La sécurité des mots de passe sur internet

Explication parue dans l'épisode #13 de l'émission "Le Rendez-Vous Tech" :

Commençons par quelques notions souvent utilisés par les journalistes spécialisés. Parmi les attaques les plus connues visant à récupérer des mots de passe, on trouve l'attaque par force brute (brute force attack). Il s'agit en fait de tester toutes les combinaisons possibles de mots de passe afin de finir par tomber sur le bon. Si cette technique était d'actualité il y a longtemps, elle a finalement été remplacée par des attaques beaucoup plus malignes se fondant sur les mauvaises habitudes des utilisateurs d'internet (entre autres).
En effet, les hackers ne se sont rapidement plus contentés de tester des combinaisons au hasard, mais ont utilisé des sortes de dictionnaires de mots de passe les plus courants. Enfin, dernière étape tout particulièrement en vogue auprès du grand public ces derniers temps : chercher des informations personnelles sur la personne à hacker...
Pensez bien que vous êtes responsables des données qui pourraient être diffusées. Si vos photos de vacances ont un intérêt limité, par contre vos données professionnelles engagent votre employeur... Bien entendu, certaines règles de base permettent de se prémunir (ou au moins de limiter l'influence) de ces attaques.
- N'utilisez pas de mot de passe affreusement simple qui pourrait figurer dans l'un de ces "dictionnaires". Votre lieu de naissance, un prénom, un nom courant, une date sont des mots de passe très faibles.
- N'utilisez surtout pas une donnée qui pourrait être connue de tous. L'exemple type est le nom de votre animal de compagnie. Si vous affichez son nom partout sur votre page Facebook, il va sans le dire que ce n'est pas compliqué à trouver.
- Mais comment créer un mot de passe alors ? Prenez une phrase très simple à retenir, mais assez longue avec des noms communs et des noms propres. "Lorsque j'étais jeune, j'ai fais mes études à Paris". Vous conviendrez que ce n'est pas spécialement compliqué à retenir. Pour créer votre mot de passe, prenez la premère lettre de chaque mot : "LjejjafmeaP". Ca fait un sacré mot de passe !
Vous pouvez ensuite l'améliorer si vous voulez qu'il soit encore plus
difficile à trouver. Exemple : Remplacez la lettre A par le chiffre 4 (qui ressemble au A majuscule visuellement) "Ljejj4fme4P". Il y a aussi une virgule dans la phrase, on peut la remplacer par le caractère "#" : "Ljej#j4fme4P".
- Méfiez-vous des questions secrètes... Elles n'ont de "secrètes" que le nom. Le nom de jeune fille de votre mère est extrêmement simple à trouver sur internet ou ailleurs. Un conseil ? Fuyez ces questions (répondez n'importe quoi, tant pis si
vous perdez votre mot de passe), ou alors "trichez". Ne rentrez pas le nom de votre animal de compagnie actuel, mais de celui que vous aviez à 6 ans ou celui dont vous rêviez.
- Ne cochez pas la petite case "Se souvenir de moi" lorsque vous êtes sur un ordinateur public. Lorsque vous êtes sur un ordinateur qui n'est pas le votre, utilisez au maximum les liens "me déconnecter" ("sign out") et/ou fermer le navigateur lorsque vous avez terminé de travailler.
- N'utilisez pas le même mot de passe partout. D'accord c'est chiant, mais surtout évitez d'utiliser votre mot de passe de messagerie sur un autre site (tout particulièrement si vous vous êtes enregistré avec cette adresse mail...).
- Faîtes attention aux liens présents dans les e-mails (en passant la souris dessus sans cliquer, il devrait s'afficher en bas à gauche).
"Credit-AgricUle" / "Banque-PopOlaire" ne sont évidemment pas les sites officiels, ne vous y rendez surtout pas.
- Ne remplissez jamais un formulaire qu'on vous a envoyé par e-mail.
- Faîtes surtout confiance aux sites dont l'adresse commence par "https://" sur lesquels votre navigateur affiche un cadenas à côté de l'adresse ou en bas à droite. Les données que vous envoyez seront alors cryptées.
- Mettez régulièrement votre navigateur à jour... Des failles de sécurité sont découvertes en permanence.
- Personne de confiance ni aucune société digne de ce nom ne vous demandera jamais votre mot de passe. Ne répondez pas à ce genre de messages (mails ou instantanés).