Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Comment créer un bon mot de passe sécurisé et un bon code pour smartphone

La phrase de passe ou le mot de passe sont la base de la sécurité informatique. Que ce soit pour vos comptes, réseaux sociaux ou smartphones, choisir un bon mot de passe, fort, est capital. On vous explique comment en créer un.

Dans une visite en plein Bureau ovale devant Donald Trump en 2018, Kanye West a déverrouillé son iPhone, révélant devant les caméras du monde entier son mot de passe. Il s'agit de 000000, 8 caractères similaires, soit le pire mot de passe possible pour protéger ses données. Mais aussi l'un des plus utilisés -- des stars du hip-hop aux administrations en passant par les particuliers et les entreprises.

Cette situation nous rappelle néanmoins à quel point la conception d'une bonne phrase de passe est nécessaire, tout comme la définition d'un bon code pour son smartphone. Notre guide pourra vous y aider.

https://twitter.com/Numerama/status/1114044998901616640

Un bon mot de passe en bref

Comment créer un mot de passe sécurisé

Rappelons d'abord simplement ce qu'est un bon mot de passe. Aujourd'hui, si vous ne souhaitez pas utiliser un gestionnaire de mot de passe qui va générer un mot de passe complexe et aléatoire pour chacun de vos comptes, le mieux est d'appliquer la « méthode XKCD », popularisée par l'éditeur de bandes-dessinées. Elle repose sur un postulat simple : un mot de passe est sécurisé s'il est long (plus de caractères, c'est plus de sécurité), s'il n'a aucun sens et s'il est facile à retenir (oui, cet aspect fait partie de la sécurité : vous ne voulez pas l'oublier).

Dès lors, XKCD conseille de choisir 4 mots communs qui n'ont rien à voir et de les associer. numeramaphotographieventilateurbureau (37 caractères) a plus de force (de « bits d'entropie ») que j3su1sunh4ck3r (14 caractères). Et puis se souvenir de 4 mots communs est bien plus simple que de se souvenir où vous avez placé le 4 ou le 3. Il faut éviter en revanche les citations ou les phrases toutes faites, dans la mesure où certaines techniques « brute force » testent aujourd'hui très facilement des citations connues en piochant dans des bases de données en ligne ou des livres en accès gratuit. L'incipit de votre roman préféré est donc à bannir : c'est certes long en lettres, mais à la sécurité faible !

Si vous voulez raffiner un poil votre mot de passe, vous pouvez partir de la même base et le modifier pour chaque service. Vous pouvez alors mettre le nom du service à la place d'un des 4 mots (numeramagmailventilateurbureau) ou, si vous souhaitez aller encore plus loin, donner simplement un indice sur la nature du service dont vous vous souviendrez. Ainsi, votre mot de passe pour Gmail sera numeramamoncourrierlventilateurbureau et votre mot de passe Facebook sera numeramacambridgeanalyticaventilateurbureau. Vous pourrez, bien entendu, ajouter des majuscules, un chiffre et un signe de ponctuation dans la suite de caractères, histoire d'augmenter la sécurité en compliquant la tâche des hackers.

Une fois que vous aurez fait cela, n'oubliez pas d'activer la double authentification sur tous les comptes qui le permettent, voire d'investir dans une clef USB U2F. La CNIL a également donné ses propres recommandations, tout comme le gouvernement. Ainsi, vos comptes personnels devraient être particulièrement bien verrouillés.

Vérifier que ses mots de passe ne sont pas corrompus

Parfois, des sites internet se font hacker et leurs mots de passe se retrouvent dans des bases de données en clair. C'est un souci, même si vous avez pensé à modifier le mot de passe du site concerné : il n'est pas rare que les utilisateurs choisissent le même mot de passe pour deux services.

Pour savoir si votre mot de passe habituel est corrompu, un site fait référence : Have I Been Pwned. En saisissant votre mail, il regardera s'il trouve un mot de passe lié. Si c'est le cas, vous devez le modifier... sur tous les services que vous utilisez. En revanche, si la fuite date de quelques années, il est probable que vous ayez déjà pris la décision de modifier votre mot de passe. Ne paniquez pas.

Les navigateurs comme Chrome ou Firefox ont aussi des vérificateurs de mots de passe : ils pourront vous alerter s'ils repèrent votre mot de passe dans une des failles connues.

Quel code de smartphone choisir

La deuxième étape pour commencer à sécuriser l'accès à vos données est de choisir un code pour votre smartphone. La biométrie (empreinte digitale, visage, rétine...) est souvent critiquée par les spécialistes du chiffrement, notamment parce que ces codes ne peuvent pas être changés (vous n'avez pas un nombre infini de visage).

Cela dit, Apple a démocratisé le déverrouillage par empreinte digitale sur l'iPhone 5S pour résoudre un problème : avant, les gens utilisaient leur iPhone sans mot de passe. Sécurité 0. La biométrie ajoute donc une couche de protection : elle oblige à créer un mot de passe tout en conservant un accès simple et efficace pour l'utilisateur. Aujourd'hui, cela serait dommage de ne pas utiliser cette possibilité fort pratique au quotidien, même si elle doit s'accompagner de plusieurs précautions.

Règles générales

Quand on parle sécurité, on a une fâcheuse tendance à la flemmardise : est-ce que le code de verrouillage de votre smartphone est votre année de naissance ou celle de votre conjoint·e ? Si c'est le cas, ce n'est clairement pas sécurisé.

Nous vous conseillerions trois options selon votre niveau de confort, mais oubliez dès maintenant le code à 4 chiffres : les boîtiers GrayKey sont a priori capables de les craquer en un temps record, même sur un iPhone.

Sur un iPhone ou un appareil iOS

Les iPhone et iPad sont chiffrés : cela signifie que sans votre code, les possibilités d'accéder à vos données approchent de zéro (ou requièrent des moyens colossaux). TouchID et FaceID sont des déverrouillages fiables qui accompagnent sainement un bon mot de passe.

FaceID a un avantage par rapport à la concurrence : il demande votre attention pour déverrouiller votre iPhone. Il faudra être violent pour vous forcer à le déverrouiller avec votre visage et si le déverrouillage échoue 4 fois, le mot de passe sera demandé. Même chose pour TouchID. Notez d'autre part qu'il est possible de désactiver le déverrouillage biométrique très simplement (jusqu'au prochain déverrouillage avec mot de passe). Faites-le quand vous êtes dans une situation critique : il suffit d'appuyer 5 fois rapidement sur le bouton power.

Attention à la fonction « Effacer les données » au bout de 10 tentatives infructueuses : Apple ne plaisante pas avec cela. Si vous vous trompez 10 fois, vous perdrez tout.

Sur un smartphone Android

Les points à relier dans un ordre précis ont été popularisés par Android et ne sont pas une mauvaise solution pour déverrouiller un smartphone. En effet, c'est facile à retenir et cela peut-être très complexe à deviner pour une machine ou un humain. Reste que vos doigts son sales et/ou gras (oui) : votre code pourrait être laissé sur votre l'écran de votre smartphone sans que vous ne le sachiez. À vous de voir comment votre smartphone récupère les traces. Dans tous les cas, il vous faut désactiver son tracé apparent pour plus de confidentialité : n'importe qui derrière votre épaule pourrait voir votre schéma dans le cas contraire.

Les solutions biométriques par empreinte digitale des différents constructeurs sont très bonnes et les solutions avec les mots de passe évoquées ci-dessus existent aussi. Méfiez-vous en revanche des fonctionnalités de déverrouillage par le visage qui ont été déployées à la va-vite après l'annonce d'Apple : elles ne sont pas très fiables si elles ne possèdent pas une « vision en profondeur » de votre visage ou si elle ne demandent pas votre attention.

Les 10 mots de passe les plus utilisés en 2020

NordPass, le service de gestionnaire de mot de passe lié à NordVPN, a sorti un tableau statistique très complet des 200 mots de passe les plus utilisés en 2020. Et comme tous les ans, il est catastrophique.

Vous trouverez le Top 10 des mots de passe les plus utilisés ci-dessous, avec, dans la quatrième colonne, le temps qu'il faut à un ordinateur pour le craquer. En clair, si votre mot de passe est dans cette liste, autant le modifier tout de suite.

D'après la firme, 123456 est encore un mot de passe qui cartonne : il est toujours utilisé massivement -- en 2016, on recensait 10 millions de comptes qui l'utilisaient dans les bases de données les plus étudiées. Ce chiffre est colossal. Et le numéro 2 n'est pas plus sécurisé : 123456789 est certes plus long, mais une suite aussi simple sera normalement l'un des premiers tests d'un logiciel conçu pour craquer des mots de passe.

Le reste de la liste est du même acabit : entre les « password », les « 111111 », les petits malins qui pensent qu'ajouter un « 1 » après un mot fera un mot de passe convaincant et les suites à l'envers, rien n'est sécurisé.

En 2016, les chercheurs de Keeper Security ne savaient plus très bien comment réagir : « La liste des mots de passe les plus utilisés ne change que très peu d'année en année, ce qui signifie que l'éducation des utilisateurs a ses limites. Même si de plus en plus d'utilisateurs ont connaissance des risques, très peu vont faire l'effort de se protéger ».  Bref, la leçon semble ne jamais être définitivement retenue.

https://youtu.be/SMFu5t2iklA