Accueil » Sécurité Informatique » Taper ses mots de passe en toute sécurité & Comment créer vos mots de passe de la meilleure des façons

Et si je vous disais que vous pouvez taper vos mots de passe sans vous les faire dérober même si un mouchard est dans votre ordinateur ?

Et cela, sans utiliser de logiciel ?

Dans cet article, on ne va pas se contenter de donner des conseils habituels sur le fait de créer un bon mot de passe avec des chiffres, lettres et caractères spéciaux. Vous le savez déjà. Pareillement pour le fait de ne pas taper son mot de passe sur un post id dans un lieu public. À l’inverse, je vous propose un point de vue plus technique, mais aussi plus réflexif sur notre utilisation quotidienne des mots de passe.

En étudiant les keyloggers et autres logiciels espions, nous pouvons mettre en œuvre une méthode très efficace pour taper nos mots de passe en sécurité sur les divers sites que nous utilisons. Et cela, même si l’un de ces logiciels espions est présent sur notre PC. On se retrouve donc au cœur du hacking éthique : apprendre l’attaque, la décortiquer et créer des contre-mesures efficaces ensuite. De façon simple, un keylogger récupère les touches tapées de façon séquentielle et les enregistre sur l’ordinateur, soit en mémoire, soit dans un fichier texte qui peut ensuite être transféré à distance.

 

Créer un mot de passe « compliqué » ? Mais compliqué pour qui ?

Vous êtes vous déjà posé la question ? Il s’agit bien souvent d’un programme qui récupère tout d’abord votre mot de passe. Ce dernier est ensuite lu par le pirate évidemment. Mais si l’on s’intéresse à ces fameux « programmes », qu’on appelle par exemple des « virus » ou des « keyloggers » ou encore des « logiciels espions », eh bien la notion de « compliqué » change !

Premièrement, si le keylogger est programmé pour cibler un clavier anglais (comme la grande majorité d’entre eux), il ne récupérera potentiellement pas les caractères spéciaux des autres langues. En effet, les keyloggers ont du mal à récupérer les combinaisons de touches permettant de taper des caractères spéciaux comme « È ». Cela demande de taper sur quatre touches (Alt Gr + 7 + SHIFT + e) pour l’afficher. Le logiciel espion ne récupérera probablement que certaines de ces touches, et de façon presque certaine, il ne récupérera pas correctement la lettre « È ». Il verra peut-être « 7e » ou « Alt7 + E ». Inutile donc de chercher un mot de passe très long, c’est plutôt la rareté des lettres utilisées qui importe !

Deuxièmement, le fait de taper son mot de passe de façon non séquentielle mais correcte donnera un résultat faussé au keylogger. En effet, le keylogger peut certes récupérer l’appui sur la touche « Retour », et deviner une correction, mais il ne peut détecter un clic de souris entre certains caractères d’un mot. Imaginons donc que l’on tape « Az2pX » puis que l’on clique entre le « z » et le « 2 » pour y ajouter « N0 », le mot de passe apparaît de la façon suivant à l’écran : « AzN02pX ». Le keylogger de son côté verra « Az2pXN0 » car nous avons appuyé sur les lettres dans cet ordre. Impossible de retrouver le vrai mot de passe, même en l’ayant récupéré. Cette technique est directement issue des guides Le Blog Du Hacker.

Mais il faut bien entendu que le mot de passe ne soit pas trop évident pour donner des pistes au pirate et lui permettre de reconstruire le vrai mot de passe. Inutile donc d’utiliser un mot de passe compliqué sans prendre les précautions nécessaires lorsque vous l’entrez. Nous verrons comment créer un mot de passe compliqué pour un pirate et ces outils tout en étant facile à retenir pour nous dans un instant.

 

Retenir un faux mot de passe volontairement

Lorsque l’on sauvegarde son mot de passe dans le navigateur, celui-ci le chiffre et le stocke dans un fichier sur l’ordinateur. On pourrait donc imaginer un pirate récupérer le mot de passe en récupérant et en déchiffrant ce fichier. En réalité ce n’est pas si facile, mais pas non plus impossible. Pas d’inquiétude, il existe une alternative.

La méthode consiste cette fois à sauvegarder volontairement un mauvais mot de passe, comme dans notre exemple précèdent où l’on pourrait sauvegarder « Az2pX ». Une fois sur le site, lorsque l’auto complétion remplit le mot de passe incomplet, il restera à ajouter « N0 » en cliquant au bon endroit, c’est-à-dire après trois caractères en partant de la fin. Pas évident au début, mais très efficace et sécurisé avec un peu d’habitude car le mot de passe n’est jamais tapé en entier, et il n’est jamais enregistré en entier !

Sauvegarder volontairement son mot de passe erroné pour mieux se protéger Click To Tweet

Les méthodes citées précédemment s’appliquent à 99% de vos mots de passe en ligne, et peuvent être utilisées sur smartphones.

 

Mise en garde nécessaire

Nous avons vu des moyens très efficaces de créer et de taper un mot de passe. Cela dit, il reste d’autres options aux pirates et il ne faut jamais rien prendre pour acquis. Je vais donc à présent vous donner des pistes pour appliquer la fameuse procédure « lettres, chiffres et caractères spéciaux » de façon simple et facile à retenir. La méthode de la phrase s’applique très bien dans ce cas, par exemple : « Qu’il fait chaud chez ce cher Serge » devient « Q’ifccccS ». Le mot de passe est long, avec des caractères en majuscules et minuscules ainsi qu’un caractère spécial. La phrase peut être représentative pour vous afin de vous en souvenir facilement.

Le problème du même mot de passe partout

Créer un mot de passe comme on vient de le voir est une bonne idée, mais dans le cas où ce mot de passe venait à être dérobé, le pirate pourra pirater tous vos comptes qui utilisent ce même mot de passe.

L’astuce ici pour se souvenir de vos mots de passe tout en les variant, est de changer un élément typique de votre phrase. Par exemple, pour votre mot de passe Facebook : « Qu’il fait chaud chez ce cher Facebook » : « Q’ifccccF », pour Twitter «  Q’ifccccT ». Il reste à vous assurer que le mot de passe ne soit pas non plus trop évident non plus.

Le problème des mots de passe générés automatiquement ou dont le format est différent

Vous avez sans doute déjà connu les deux situations. Parfois des sites web génèrent des mots de passe pour vous. L’idée est de les changer aussitôt et systématiquement. Et cela non seulement car ces mots de passe sont souvent envoyés de façon visible (en clair) par e-mail, mais en plus il est difficile de retenir un (ou plusieurs) mot(s) de passe totalement aléatoire(s)…

Certains sites vous demanderont de fournir un mot de passe plus compliqué que prévu, et cela nous bloque souvent lorsqu’on a l’habitude d’utiliser notre bon vieux mot de passe ! Je connais par exemple un site qui demande un mot de passe d’au moins 8 caractères avec au moins 2 lettres en majuscules, 2 lettres en minuscules et 2 caractères spéciaux. Dans ce cas, l’idée est d’ajouter un mot ou les lettres manquantes à la fin de votre mot de passe : « Q’ifccccS55′ ». « 5 » car « Serge » est composé de 5 caractères…et « ‘ » car il est déjà utilisé et permet d’atteindre les 2 caractères spéciaux requis…« simple » moyen mnémotechnique…

Si le format attendu est uniquement des chiffres, la méthode de la phrase fonctionne toujours : 22454245. Chaque chiffre correspond aux nombres de caractères de chaque mot de la phrase : Qu : 2, il : 2, fait : 4…etc

 

Un mot sur les gestionnaires de mots de passe

Impossible de parler de mots de passe sans mentionner les gestionnaires de mots de passe. Ce sont des outils vous permettant de gérer vos mots de passe de façon souple et facile. Vous ne connaissez habituellement pas les mots de passe en question, car ils sont totalement aléatoires (et donc très bien sécurisés), mais vous aurez tout de même un mot de passe « maitre » à définir et à protéger avec les conseils donnés ici. Le gestionnaire de mot de passe pose problème si vous n’avez pas une possibilité de l’utiliser sur plusieurs plateformes…car si un jour vous avez besoin de vous connecter urgemment sur votre smartphone lorsque vous êtes en vacances, et que vous n’avez pas accès au gestionnaire…vous risquez d’avoir des ennuis.

PS : peut-être que certains gestionnaires proposent un moyen de récupération/réinitialisation du mot de passe via leur site ? je vous avoue que je n’ai pas creusé l’idée.

 

Un mot sur le vol de mots de passe sur le réseau

Tout ce que nous avons vu s’applique très bien à la protection locale de notre mot de passe, c’est-à-dire lorsqu’on le tape sur un périphérique qu’il s’agisse d’un ordinateur ou d’un smartphone. On échappe donc déjà aux logiciels espions et autres « virus » comme on les appellera. C’est une bonne chose de faite.

Seulement, si le site sur lequel vous envoyez votre mot de passe super sécurisé est malveillant…vous risquez tout de même un piratage !

Le fait d’avoir des mots de passe différents pour chaque site vous permettra de limiter les dégâts, mais l’idéal est de faire très attention à chaque fois que vous devez fournir votre mot de passe : le site est-il de confiance ? Est-ce la bonne adresse ? Est-ce un expéditeur de confiance ? etc…Évidemment, ne fournissez pas vos mot de passe à qui que ce soit, même à vos proches. Ne les écrivez pas sur un bout de papier (vous ne devriez pas en avoir besoin) et ne les sauvegardez pas non plus dans des fichiers sur votre ordinateur.

Ensuite, même si le site est bienveillant, lorsque vous avez tapé votre mot de passe avec la super technique proposée ici, votre mot de passe entier et correct est ensuite envoyé « sur le réseau ». C’est un comportement normal est standard, car il faut bien que le site distant vérifie votre mot de passe. Le problème se pose cette fois lorsqu’un pirate écoute les communications réseau et y trouve votre mot de passe en transit. La solution la plus sûre et directe pour éviter cela est d’utiliser le protocole HTTPS lorsque vous envoyez votre mot de passe ou d’autres données sensibles. Je vous propose la lecture suivante pour plus de détails :

Le top 5 des erreurs à l’origine d’un piratage

Pour terminer, il convient de faire attention à l’environnement « physique » lorsque l’on tape un mot de passe : est-ce qu’une personne malveillante ne serait pas simplement en train d’observer ce que l’on tape au clavier ? n’y a-t-il pas une camera cachée ? etc… Le but n’est pas d’être paranoïaque mais de veiller à la sécurité à tous les niveaux. Beaucoup de victimes de piratage me contactent en pensant qu’un pirate s’est infiltré « quelque part dans le réseau ou dans l’ordinateur » alors que bien souvent le mot de passe a été fourni involontairement au pirate, de façon très simpliste.

Il convient également de changer vos mots de passe lorsque vous suspectez un problème. Si c’est le cas, assurez-vous impérativement avant de procéder que l’ordinateur ou le smartphone que vous utilisez soit sain. Si vous avez un doute, profitez de l’achat d’un nouveau matériel pour le faire. Cela vous donnera une bonne raison de changer régulièrement vos mots de passe.

 

L’authentification en deux étapes

Cette méthode d’authentification permet d’empêcher l’accès à vos comptes par des personnes tierces. Ceci est possible en faisant une « double authentification ». Lorsque vous fournissez le bon mot de passe, le service bloque toujours votre accès et vous envoie un SMS de vérification contenant à coder à fournir au service pour pouvoir concrètement accéder à votre compte. Cette méthode d’authentification est disponible par exemple avec Google mais aussi avec Facebook et avec bien d’autres services. Je vous propose donc de l’activer dès lors qu’elle est proposée.

Voici plus d’informations pour votre compte Google :

https://www.google.fr/intl/fr/landing/2step/

Voici plus d’informations pour votre compte Facebook :

https://www.facebook.com/help/413023562082171?helpref=faq_content

Voici plus d’informations pour votre compte Apple :

https://support.apple.com/fr-fr/HT204152

Cet article n’a pas la prétention d’être un guide exhaustif, n’hésitez pas à proposer vos astuces/remarques dans les commentaires 😉

7 Commentaires

  1. Pour ma part j’utilise un container veracrypt avec une base keepass à l’intérieur. je change de container régulièrement avec des mots de passe complexes.Pour le reste je fais appel à la double authentification

  2. debian a écrit:

    Voila encore un excellent tuto, c’est vrais que les mots de passe surtout pour les débutant sur le net c’est souvent des trucs simple genre le prénom de leurs femmes, enfants etc.. Mais depuis quelques années il est possible de créer des mots de passes avec des caractères spéciaux, alors, qu’a une époque, c’était impossible, celles les lettres minuscules, et majuscules avec des chiffres et les sigles +-_* étaient autorisé

  3. LEBRETON YOHANN a écrit:

    Cher vous qui lisez ou lirez cet intéressant article, je vous écris afin de vous prémunir de l’authentification en 2 étapes. Ainsi, alors que j’étais dans le commas durant trois mois et demi mon compte Apple a été pris par quelqu’un d’autre. J’ai tenté de faire marche arrière sur les agissements de cette personne (car vous le savez sûrement qui dit compte dit moyen de paiement) et rien : la personne l’utilise car je recevais plus de deux mois après des emails de confirmation de téléchargement et rien. Donc attention car on va vous dire de supprimer votre compte (avec tout ce qui était à vous) mais l’autre le conserve ! Vous le verrez sur votre compte bancaire de toute manière !

  4. Sans vouloir faire mon chiant :

    > PS : peut-être que certains gestionnaires proposent un moyen de récupération/réinitialisation du mot de passe via leur site ? je vous avoue que je n’ai pas creusé l’idée.

    Si un site, ou un gestionnaire propose ce genre d’option, il faut le fuir, c’est soit que les mots de passes ne sont pas chiffrés, soit qu’il y a une porte dérobée pour les récupérer (et qui dit porte dérobée, dit « une autre personne peut lire vos mots de passe »).

    Je mets un bémol si cette option nécessite un fichier que l’on aurait sauvegardé quelque part (j’ai déjà vu ça sur un site, pour récupérer le mot de passe, il faut une clef privée qui est fournie au moment de la création du compte).

  5. gaispi a écrit:

    merci michel pour cet article très intéressant

  6. Raphaël a écrit:

    Très bon article.Un bémol: Beaucoup de sites refusent l’utilisation de caractères spéciaux dont l’interface de la livebox.
    Sinon une alternative au mot de passe:
    https://www.arcansecurity.com/

Laisser un commentaire

Lire plus :
les anti-virus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amis

Le titre est un peu provocateur je l'admets, mais l'antivirus peut effectivement avoir des côtés négatifs. Commençons par les bienfaits...

Fermer