La première étape de mon voyage a évidemment été de sécuriser tous mes comptes avec de bons mots de passe. Un mot de passe faible permet à n’importe qui de se connecter à mon compte, d’en prendre le contrôle ou de récolter discrètement des informations me concernant.
Comment les malfrats trouvent-ils nos mots de passe
Nos adversaires utilisent plusieurs méthodes pour deviner un mot de passe. Ils commencent par utiliser une base de données des mots de passe les plus fréquents comme password, 123456, qwertz, soleil, etc. Beaucoup de mots de passe sont découverts de cette simple manière. Si les attaquants n’obtiennent pas les accès, ils passent à la deuxième étape.
Celle-ci consiste à utiliser des informations qui nous sont propres comme notre nom ou celui de notre conjoint, le nom de jeune fille, la date de naissance, le nom du chien, la marque de notre voiture, etc.
S’ils ne trouvent toujours pas, l’étape suivante est le bruteforce. Un algorithme qui teste toutes les combinaisons possibles les unes après les autres, jusqu’à trouver la bonne.
Comment se protéger
Pour contourner les deux premières méthodes, il suffit de ne pas utiliser un mot de passe logique ou lié à notre vie. En fait, cela ne devrait pas être un « mot » de passe, mais une suite de caractères illogique et aléatoire.
Cela ne nous protégera pas de la troisième méthode pour autant, malheureusement.
Ce qu’il faut savoir, c’est que théoriquement n’importe quel mot de passe peut être découvert grâce au bruteforce. Cependant, cette méthode prend du temps. Et c’est là-dessus que l’on va jouer. Si un mot de passe comme aaaa sera découvert en moins d’une seconde, il faudra 3’718’234’074 milliards d’années pour trouver un mot de passe comme xH3X$FtZ@388^j!gcV avec notre technologie actuelle. Donc ça va.
Pour cette raison, je recommande d’utiliser un mot de passe d’au moins 16 caractères, composé de lettres minuscules, majuscules, chiffres et caractères spéciaux. Il ne doit pas contenir de suite logique, comme des mots, le nom du service utilisé et encore moins d’informations personnelles. Les chiffres ne doivent pas refléter notre adresse, téléphone, date de naissance, etc. Cela doit être complètement aléatoire.
Mais comment retenir un truc pareil ?
Ne vous inquiétez pas, on y arrive.
Le phishing
Une autre méthode que nos adversaires utilisent, est de simplement nous demander poliment notre mot de passe. Ne riez pas, ça s’appelle du phishing et à défaut d’utiliser des failles techniques, cette méthode utilise l’ingénierie sociale, c’est-à-dire des failles humaines. Et ça fonctionne.
Ils jouent sur la confiance et la naïveté des gens pour les tromper. Par exemple, ils reproduisent à l’identique la page de connexion d’un service web et nous envoient le lien par mail prétextant n’importe quoi. Sans se méfier, on pense qu’il s’agit d’un mail légitime, d’une réelle demande de notre banque par exemple.
Alors on clique et on entre nos informations de connexion sur cette fausse page. Nos données sont enregistrées pour le malfrat, puis on est immédiatement redirigé vers le vrai site. Celui-ci indique simplement une erreur de login, comme si une faute de frappe s’était glissée lors de la saisie du mot de passe. On recommence pensant s’être simplement trompé et cette fois c’est bon, on est connecté sur le vrai site et on n’a pas remarqué que notre login et mot de passe ont été volés lors de la première tentative. On y a vu que du feu. Ca paraît absurde mais pourtant cette technique fonctionne, et pas qu’avec les moins intelligents d’entre nous.
Plusieurs techniques existent pour se prémunir du phishing, comme apprendre à les reconnaître, se connecter en saisissant soi-même l’adresse du service, contacter directement le service en question ou en utilisant l’authentification à deux facteurs que nous verrons plus tard. Mais le risque zéro n’existant pas, il faut partir du principe que ce genre d’attaques pourrait aboutir et nos données compromises.
Les fuites de données (data leaks)
Elles pourraient également l’être lors de l’une des nombreuses fuites de données dont sont régulièrement victimes les services web. Concrètement nos adversaires parviennent parfois à exploiter des failles de sécurité ou détourner des fonctionnalités pour extraire des informations concernant les utilisateurs, comme le login et le mot de passe, mais encore le numéro de téléphone, l’adresse mail et en fait, toutes les informations que stockent certains géants du web. Lors de ces fuites de nombreuses informations de login sont publiées (ou vendues) en masse. Mais on y reviendra.
Comment les sites web (et autres services) sécurisent-ils (ou pas) nos mots de passe
En principe, le mot de passe est censé être stocké de manière hashée. Cela veut dire que le mot de passe subit plusieurs transformations pour ne plus être lisible. La particularité de ce hashage est qu’il n’est pas possible de faire l’opération dans le sens inverse. C’est-à-dire partir d’un mot de passe hashé et retrouver le mot de passe d’origine. Ainsi, le mot de passe xH3X$FtZ@388^j!gcV sera transformé en 8d391067d133e7bda85aace134dbc5c5. Mais il n’est pas possible de retrouver le mot de passe d’origine avec ce hash.
Lorsque l’on se connecte, le mot de passe entré subit les mêmes transformations avant d’être comparé au mot de passe hashé, stocké dans la base de données. Si ces deux hashs correspondent, c’est que l’utilisateur a entré le même mot de passe et donc il peut accéder au site. Lorsque l’on subtilise une base de données de connexion, on devrait donc se retrouver avec des mots de passe illisibles et inutilisables. En effet, si l’on tente de se connecter avec le mot de passe hashé, il subira également une transformation et sera donc différent de celui stocké sur le site. La connexion sera alors refusée.
Ah, alors c’est bon les mots de passe sont protégés.
Oui, mais non. Malheureusement, il suffit simplement de construire une base de données avec tous les mots de passe (de la même manière que cité plus haut pour trouver un mot de passe) et d’y associer les résultats hashés correspondants. Ensuite, une simple recherche sur le hash permet de dévoiler le mot de passe correspondant. Nous savons déjà par exemple que le hash 8d391067d133e7bda85aace134dbc5c5 ci-dessus correspond au mot de passe xH3X$FtZ@388^j!gcV. Il suffit de faire de même pour tous les mots de passe potentiels et le tour est joué. Vous voyez comme c’est facile ?
Alors comment se protéger ?
Il est donc très important d’avoir un mot de passe compliqué, illogique, aléatoire et surtout unique ! Ainsi, si l’on se fait voler l’accès à un site, les voleurs ne pourront pas accéder aux autres services qui ne seront pas sécurisés avec le même mot de passe. C’est une manière de cloisonner les risques.
Il faut donc avoir un mot de passe différent pour chaque service. Vraiment, ne réutilisez jamais deux fois le même mot de passe. Je n’insisterai jamais assez là-dessus. C’est un point essentiel. D’ailleurs, laissez-moi répéter : utilisez des mots de passe différents pour chaque service ! 🙂
Pour ma part, je pousse même plus loin : je n’utilise pas deux fois le même pseudo, la même adresse email, ni même la même fausse identité (et zéro fois la vraie). Mais nous y reviendrons (ne vous inquiétez pas, c’est facile). Et pour garantir encore plus de sécurité (notamment avec les data leaks non annoncés ou tardifs), je change régulièrement mes mots de passe. Entre 1 et 3 fois par année, et même tous les mois pour les mots de passe critiques. En fait, quand je me connecte à un service sur lequel je n’ai pas mis à jour mon mot de passe depuis quelques temps, j’en profite pour le changer.
Selon les dernières informations, il n’est plus forcément recommandé de changer ses mots de passe régulièrement car la confusion engendrée pourrait être plus dommageable que la plus-value sécuritaire. Pour ma part, je préconise tout de même de changer ses mots de passe régulièrement, simplement en s’appliquant lors de cette procédure pour éviter les erreurs. En effet, on n’est pas à l’abri d’un data leak, d’une tentative de phishing, d’un keylogger installé sur sa machine, etc.
Ok, alors comment gérer tous ces mots de passe impossibles à retenir ? Oui, car je ne suis pas un surhumain. Je dirais même que j’ai une mauvaise mémoire.
Les gestionnaires de mots de passe
Le secret : utiliser un gestionnaire de mots de passe.
J’admets que j’avais aussi un mauvais sentiment lorsque j’ai entendu ça la première fois. On nous demande de ne pas donner ses mots de passe, de ne faire confiance à personne et là je dois mettre mes mots de passe dans un gestionnaire que je ne connais pas ? En plus, ça n’a pas l’air pratique.
Ne vous inquiétez pas, les gestionnaires de mots de passe sérieux sont safe.
Comme pour tout, il existe de bons et de mauvais gestionnaires de mots de passe. Je vous épargne les recherches et les comparatifs, moi j’utilise Bitwarden. Il s’agit d’un logiciel OpenSource. C’est-à-dire que le code source est accessible à n’importe qui et que l’on peut voir comment il est construit et fonctionne, afin de nous assurer qu’il n’y a pas de fonctionnalités cachées malhonnêtes ou de faille de sécurité. Bitwarden a beaucoup de points forts en termes de sécurité et c’est un très bon choix. Il existe des add-ons pour les navigateurs de bureau et des applications pour smartphones. Je peux donc l’utiliser partout et mes données sont synchronisées et surtout complètement chiffrées. Il est impossible pour quelqu’un d’autre que moi de récupérer mes informations, même pour les développeurs de Bitwarden. Si vous n’êtes pas serein à l’idée de laisser vos mots de passe (chiffrés) sur les serveurs de Bitwarden, vous avez même la possibilité d’héberger ce service vous-même à domicile (par exemple avec Yunohost).
Les gestionnaires de mots de passe permettent donc de stocker tous vos mots de passe et de pouvoir y accéder en toute simplicité. Vous n’aurez qu’un seul mot de passe à retenir, soit celui qui protège l’accès à votre gestionnaire. On l’appelle le mot de passe maître.
Du coup, plus besoin de retenir les autres mots de passe, alors tant qu’à faire, j’ai joué le jeu à fond et j’en ai profité pour mettre à jour tous mes mots de passe en utilisant le générateur de mots de passe avec les critères susmentionnés.
Par contre, il est important d’utiliser un mot de passe maître vraiment fort, car ce sera notre barricade pour protéger les autres mots de passe. J’ai également activé l’authentification à deux facteurs (2FA) sur Bitwarden.
2FA : Qu’est-ce que c’est ? On en parle dans le prochain chapitre.
Avec mon gestionnaire de mots de passe, je peux désormais facilement gérer mes données de connexion, les mettre à jour et surtout compléter les formulaires de login simplement. Depuis l’ordinateur, lorsque je suis sur une page de connexion, je peux simplement presser Ctrl+Shift+L et le formulaire de login est complété automatiquement.
C’est plus sécurisé, plus rapide, plus facile, plus confortable. Que demander de plus ? Bah évidemment, il y a encore beaucoup à faire, mais on est déjà bien partis.
Configurez-le bien correctement sur tous vos appareils, inscrivez-y tous les services que vous utilisez et profitez pour changer les mots de passe avec le générateur intégré. N’oubliez pas, un mot de passe différent pour chaque service, 16 caractères, majuscule, minuscules, chiffres et caractères spéciaux. Vous n’avez pas besoin de les retenir alors on met la totale.
Ensuite, changez régulièrement vos mots de passe. Je préconise une à deux fois par années. Cela permet de rester à l’abri en cas de fuite de données. Parfois, elles sont rendues publiques plusieurs années après l’attaque.
Faites également des sauvegardes régulières que vous placerez en lieu sûr afin d’éviter de vous retrouver mal pris en cas de problème (ce qui peut arriver, il faut également se prémunir de ça).
Password salting
Afin de rajouter une couche de sécurité, par exemple si quelqu’un venait à avoir accès à votre compte Bitwarden ou à l’une de vos sauvegardes, j’utilise également ce que l’on appelle le password salting.
Il s’agit simplement de stocker une partie du mot de passe dans votre gestionnaire et de rajouter le reste au moment d’entrer le mot de passe. Par exemple, si mon mot de passe est i5i!s32jViwLZQnHx#qeb, je ne stockerai dans Bitwarden que i5i!s32jViwLZQnHx. Lorsque je me connecte au service, je remplis le champ du mot de passe avec Bitwarden, puis j’ajoute manuellement le suffixe #qeb que je connais par coeur et qui ne sera noté nulle part.
Ainsi, celui qui aura accès à mon compte Bitwarden ne pourra pas se connecter car le mot de passe ne sera pas complet, et donc faux.
Afin de se rappeler de ce suffixe, il suffit simplement d’utiliser le même pour tous les mots de passe. Ces derniers seront toujours uniques et compliqués, la sécurité sera toujours là et l’effort mental restera minime.
Vous avez ainsi une stratégie en béton concernant vos mots de passe, sans pour autant vous compliquer la vie, bien au contraire.
Créer des sauvegardes régulières
Maintenant que vous utilisez une bonne stratégie pour sécuriser vos comptes, vous devez vous préparer à l’éventualité de perdre accès à votre gestionnaire de mots de passe. Cela peut arriver pour diverses raisons, comme le simple oubli du mot de passe maître. Pour cela, je vous renvoie vers cet excellent article qui explique très bien comment sauvegarder ses mots de passe avec le gestionnaire Bitwarden.
Bienvenue dans mon monde.
Ce qu’il faut retenir
Le mot de passe est l’élément primordial de votre sécurité. Utilisez un mot de passe complexe (minuscules, majuscules, chiffres et caractères spéciaux), long (16 caractères et plus), illogique (caractères aléatoires, pas de mots), absolument pas en lien avec votre vie (date de naissance, nom du chien, etc) et surtout, surtout, absolument unique (aucun service ne doit partager le même mot de passe). Gérez le tout avec un bon gestionnaire de mot de passe configuré à 100% (recommandé : Bitwarden). Ajoutez un peu de salting à vos mots de passe et vous serez parés, mais n’oubliez pas de sauvegarder régulièrement votre gestionnaire de mots de passe.
Newsletter
Recevez ma newsletter mensuelle afin de ne rien rater. Inscrivez-vous ici :
Merci pour ces articles c est vraiment top. Par contre comment créer un mot de passe barricade pour Bitwarden en étant sur que personne n épie en arrière plan? VPN?
Une question, as-tu créé ton propre serveur Bitwarden ?
J’ai d’abord utilisé les services de Bitwarden.com. C’est probablement la meilleure solution pour les personnes qui ne sont pas encore avancées en informatique.
Puis j’ai mis en place mon propre serveur sur lequel j’ai effectivement installé un fork de Bitwarden nommé Vaultwarden.
Cela représente plusieurs avantages comme le fait de posséder ses données et de ne pas dépendre d’un service tiers, mais aussi des inconvénients comme devoir gérer la sécurité ou les sauvegardes. Il faut aussi préparer des stratégies de secours en cas de panne par exemple.
Mais, c’est plus accessible que ça en a l’air. On verra cela au chapitre 20 tout prochainement.
😉
Effectivement, je suis en train de me tâter de mettre mon serveur Bitwarden. Je me réjouis de lire ton chapitre 20
Encore une question. Est-il possible de commencer avec bitwarden sur les serveurs Microsoft puis de transférer sur mon serveur ? Je demande car je ne suis pas prêt avec mon serveur mais aimerai bien sécuriser mes mots de passe 🙂
Absolument ! C’est d’ailleurs ce que j’ai fait.
Il suffit d’exporter son compte depuis vault.bitwarden.com puis d’importer ce fichier sur ton serveur de la même manière. Simple, rapide, efficace. Aucun problème pour le faire.