Article mis à jour en avril 2018.

En bref

Comment créer un mot de passe sécurisé

Rappelons d’abord simplement ce qu’est un bon mot de passe. Aujourd’hui, si vous ne souhaitez pas utiliser un gestionnaire qui va générer un mot de passe complexe et aléatoire pour chacun de vos comptes, le mieux est d’appliquer la « méthode XKCD », popularisée par l’éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s’il est long, s’il n’a aucun sens et s’il est facile à retenir (oui, cet aspect fait partie de la sécurité : vous ne voulez pas l’oublier).

Dès lors, XKCD conseille de choisir 4 mots communs qui n’ont rien à voir et de les associer. numeramaphotographieventilateurbureau a plus de force (de « bits d’entropie ») que j3su1sunh4ck3r. Et puis se souvenir de 4 mots communs est bien plus simple que de se souvenir où vous avez placé le 4 ou le 3. Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd’hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit. L’incipit de votre roman préféré est donc à bannir.

Si vous voulez raffiner un poil votre mot de passe, vous pouvez partir de la même base et le modifier pour chaque service. Vous pouvez alors mettre le nom du service à la place d’un des 4 mots (numeramagmailventilateurbureau) ou, si vous souhaitez aller encore plus loin, donner simplement un indice sur la nature du service dont vous vous souviendrez. Ainsi, votre mot de passe pour Gmail sera numeramamoncourrierlventilateurbureau et votre mot de passe Facebook sera numeramacambridgeanalyticaventilateurbureau. Vous pourrez, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite, histoire de bien compliquer la tâche.

Une fois que vous aurez fait cela, n’oubliez pas d’activer la double authentification sur tous les comptes qui le permettent voir d’investir dans une clef USB U2F. La CNIL a également récemment donné ses propres recommandations. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.

Quel code de smartphone choisir

La deuxième étape pour commencer à sécuriser l’accès à vos données est de choisir un code pour votre smartphone. La biométrie (empreinte digitale, visage, rétine…) est souvent critiquée par les spécialistes du chiffrement, notamment parce que ces codes ne peuvent pas être changés (vous n’avez pas un nombre infini de visage).

Cela dit, Apple a démocratisé le déverrouillage par empreinte digitale sur l’iPhone 5S pour résoudre un problème : avant, les gens utilisaient leur iPhone sans mot de passe. La biométrie ajoute donc une couche de protection : elle oblige à créer un mot de passe tout en conservant un accès simple et efficace pour l’utilisateur. Aujourd’hui, cela serait dommage de ne pas utiliser cette possibilité fort pratique au quotidien, même si elle doit s’accompagner de plusieurs précautions.

Règles générales

Quand on parle sécurité, on a une fâcheuse tendance à la flemmardise : est-ce que le code de verrouillage de votre smartphone est votre année de naissance ou celle de votre conjoint·e ? Si c’est le cas, ce n’est clairement pas sécurisé.

Nous vous conseillerions trois options selon votre niveau de confort, mais oubliez dès maintenant le code à 4 chiffres : les boîtiers GrayKey sont a priori capables de les craquer en un temps record, même sur un iPhone.

Sur un iPhone ou un appareil iOS

Les options de sécurité

Les iPhone et iPad sont chiffrés : cela signifie que sans votre code, les possibilités d’accéder à vos données approchent de zéro (ou requièrent des moyens colossaux). TouchID et FaceID sont des déverrouillages fiables qui accompagnent sainement un bon mot de passe.

FaceID a un avantage par rapport à la concurrence : il demande votre attention pour déverrouiller votre iPhone. Il faudra être violent pour vous forcer à le déverrouiller avec votre visage et si le déverrouillage échoue 4 fois, le mot de passe sera demandé. Même chose pour TouchID. Notez d’autre part qu’il est possible de désactiver le déverrouillage biométrique très simplement (jusqu’au prochain déverrouillage avec mot de passe). Faites-le quand vous êtes dans une situation critique : il suffit d’appuyer 5 fois rapidement sur le bouton power.

Attention à la fonction « Effacer les données » au bout de 10 tentatives infructueuses : Apple ne plaisante pas avec cela. Si vous vous trompez 10 fois, vous perdrez tout.

Sur un smartphone Android

Les points à relier dans un ordre précis ont été popularisés par Android et ne sont pas une mauvaise solution pour déverrouiller un smartphone. En effet, c’est facile à retenir et cela peut-être très complexe à deviner pour une machine ou un humain. Reste que vos doigts son sales et/ou gras (oui) : votre code pourrait être laissé sur votre l’écran de votre smartphone sans que vous ne le sachiez. À vous de voir comment votre smartphone récupère les traces. Dans tous les cas, il vous faut désactiver son tracé apparent pour plus de confidentialité : n’importe qui derrière votre épaule pourrait voir votre schéma dans le cas contraire.

Les solutions biométriques par empreinte digitale des différents constructeurs sont très bonnes et les solutions avec les mots de passe évoquées ci-dessus existent aussi. Méfiez-vous en revanche des fonctionnalités de déverrouillage par le visage qui ont été déployées à la va-vite après l’annonce d’Apple : elles ne sont pas très fiables si elles ne possèdent pas une « vision en profondeur » de votre visage ou si elle ne demandent pas votre attention.

Android P, la prochaine version d’Android ajoute une fonction de verrouillage similaire à celle d’iOS pour désactiver dans l’urgence le déverrouillage biométrique.

Les 25 mots de passe les plus utilisés en 2017

La firme Splashdata sort tous les ans son top 25, basé sur des recherches effectuées sur des bases de données piratées. Et malheureusement, les résultats sont déplorables. Avant de commenter ces résultats, prenons quelques secondes pour regarder le classement.

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou
  11. admin
  12. welcome
  13. monkey
  14. login
  15. abc123
  16. starwars
  17. 123123
  18. dragon
  19. passw0rd
  20. master
  21. hello
  22. freedom
  23. whatever
  24. qazwsx
  25. trustno1

D’après la firme, 123456 est encore un mot de passe qui cartonne : il est toujours utilisé massivement et en 2016, on recensait 10 millions de comptes qui l’utilisaient dans les bases de données étudiées — soit 17 % du total. Ce chiffre est colossal. En pratique, cela signifie qu’un peu moins de 2 personnes sur 10 l’utilise. Si vous êtes 15 dans votre bureau, vous pouvez déjà commencer à avoir des doutes. Et le numéro 2 n’est pas plus sécurisé : 123456789 est certes plus long, mais une suite aussi simple sera normalement l’un des premiers tests d’un logiciel conçu pour craquer des mots de passe.

Le reste de la liste est du même acabit : entre les « password », les « google », les répétitions d’un même nombre, les petits malins qui pensent qu’intercaler 1234 et qwer feront des mots de passe convaincants et les suites à l’envers, rien n’est sécurisé. Mention spéciale, cette année, aux mots de passe qui correspondent aux hits de la pop culture : Star Wars et Game of Thrones (avec le dragon) se retrouvent dans le top.

La leçon de 2016 ne semble pas avoir été retenue

L’an passé, les chercheurs de Keeper Security ne savaient plus très bien comment réagir : « La liste des mots de passe les plus utilisés ne change que très peu d’année en année, ce qui signifie que l’éducation des utilisateurs a ses limites. Même si de plus en plus d’utilisateurs ont connaissance des risques, très peu vont faire l’effort de se protéger  ». Cette année, Splashdata ajoute à cette mise en garde un paragraphe concernant la pop culture : « les pirates utilisent des termes communs de la pop culture et du sports pour pénétrer dans des comptes car ils savent que beaucoup de gens utilisent ces mots de passe facile à retenir ». Bref, la leçon de 2016 ne semble pas avoir été retenue.