BFM Business

Les meilleurs mots de passe ne sont pas ceux que vous croyez

Pour un bon mot de passe, la longueur prévaut sur la complexité.

Pour un bon mot de passe, la longueur prévaut sur la complexité. - geralt sur Pixabay

La combinaison de minuscules, majuscules et caractères spéciaux n’est pas la solution ultime pour protéger efficacement vos comptes en ligne.

Choisir un bon mot de passe est une science complexe qui fait l'objet de recommandations sans cesse renouvelées... et bien souvent contradictoires. L'an passé, l'expert américain des mots de passe "sûrs" est revenu sur les règles qu'il avait lui même édictées. "Je regrette la plupart des choses que j'ai faites", confiait-il à l'époque au Wall Street Journal. Ancien employé du National Institute of Standards and Technology (NIST), l'agence gouvernementale en charge de l'édiction des normes dans les technologies, Bill Burr a établi en 2003 une liste de préconisations pour protéger ses comptes en ligne.

Le document est devenu une référence en la matière. Il est responsable, entre autres, du format de mot de passe réclamé sur certains sites Web. A savoir, des caractères spéciaux, des majuscules et des nombres.

À la clé, des mots de passe complexes, parfois sans logique et difficiles à mémoriser. Ces règles seraient aujourd'hui obsolètes. "Tout cela était probablement trop compliqué à comprendre pour le plus grand nombre et, à vrai dire, ce n'était pas forcément pertinent", admet Bill Burr lui-même.

Comment définir un mot de passe sûr sans enchaîner les caractères spéciaux indéchiffrables ? "Un bon mot de passe est un mot de passe long qui ne sert que sur un compte", indique Baptiste Robert, chercheur en sécurité qui officie sous le nom d'Elliot Alderson sur Twitter. Il rejoint en cela un rapport du NIST publié en juin dernier. Le document préconise l'utilisation de longues phrases, faciles à retenir, au détriment des mots de passe à chiffres et caractères spéciaux.

1tvmQ2tl'A, le mot de passe idéal ?

En France, l'Agence nationale de la sécurité des systèmes d'information (Anssi), recommande d'utiliser des mots de passe d'au moins douze caractères de types différents et privilégie deux méthodes. La méthode phonétique, pour laquelle "J'ai acheté huit CD pour cent euros cet après-midi" deviendra ght8CD%E7am; la méthode des premières lettres, pour laquelle la citation "Un tien vaut mieux que deux tu l'auras" donnera 1tvmQ2tl'A, selon deux exemples mentionnés sur le site de l'institution.

Si les avis peuvent diverger au sujet du mot de passe idéal, une recommandation fait l'unanimité. "L'erreur la plus courante, qu'une majorité de personnes commet, est d'utiliser le même mot de passe sur tous ses comptes. De cette manière, un hacker peut avoir accès à l'ensemble de votre vie digitale", note Baptiste Robert. 

Les fuites massives de données de LinkedIn, Tumblr ou encore MySpace ont en effet contribué à créer d'immenses bases d'identifiants et de mots de passe revendues en ligne. Ces combinaisons peuvent être utilisées sur d'autres services Web populaires pour tenter de s'y connecter. Le site HaveIBeenPwned propose à ses visiteurs de déterminer si leurs mots de passe ont un jour fuité sur le Web, pour mieux les renouveler.

A défaut d'une excellente mémoire, diversifier ses mots de passe requiert l'utilisation d'un service spécifique. Les gestionnaires de mots de passe répondent à ce besoin et peuvent servir à enregistrer l'ensemble des combinaisons utilisées. "KeePass permet notamment de stocker ses mots de passe en local", explique Baptiste Robert. Ces derniers sont ainsi à l'abri de toute tentative de piratage. L'outil permet également de générer automatiquement des mots de passe difficiles à trouver par force brute - une technique consistant à tester toutes les combinaisons existantes.

KeePass permet de stocker ses mots de passe en local.
KeePass permet de stocker ses mots de passe en local. © KeePass

Les gestionnaires de mots de passe font néanmoins l'objet de débats récurrents dans le milieu de la sécurité informatique. Riches en données personnelles sensibles, ils constituent une cible de choix pour les hackers. Pirater un tel service donne en effet accès à l'ensemble des comptes d'un même utilisateur. En juin dernier, l'entreprise OneLogin, qui compte près de 2.000 entreprises clientes à travers le monde, a confirmé avoir été victime de piratage. Deux ans plus tôt, un autre gestionnaire de mots de passe populaire, LastPass, avait aussi fait les frais d'une faille informatique. 

https://twitter.com/Elsa_Trujillo_?s=09 Elsa Trujillo Journaliste BFM Tech