrez facilement tout en ajoutant de la complexité pour des attaques en force brute. Et ce sera moins simple à deviner pour vos proches que votre année de naissance.
  • La phrase de passe : il est possible de configurer une phrase de passe comme pour un service web. Appliquez les mêmes méthodes que pour les mots de passe pour la concevoir. Vous aurez ainsi un smartphone hyper protégé, mais difficile à déverrouiller (par vous également). Nous conseillerions ce cas aux professions à risque ou aux particuliers pendant les voyages où la saisie de votre matériel à l’arrivée est une éventualité. Notez que plus la phrase est longue et complexe, plus vous pourrez vous tromper en la tapant sur le clavier virtuel… et dans certains cas, cela amènera au blocage complet de votre smartphone.

Sur un iPhone ou un appareil iOS

Les options de sécurité

Les iPhone et iPad sont chiffrés : cela signifie que sans votre code, les possibilités d’accéder à vos données approchent de zéro (ou requièrent des moyens colossaux). TouchID et FaceID sont des déverrouillages fiables qui accompagnent sainement un bon mot de passe.

FaceID a un avantage par rapport à la concurrence : il demande votre attention pour déverrouiller votre iPhone. Il faudra être violent pour vous forcer à le déverrouiller avec votre visage et si le déverrouillage échoue 4 fois, le mot de passe sera demandé. Même chose pour TouchID. Notez d’autre part qu’il est possible de désactiver le déverrouillage biométrique très simplement (jusqu’au prochain déverrouillage avec mot de passe). Faites-le quand vous êtes dans une situation critique : il suffit d’appuyer 5 fois rapidement sur le bouton power.

Attention à la fonction « Effacer les données » au bout de 10 tentatives infructueuses : Apple ne plaisante pas avec cela. Si vous vous trompez 10 fois, vous perdrez tout.

Sur un smartphone Android

Les points à relier dans un ordre précis ont été popularisés par Android et ne sont pas une mauvaise solution pour déverrouiller un smartphone. En effet, c’est facile à retenir et cela peut-être très complexe à deviner pour une machine ou un humain. Reste que vos doigts son sales et/ou gras (oui) : votre code pourrait être laissé sur votre l’écran de votre smartphone sans que vous ne le sachiez. À vous de voir comment votre smartphone récupère les traces. Dans tous les cas, il vous faut désactiver son tracé apparent pour plus de confidentialité : n’importe qui derrière votre épaule pourrait voir votre schéma dans le cas contraire.

Les solutions biométriques par empreinte digitale des différents constructeurs sont très bonnes et les solutions avec les mots de passe évoquées ci-dessus existent aussi. Méfiez-vous en revanche des fonctionnalités de déverrouillage par le visage qui ont été déployées à la va-vite après l’annonce d’Apple : elles ne sont pas très fiables si elles ne possèdent pas une « vision en profondeur » de votre visage ou si elle ne demandent pas votre attention.

Android P, la prochaine version d’Android ajoute une fonction de verrouillage similaire à celle d’iOS pour désactiver dans l’urgence le déverrouillage biométrique.

Les 25 mots de passe les plus utilisés en 2018

La firme Splashdata sort tous les ans son top 25, basé sur des recherches effectuées sur des bases de données piratées. Et malheureusement, les résultats sont déplorables. Avant de commenter ces résultats, prenons quelques secondes pour regarder le classement.

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 11111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20.  !@#$ %^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123

D’après la firme, 123456 est encore un mot de passe qui cartonne : il est toujours utilisé massivement et en 2016, on recensait 10 millions de comptes qui l’utilisaient dans les bases de données étudiées — soit 17 % du total. Ce chiffre est colossal. En pratique, cela signifie qu’un peu moins de 2 personnes sur 10 l’utilise. Si vous êtes 15 dans votre bureau, vous pouvez déjà commencer à avoir des doutes. Et le numéro 3 n’est pas plus sécurisé : 123456789 est certes plus long, mais une suite aussi simple sera normalement l’un des premiers tests d’un logiciel conçu pour craquer des mots de passe.

Le reste de la liste est du même acabit : entre les « password », les « google », les répétitions d’un même nombre, les petits malins qui pensent qu’intercaler 1234 et qwer feront des mots de passe convaincants et les suites à l’envers, rien n’est sécurisé.

La leçon de 2017 ne semble pas avoir été retenue

En 2016, les chercheurs de Keeper Security ne savaient plus très bien comment réagir : « La liste des mots de passe les plus utilisés ne change que très peu d’année en année, ce qui signifie que l’éducation des utilisateurs a ses limites. Même si de plus en plus d’utilisateurs ont connaissance des risques, très peu vont faire l’effort de se protéger  ».  Bref, la leçon de 2017 ne semble pas avoir été retenue.

Partager sur les réseaux sociaux