Il est grand temps de passer à un gestionnaire de mots de passe

Beaucoup de gens sont persuadés qu’ils sont capables d’inventer des mots de passe sécurisés. Bien que ça serait fantastique, en réalité, tous surestiment leurs capacités. Comme le dit si bien l’expert en sécurité Troy Hunt, le seul mot de passe sécurisé est celui que vous êtes incapable de mémoriser.

Constat n° 1 : l’être humain est un mauvais générateur de mots de passe¶

En 2013, une enquête de Google Apps avec 2.000 participants a révélé que le top 10 des mots de passe les plus utilisés sont :

1. Le nom d’un animal de compagnie ;
2. Une date importante, comme un mariage ;
3. La date d’anniversaire d’un proche ;
4. Le nom d’un de vos enfants ;
5. Le nom d’un autre membre de votre famille ;
6. Votre lieu de naissance ;
7. Votre jour férié préféré ;
8. Quelque chose en lien avec votre équipe sportive favorite ;
9. Le nom de votre partenaire ;
10. Le mot « password ».

Le point commun de ces catégories est que ce sont des informations qui sont faciles à deviner ou à obtenir.

SplashData est un firme de sécurité qui publie annuellement une liste de mots de passe les plus utilisés, se basant sur des millions de fuites de données. Les listes remontent jusque 2011 et sont consultables sur Wikipedia. Dans l’édition 2016, les 25 mots de passe les plus utilisés représentaient 10 % du nombre total de mots de passe analysés. Le pire d’entre eux, « 123456 », représentait 4 % du total. La leçon à tirer de tout ceci est que nous sommes tout simplement incapables d’inventer des mots de passe sécurisés. Si vous n’êtes pas convaincu, répondez aux questions suivantes :

1. Réutilisez-vous le même mot de passe partout ?
2. Utilisez-vous une variation du même mot de passe pour tous vos comptes (changement d’un chiffre, d’une lettre, ajout du nom du service, etc.) ?
3. Utilisez-vous une rotation de quelques mots de passe différents (un pour vos comptes « bidon », un pour vos comptes « importants », etc.) ?
4. Est-ce qu’il vous arrive d’oublier quel mot de passe habituel vous avez utilisé ou pour quelle variation vous aviez opté lors de la création de votre compte ?
5. Est-ce que vous utilisez encore un mot de passe extrêmement simple, comme « 1234 » ou « m0tdep@$$e » ?
6. Est-ce que votre stratégie de mots de passe est caractérisée par le fait qu’ils doivent être faciles à retenir ?

Si vous avez répondu par l’affirmative à une de ces questions, je vous invite à vérifier sur HaveIBeenPwned si vos identifiants ont été compromis (vous pouvez vérifier vos emails ici et vos mots de passe ici). Si, par chance, ils n’ont pas encore été compromis, je peux vous garantir que ce n’est qu’une question de temps, ou que ça ne se sait simplement pas encore. En effet, énormément de fuites et de piratages ne sont connus du grand public que des années après les faits.

Le seul mot de passe sécurisé est celui que vous êtes incapable de mémoriser. Tweeter

Bien qu’être doté de super-pouvoirs nous permettant de générer et mémoriser des mots de passe aléatoires de plus de 25 caractères comprenant lettres, chiffres et caractères spéciaux serait merveilleux, nous restons malheureusement humains ; il faudra étendre notre cerveau d’une manière ou d’une autre pour générer et stocker un mot de passe sécurisé pour chacun de nos comptes. Car pour que nos comptes soient correctement sécurisés, il faut que chacun d’entre eux soit protégé par un mot de passe unique, long, complexe et, surtout, aléatoire.

Constat n° 2 : utiliser des mots de passe uniques augmente grandement la sécurité de nos comptes…¶

…et parfois celle des autres utilisateurs. Vous ne jugez peut-être pas nécessaire d’avoir un mot de passe unique pour chacun de vos comptes, mais cela améliore grandement leur sécurité en plus de permettre une certaine tranquillité d’esprit. En effet, si un site sur lequel vous avez un compte se fait pirater, qu’un employé du service accède à des données auxquelles il ne devrait pas avoir accès, que vous êtes victime de hameçonnage ou autre, la brèche reste cantonnée au compte concerné ; vous n’avez donc qu’un seul mot de passe à changer. C’est comme si vous possédiez plusieurs maisons : si quelqu’un vole vos clés et que toutes vos maisons partagent la même serrure, vous êtes bon pour toutes les changer. Par contre, si vous aviez pensé à installer des serrures différentes, ce type d’incident est relativement insignifiant, étant donné que vous n’avez qu’une serrure à changer pour garder toutes vos maisons en sécurité.

En 2012, 68 millions d’utilisateurs Dropbox ont vu leur compte compromis à cause d’un unique employé qui a réutilisé son mot de passe LinkedIn pour son compte interne chez Dropbox. Le pirate a d’abord ciblé LinkedIn, qui stockait à l’époque les mots de passe d’une manière absolument pas sécurisée¹ ; retrouver le mot de passe de l’employé de Dropbox en question ainsi que ceux des 117 millions d’autres utilisateurs affectés était donc une tâche triviale pour le pirate. D’après Motherboard, 90 % des mots de passe auraient été trouvés dans les 72 heures suivant le piratage.

Une fois le mot de passe LinkedIn de l’employé obtenu, le pirate a pu accéder au réseau interne de Dropbox, où il est parvenu à dérober la base de données contenant les utilisateurs. Ça fait 68 millions de personnes affectées à cause d’un seul mot de passe réutilisé. Pire encore, il a fallu quatre ans pour que ce piratage soit découvert. Toujours en 2012, des comptes Best Buy ont été compromis à l’aide d’identifiants obtenus via le piratage d’autres sites vulnérables. Ce genre d’incident arrive très fréquemment, comme en témoigne le service HaveIBeenPwned de Troy Hunt.

68 millions de personnes affectées à cause d'un seul mot de passe réutilisé. Tweeter

Utiliser un mot de passe unique par compte ne sert donc pas seulement à se protéger soi-même ; ça peut protéger d’autres personnes également. Vous pourriez penser que ceci ne s’applique qu’aux employés de grandes entreprises, mais détrompez-vous : imaginez la myriade informations qu’il est possible d’obtenir sur vous et vos proches au travers de votre boîte mail. Il y a certainement de quoi faciliter grandement l’écriture d’un mail crédible pour piéger vos proches, sans compter toutes les autres informations présentes dans vos emails. Ceci n’est d’ailleurs qu’un exemple ; les pirates sont certainement bien plus créatifs.

Tout ceci illustre pourquoi avoir des mots de passe uniques et sécurisés est très fortement conseillé. Étant donné le nombre toujours croissant de comptes que nous possédons, il est impossible de créer et de mémoriser un mot de passe unique et sécurisé pour chacun d’entre eux. Dans mon cas, je devrais créer et mémoriser plus de 400 mots de passe. Notons qu’avant d’utiliser un gestionnaire de mots de passe, je ne réalisais pas que j’avais autant de comptes. Si quelqu’un m’avait posé la question à l’époque, j’aurais sans doute répondu que j’en avais une cinquantaine.

Constat n° 3 : la sécurité des services que nous utilisons est hors de notre contrôle¶

Un autre gros problème des mots de passe est la sécurisation des multiples plateformes sur lesquelles nous créons des comptes. Idéalement, ces dernières devraient tout mettre en œuvre pour que seul l’utilisateur soit en mesure de connaître son mot de passe ; il ne doit jamais être accessible à qui que ce soit d’autre, directement ou indirectement, que ce soit le créateur de la plateforme, son hébergeur, votre fournisseur d’accès Internet ou votre gouvernement.

Si un service est en mesure de vous restituer votre mot de passe quelque part, traitez ce mot de passe comme s’il était compromis. Ceci inclut donc les services qui vous envoient votre mot de passe par email quand vous l’oubliez, plutôt que de vous demander d’en créer un nouveau. En effet, ce type de fonctionnalité indique que votre mot de passe est stocké d’une façon qui permet au service de le récupérer, c’est-à-dire en clair ou, si vous avez de la « chance », chiffré. S’il est chiffré, cela veut dire que le service détient aussi la clé de déchiffrement, ce qui revient à le stocker en clair du point de vue de sa sécurité — c’est comme si vous mettiez vos objets de valeur dans un coffre-fort et que vous laissiez la clé à côté. De ce fait, la seule manière acceptable de stocker des mots de passe est de les hacher, c’est-à-dire appliquer un processus mathématique qui génère une empreinte du mot de passe. Contrairement au chiffrement, qui est bidirectionnel, il est impossible de retrouver un mot de passe à partir de son empreinte², un peu comme il est impossible de trouver la recette exacte du pain de votre boulanger. Malgré le fait que vous déteniez le produit fini (l’empreinte) et que la méthode de fabrication du pain (le processus mathématique) soit connue de tous, il sera pratiquement impossible d’obtenir un pain identique sans la recette exacte (le mot de passe). Toute autre méthode de stockage de mots de passe permettra à une personne malveillante qui détient ou obtient un accès aux serveurs d’un service de récupérer très facilement les mots de passe des utilisateurs. Ce n’est pas pour rien qu’il y a certains standards à respecter en matière de stockage de mots de passe : ils permettent de garantir au maximum la sécurité et la confidentialité de ceux-ci.

Si un service est en mesure de vous restituer votre mot de passe quelque part, traitez ce mot de passe comme s'il était compromis. Tweeter

Solution : le gestionnaire de mots de passe¶

Bien qu’en tant qu’utilisateur il soit impossible de se prémunir du mauvais stockage de ses mots de passe ainsi que des inévitables fuites de ses identifiants, il est cependant possible de limiter fortement les dégâts en rendant ses mots de passe :

• Forts pour qu’ils ne puissent pas être devinés (par une machine ou un humain) ;
• Uniques afin que la compromission d’un compte n’entraîne pas d’office la compromission d’autres comptes.

Vous l’aurez deviné : le moyen le plus simple et sécurisé d’y parvenir est d’utiliser un gestionnaire de mots de passe. Leur fonctionnement est très simple : une base de données de mots de passe, chiffrée à l’aide d’un Master Password connu uniquement par vous. Il vous suffit donc de mémoriser un seul long mot de passe sécurisé. Certains affirment que stocker tous ses mots de passe derrière une unique phrase de passe représente un énorme risque, étant donné que toute personne détenant cette phrase de passe obtient un accès instantané à la totalité de vos comptes. Ce qu’il faut garder en tête, c’est que les plus gros risques que courent vos mots de passe ne résident pas sur votre machine physique, mais bien sur toutes les plateformes, réseaux et bases de données par lesquels vos mots de passe transitent. Bref, la vaste majorité des risques sont distants et non locaux. En effet, du point de vue d’un hacker, il y a le choix entre :

• Pirater un utilisateur lambda, ce qui rapportera peut-être une centaine de comptes, tous liés à un seul utilisateur ;
• Pirater un système centralisé, ce qui rapportera des milliers voire des millions de comptes, qui pourront ensuite être vendus en masse et utilisés pour rechercher des comptes sur d’autres plateformes (cette pratique très répandue s’appelle en anglais du credential stuffing, soit littéralement du bourrage d’identifiants).

Je ne sais pas vous, mais à la place du hacker, mon choix est vite fait.

Les plus gros risques que courent vos mots de passe ne résident pas sur votre machine physique, mais bien sur toutes les plateformes, réseaux et bases de données par lesquels vos mots de passe transitent. Tweeter

Bref, un gestionnaire de mots de passe vous permet de grandement améliorer la sécurité de vos comptes. Généralement, il vous permettra également de stocker des cartes de crédit, des notes sécurisées, des comptes en banque, des mots de passe Wi-Fi, des licences de logiciels, etc. En plus de tout cela, pas mal d’entre eux proposent des fonctionnalités supplémentaires. Le mien propose par exemple :

• L’intégration de l’authentification en deux étapes, qui demande d’entrer un code unique temporaire en plus de votre mot de passe sur les sites supportés ;
• La détection de comptes pour lesquels l’authentification en deux étapes est disponible mais pas activée ;
• La détection de mots de passe réutilisés ;
• La détection de comptes dont l’URL est en HTTP alors que les plateformes concernées sont accessibles en HTTPS ;
• Une intégration avec HaveIBeenPwned qui permet de savoir si des comptes ou des mots de passe sont apparus dans une fuite, le tout sans révéler vos identifiants.

Pour choisir votre gestionnaire de mots de passe, je vous invite à lire mon comparatif.