LCI dévoilait il y a quelques jours les mots de passe les plus piratés l’an passé. Sans surprise on retrouve en tête du top 10 l’incontournable « 123456 » suivi de « 123456789 ». « Qwerty » (ou « azerty » dans nos vertes contrées) vient quant à lui clore ce triste palmarès. Car hélas oui, en 2016 bon nombre d’internautes non-avertis utilisaient encore ces mots de passe qu’il est extrêmement simple de pirater. Face à ce constat, on a décidé de faire ce petit article pour vous rappeler les bonnes pratiques en matière de choix de mot de passe.
Piratage des mots de passe, comment ça marche ?
Si pour trouver le mot de passe d’un compte Gmail, Facebook ou Paypal, les pirates n’hésitent pas à user de tous les stratagèmes, les logiciels générant en quelques secondes des milliers de mots de passe à la volée restent semble-t-il leur technique de prédilection.
Attention donc : ça n’est pas parce que votre mot de passe n’est pas dans le fameux top10 que vous ne risquez rien !
Rappelons l’ironie de la chose quand Mark Zuckerberg s’était fait hacker son compte Facebook à cause d’un mot de passe trop facile à deviner. Pour l’anecdote, il s’agissait de « dadada »…on comprend mieux pourquoi les pirates n’ont eu aucun mal à le deviner via leurs logiciels malicieux !
Néanmoins, les mots de la langue courante composés de lettres exclusivement font également partie de cette catégorie de mots simples à deviner : éviter donc les « bonjour », « mot de passe », « chat »…ou toute autre information relative à votre identité (votre date de naissance ou votre nom de jeune fille par exemple) là encore très (trop) facile à deviner.
Bien choisir son mot de passe, ça n’est pas sorcier !
Alors comment s’y retrouver et choisir un mot de passe à la fois sécurisé et facile à retenir ?
Le premier des conseils que je souhaite vous donner c’est qu’il ne doit pas exister un mot de passe mais une multitude. En bref, chaque compte doit avoir un mot de passe différent des autres. En effet, si vous veniez par malheur à vous faire hacker votre compte Gmail, qu’adviendra-t-il de tous vos autres comptes si le mot de passe est exactement le même ? Ils subiront probablement le même sort, et ça n’est pas ce que vous voulez n’est-ce-pas ?
Des chiffres et des lettres
Passons maintenant au choix du mot de passe lui-même : un mot de passe correct doit être suffisamment long (au moins 8 caractères, de plus en plus de sites n’ont plus de restrictions en termes de longueur) et ne pas compter que des lettres. Les chiffres et autres caractères alphanumériques (point d’exclamation, dièse…) sont donc les bienvenus pour enrichir et complexifier le mot de passe choisi.
Complexe et facile à la fois
Alors comment s’y retrouver ? Car si « yk84 !p%23# » a peu de chances d’être piraté, on a également peu de chances de s’en rappeler, surtout s’il faut mémoriser un mot de passe différent pour chaque compte ! L’idéal est de faire des phrases, mêmes stupides, qu’importe tant qu’elles conviennent aux « critères des bons mots de passe » et que vous parvenez à vous en souvenir. Pour ceci (et c’est probablement la seule fois dont j’en ferai l’éloge), le langage SMS peut s’avérer bien pratique. Un petit exemple ? La phrase d’origine : «Je suis censé travailler » deviendra « !Jes8100Ctravailler# » : on a des chiffres, des lettres, deux caractères alphanumériques et même une majuscule. A vous donc de laisser parler votre imagination pour trouver des mots de passe aussi drôles que complexes pour surfer en toute sécurité !
Autres pratiques passeword-safe
Une fois le mot de passe choisi, vous serez bien sûr tenté de le noter quelque part pour ne pas l’oublier. Cette pratique, bien que déconseillée, n’est pas proscrite pour autant, à condition que ces informations sensibles soient stockées dans un endroit sûr. On évitera donc les postits bien visibles sur le bureau ou le fichier word dans « mes documents » accessible à tous. Le plus sûr reste même de stocker le fichier sur un PC ou un dispositif non connecté à Internet.
On évitera bien entendu de s’envoyer ses mots de passe par mail au cas où ce dernier serait intercepté (ou la boîte email piratée).
Last but not least, on évitera à tout prix de donner l’autorisation aux navigateurs de « se rappeler » de nos mots de passe. Certes, c’est contraignant de devoir retaper le mot de passe à chaque connexion, mais la sécurité doit passer avant tout !
Enfin, un petit outil qui pourra vous être utile : si vous souhaitez avoir une idée du degré de sécurité de votre mot de passe, n’hésitez-pas à aller voir sur le site de l’ANSSI :
estimer la force de mon mot de passe