30 déc

Mots de passe : Enfin la solution !

Posté par Fab dans Méthodes de sécurité |

Comme beaucoup de monde, vous utilisez aujourd’hui de nombreux sites Internet dans votre vie courante. Que ce soient les mails, votre banque, les réseaux sociaux … bref, vous être inscrits à de multiples services. Problème, la grande majorité de ces sites doivent vous identifier afin de vous renvoyer vos données personnalisées.

Et notre problème commence ici : comment gérer tous ces logins / mots de passe ? Nous répondons tous à ce problème par de multiples façons et nous allons voir dans cet article différentes solutions et les problèmes qu’elles posent.

- Je laisse mon navigateur retenir mes mots de passe

C’est certainement la pire des solutions. On peut même considérer cette fonctionnalité gérée dans tous les principaux navigateurs Web comme une erreur de sécurité. En effet, vous pouvez à tout moment perdre l’intégralité des mots de passe :

  • Une simple réinstallation de l’ordinateur aura raison de ces mots de passe.
  • Si vous n’êtes pas chez vous, vous n’avez pas accès à vos services.
  • Si quelqu’un utilise votre PC, il aura accès à tous vos sites.
  • Vous ne saisissez pas les mots de passe, donc vous les oubliez.

- Je note mes mots de passe sur un papier à côté de mon ordinateur

On progresse un peu du point de vue de la sauvegarde des mots de passe. Vous êtes à l’abri des problèmes informatiques, mais il y a encore bon nombre de soucis :

  • Vous devez faire confiance aux gens qui passent chez vous (n’importe qui peut recopier vos mots de passe).
  • Là encore, si vous n’êtes pas chez vous, vos mots de passe ne sont pas là.
  • Si vous ou quelqu’un d’autre perdez le papier (ménage, incendie, tasse de café renversée…), tout est perdu.

Bref, cette option est aussi à éviter, même si on peut supprimer certains des inconvénients en mettant le papier dans son portefeuille. Mais il suffit que l’encre s’efface avec le temps ou que le papier prenne la pluie pour tout perdre.

- Je ne note rien, mais je n’utilise qu’un seul mot de passe pour tous les sites

Vous éliminez les problèmes liés à la sauvegarde et au transport. Mais allons un peu plus loin en matière de sécurité. Le problème est que beaucoup de gens ont adopté cette solution. Par conséquent, si j’intercepte un login/mot de passe, il me suffira d’essayer différents services répandus pour les essayer. Cela est encore pire si je vous connais personnellement et que je connais certains de vos logins, comme vos emails par exemple (moyen par lequel certains sites amateurs vous renvoie votre mot de passe).

De plus, il y a de nombreux moyens pour intercepter votre mot de passe unique. Si vous êtes sur un PC non sûr (à savoir tous les autres PC que le vôtre, encore que …) :

  • il se peut qu’un logiciel sur le PC enregistre toutes les touches du clavier (Keylogger).
  • il se peut qu’on vous ait envoyé un mail qui contient un lien malicieux pour que vous saisissiez votre login/mot de passe sur une page qui les renverra par mail à quelqu’un (Phishing).
  • il se peut que j’écoute tout ce qui passe sur le réseau et que vous saisissez vos informations sur une page non sécurisée (sniffing).
  • il se peut que vous vous soyez inscrit(e) à un site qui retient votre mot de passe sans le “crypter”. Si quelqu’un vole la base du site, il aura votre mot de passe. Et même si le site crypte votre mot de passe, si il n’est pas assez complexe, il sera retrouvé sans problème.
  • si vous vous loggez chez quelqu’un qui n’a pas désactivé la retenue des mots de passe dans son navigateur, alors il pourra retrouver votre mot de passe.

Bref, cette solution est en fait loin d’être sûre. Mais les problèmes sont tels qu’on ne peut pas tous les résoudre. Par exemple, on ne peut pas savoir si quelqu’un vole la base de données d’un site peu sécurisé qui n’a pas crypté votre mot de passe. On voit donc bien qu’il faut utiliser un mot de passe unique pour chaque site. Ainsi, même si un mot de passe est compromis, le reste est toujours sûr.

- Enfin la solution :

LastPass est un service Internet qui vous propose de stocker vos logins/mots de passe chez eux. Bien entendu, ils ne les voient que de façon cryptée. Il fonctionne sous forme de plugin que vous pouvez installé dans Firefox. Vous définissez un mot de passe à votre inscription (Attention : lire à la fin de ce post, pour le choix du mot de passe !) et votre compte est créé. Par la suite, à chaque fois que vous vous loggez sur un site, il vous proposera d’enregistrer le mot de passe. Profitez en pour le changer dans la foulée ! Seul votre mot de passe pourra décrypter les données stockées chez LastPass. Ce service répond à un maximum de contraintes :

  • Vous pouvez générer des mots de passe de façon aléatoire pour vos sites (fini les mots de passe trop simples).
  • Vous pouvez définir un temps d’inactivité à partir duquel le programme vous redemandera le mot de passe principal. Cela empêchera quelqu’un qui se sert de votre ordinateur de voir vos mots de passe.
  • Vous pouvez vous loggez directement sur les sites ! Vous ne saisissez plus vos logins/mots de passe, sur quasiment tous les sites, vous cliquez sur le lien dans LastPass et l’application saisit vos logins et mots de passe pour vous. En plus du gain de temps appréciable, vous évitez les problèmes de keyloggers.
  • Si vous n’êtes pas sur un PC de confiance ou sur un PC sur lequel vous n’avez pas le droit d’installer ce que vous voulez, vous pouvez vous loggez sur LastPass depuis une page web (sécurisée) sur laquelle un clavier virtuel vous sera proposé. Là encore, un keylogger ne verra rien (puisque vous cliquez à l’écran), de même qu’un sniffeur réseau puisque la page est en HTTPS.
  • Il y a une extension disponible pour Firefox Portable ! Ainsi, il vous suffit d’installer Firefox Portable sur votre clé USB et avec LastPass vos mots de passe vous suivent sans rien installer sur le PC non sûr !
  • Vous pouvez définir qu’il faut ressaisir le mot de passe principal pour débloquer un site. Par exemple, si vous vous éloignez de votre ordinateur et que quelqu’un en profite pour fouiner sur votre ordinateur juste après, il ne pourra pas accéder à votre compte bancaire.

Bref, après un effort de prise en main et de changement de mots de passe, vous surferez de manière la plus sécurisée qui soit ! Malgré tout, cela n’empêche pas les problèmes suivants :

  • Si vous êtes sur un PC non sûr et que vous saisissez le mot de passe principal avec le clavier (et non pas en cliquant sur le clavier virtuel), votre mot de passe principal peut être compromis par un keylogger.
  • Si vous utilisez LastPass avec un site qui ne propose pas le login sur une page HTTPS (il y en a encore pas mal), le mot de passe saisi par LastPass peut être intercepté par sniff réseau (ça reste quand même rare).
  • Si vous utilisez un site qui s’est fait voler sa base de données, votre mot de passe peut être compromis. Si le site crypte les mots de passe, le mot de passe généré sera très difficile à casser.

De même, concernant votre mot de passe principal, ne choisissez pas un simple mot ! Pensez plutôt à une phrase (avec les mots tout attachés et les premières lettres en majuscules) avec si possible des chiffres. Par exemple (à ne pas utiliser bien sûr car ils sont connus de tous) :

  • MonChatWhiskyEstNeEn2009
  • JAiEuMonPermisDeConduireEn2000
  • JAiEpouseMonCheriEn2005

Ce genre de “phrase de passe” est assez simple à mémoriser et elles contiennent bien plus de caractère qu’un mot ! De plus en mixant lettres minuscules, majuscules et chiffres ils prendront des années à être cassés de manière automatique. Mais n’oubliez pas cette phrase de passe car elle donne accès à tous vos mots de passe ! Par sécurité, vous pouvez la noter dans un premier temps avant de savoir la taper par cœur.

Voilà, vous n’avez plus d’excuses pour négliger l’accès à tous vos sites ;-)

Les commentaires sont fermés.