BFM Tech

5 conseils pour ne jamais vous faire pirater votre mot de passe sur Internet

Le système d'exploitation macOS High Sierra.

Le système d'exploitation macOS High Sierra. - Apple

Voler les bases de données d'identifiants est devenu le sport favori des pirates, créant un risque énorme pour la sécurité des comptes utilisateurs. Mais il existe des méthodes qui permettent de rester à l'abri.

Depuis quelques semaines, d'énormes bases comprenant les données de millions d'utilisateurs de sites célèbres sont apparues sur le Dark Web: 164 millions d'identifiants de comptes LinkedIn, 360 millions d'identifiants MySpace, 40 millions d'identifiants Fling, 65 millions d'identifiants Tumblr... Et dans la plupart des cas, les mots de passe étaient malheureusement facilement récupérables, car faiblement chiffrés par l'éditeur du service. En réaction à cette nouvelle tendance néfaste, Microsoft a décidé de bannir les mots de passe trop faibles sur ses services en ligne, tels que "123456" ou "$123456$".

Une bonne mesure, mais pas forcément suffisante. Alors, face à cette diffusion massive de mots de passe, voici cinq conseils qui permettront de grandement diminuer le risque de voir vos comptes piratés.

1. Choisir un bon mot de passe

L'une des méthodes utilisées par les pirates pour entrer sur les comptes utilisateur est l'attaque par force brute, qui consiste à tenter toutes les combinaisons possible d'un code jusqu'à trouver le bon mot de passe. Pour cela, ils utilisent des "dictionnaires", c'est-à-dire des listes de mots fréquemment utilisés par les utilisateurs pour créer leur mot de passe. Il faut donc éviter à tout prix d'utiliser des mots communs de la langue. Même s'ils sont complétés par des majuscules et des caractères spéciaux, ils restent trop prévisibles. Le meilleur mot de passe est une suite aléatoire d'au moins huit caractères composée de lettres, de chiffres et de caractères spéciaux. Une méthode pour y arriver est, par exemple, d'écrire une phrase facile retenir et de ne prendre qu'une syllabe sur deux ou les deux premières lettres de chaque mot, tout en gardant la ponctuation.

2. Votre mot de passe doit être unique et régulièrement changé

Quand les pirates accèdent à des bases de données d'identifiants, la première chose qu'ils font, c'est de les essayer sur d’autres services, pour voir s’ils fonctionnent. Ils savent, en effet, que beaucoup d'internautes utilisent les mêmes mots de passe sur plusieurs sites, par facilité. C'est pourquoi il est important de définir un mot de passe unique pour chaque service différent.

Il faut également changer régulièrement son mot de passe : le cas LinkedIn le montre, les données ont été volées en 2012 mais n'apparaissent que maintenant dans le Darkweb. Elles mettent en danger surtout ceux qui n'ont pas changé leur mot de passe depuis quatre ans.

3. Activez l'authentification à deux étapes

Lorsqu'un pirate accède à une base de mots de passe en clair, l'utilisateur peut quand même avoir à sa disposition une arme fatale anti-piratage: l'authentification à deux étapes. L'idée est d'ajouter au processus de connexion un second sésame pour s'identifier si possible aléatoire et éphémère. Exemple: un code reçu par SMS ou par une application dédiée telle que Google Authenticator. Le facteur biométrique (empreinte digitale, reconnaissance vocale ou faciale) est également envisageable s'il est bien implémenté. Du coup, même si le pirate détient votre identifiant et votre mot de passe, il ne pourra pas rentrer sur votre compte. L'activation de l'authentification à deux étapes dépend de chaque fournisseur. Généralement, cela se fait au niveau des paramètres du compte. Malheureusement, tous les services ne la proposent pas. Mais c'est le cas pour les services en ligne de Google, Apple, Twitter, Facebook et Yahoo.

4. Faites une recherche dans les bases volées

Face à des vols de plus en plus fréquents, plusieurs chercheurs en sécurité ont commencé à collecter les bases d'identifiants qui circulent sur le dark web pour constituer des répertoires uniques facilement interrogeables. Un utilisateur peut ainsi vérifier si son compte figure parmi les données qui ont fuité, simplement en renseignant son adresse e-mail ou son identifiant. Deux sites sont particulièrement actifs dans ce domaine: haveibeenpwned.com et leakedsource.com. Allez-y jeter un œil de temps en temps pour voir si vous figurez dans l'une de ces bases volées. C'est toujours bon à savoir.

5. Utilisez un gestionnaire de mots de passe

Si vous êtes un gros consommateur de sites web et que vous avez beaucoup de comptes, créer et retenir un mot de passe fort et unique pour chacun d'eux est évidemment très pénible, voire impossible. Il faut donc les noter quelque part. Plutôt que de les écrire sur un post-it, dans un calepin ou dans un fichier Excel, optez pour un gestionnaire de mots de passe. C'est un logiciel qui va sauvegarder vos mots de passe de façon chiffrée. Il n'y a que vous qui pourrez y accéder en clair. Même si elle est volée, elle ne pourra pas être utilisée. 

Les fournisseurs de gestionnaires de mots de passe sont nombreux. Apple en propose un sur Mac OS X (Keychain). La plupart des éditeurs anti-virus en proposent aussi. Il y a également des éditeurs spécialisés comme KeePass (gratuit et open source), 1Password, LastPass ou Dashlane. Ils proposent tous un générateur automatique de mots de passe aléatoire. Les trois derniers permettent, en plus, l'insertion automatique dans les formulaires d'authentification et la synchronisation à travers plusieurs terminaux. Ce qui est quand même très pratique.