N.B. : pour aller directement au paragraphe concernant “l’authentification à deux facteurs” <= clique là !
J’ai découvert avec stupéfaction, il y a bientôt 2 ans, que les 7 adresses mails que j’utilise régulièrement ont toutes été piratées par le passé ou figurent sur des listes utilisées par les spammeurs ! 😮 (listes contenant des millions, sans doute même des milliards de combinaisons adresse mail / mot de passe)
Dans un sens, pas trop étonnant en 20 ans mais, étant informaticien à la base, je suis censé être plus prudent et au fait des choses à ne pas faire… Alors toi, utilisateur “lambda”, tu imagines ? 😉
Pis encore, mes mots de passe principaux figuraient dans les listes de mots de passe compromis !
Parmi les sites dont je suis presque sûr qu’ils ont “fuité”, il y a transpole.fr (désormais ilevia.fr) et filmfrance.net sur lesquels j’avais des mots de passe uniques, mais aussi onvasortir.com qui avait fortement incité ses utilisateurs à changer leur mot de passe quelques années plus tôt (mes anciens et nouveaux mdp utilisés sur ces sites figurent aussi sur les listes !)
Voici donc quelques liens utiles pour vérifier si ton adresse mail (et le mot de passe associé) a été piratée ! — et quelques conseils avisés. 🙂
Hacker vaillant (rien d’impossible !)
Auparavant : comment en suis-je arrivé là ?
En testant un logiciel de gestion de mots de passe (https://www.enpass.io/), il y était fait mention du site https://haveibeenpwned.com/ (créé par un expert en sécurité informatique) pour contrôler que ton mot de passe ne figure pas sur les fameuses listes.
Sur le même site, il y a aussi une page pour vérifier combien de fois ton mot de passe figure sur les listes (même si ce n’est pas toi qui l’as utilisé — car malgré notre conviction d’avoir trouvé THE mot de passe, il est fort probable que d’autres y aient aussi pensé, parmi les milliards d’internautes…)
Une bonne occasion d’arrêter 123456 qui apparaît 20.760.336 fois !
Instructions :
=> entre ton mail et clique sur le bouton “pwned?” à droite
=> si tu figures sur une des listes d’adresses mails piratées, tu peux vérifier ton mot de passe (en particulier les sites que tu penses à risque) en cliquant sur l’onglet Passwords (le 5ème en haut), puis entre ton mot de passe et clique sur le bouton “pwned?”.
Pour savoir combien de temps un hacker met à trouver ton mot de passe : https://howsecureismypassword.net/ (de préférence et par sécurité, mets un mot de passe similaire au tien en longueur et en complexité, juste pour voir)
N.B. : il s’agit du temps mis par un pc “normal”, j’ai lu ailleurs qu’avec seulement 40000 $ de matériel, un mdp de 9 caractères est trouvé en 2 minutes ! (Bonjour les banques avec un mdp de 8 caractères !!! 😮 )
Lessanglotslongsdesviolonsdelautomne
Consignes de sécurité de base :
- des mdp les plus longs possible (une phrase d’une vingtaine de lettres est bien plus sécurisée qu’un mdp complexe de 8 caractères — 16 milliards d’années contre 7 mois, d’après le site ci-dessus ! 😀 ), un truc comme “longtempsjemesuiscouchédebonneheure”, par exemple. 🙂
Autre bon plan : les initiales d’une longue phrase comme “orodovenajdtvqpciensjbdltgqpveujftdl” (le 1er quatrain de la tirade du Cid “Ô rage, ô désespoir, etc.”)
- un mdp pour la banque (utilisé nulle part ailleurs)
- un mdp pour le(s) compte(s) mail
- si tu utilises Facebook : un mdp unique (utilisé nulle part ailleurs) et si possible l’Authentification à deux facteurs (surtout si tu t’y connectes avec ton smartphone !)
- un mdp très simple, même compromis, sur les sites sans importance (ou dont on soupçonne qu’ils “fuient”…
Le conseil du chef : si limitation de longueur (ou souhait d’un truc relativement court), le plus efficace (en terme de sécurité, tout en restant facile à mémoriser) est de prendre les initiales des mots d’une phrase en remplaçant une lettre par sa majuscule ou un chiffre si besoin. Par exemple, “longtempsjemesuiscouchédebonneheure” devient “ljmSc2bh”.
On retrouve à peu près les mêmes conseils sur le site de la CNIL : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe.
Et un générateur de mdp : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide.
Pour t’aider, je conseille vivement le logiciel https://www.enpass.io/, gratis sur ordinateur : même si tu ne veux pas de gestionnaire de mdp, il permet d’évaluer la force d’un mdp et fonctionne sans devoir se connecter nulle part, contrairement à ses concurrents.
Mouais… t’es sûr ?
Pour les curieux et les sceptiques, voici une démonstration simple autant qu’éclatante de la supériorité d’un mot de passe long sur un complexe :
Prenons un mdp sur 2 caractères avec des lettres minuscules, le nombre de possibilités est 26x26=676.
• Si j’ajoute 26 majuscules et 10 chiffres à chaque caractère, ça fait 62x62=3844 possibilités. Si j’ajoute encore une dizaine de symboles (§&$, etc.) : 72x72=5184
• Alors que si j’ajoute plutôt un 3ème caractère, ça fait 26x26x26=17576 possibilités !
• Avec 4 caractères : 26x26x26x26=456976, etc.
Le seul cas où il est intéressant d’utiliser un mdp complexe est lorsque le nombre de caractère est limité : pour 8 caractères, on passe de 208 milliards de combinaisons à 722204 milliards de combinaisons !
Daddy was a bank robber…
Malheureusement pour l’utilisateur, la plupart des banques optent pour des claviers numériques virtuels aléatoires sur lesquels il faut cliquer une suite de 6 ou 8 chiffres : bien moins facile à retenir qu’une longue phrase et ce système n’est pas à l’abri des pirates, comme en attestent les liens ci-dessous.
https://www.panoptinet.com/cybersecurite-decryptee/banques-en-ligne-claviers-virtuels-risques-reels.html
https://medium.com/@florentmorin/les-mots-de-passe-avec-clavier-virtuel-al%C3%A9atoire-ne-sont-pas‑s%C3%A9curis%C3%A9s-8448128520f5
Qui plus est, ils nous incitent à changer de mot de passe très souvent, ce qui le rend carrément impossible à mémoriser : qui est capable de retenir une série de 8 chiffres qui change régulièrement ? Dès lors, il devient impossible de se connecter sans avoir écrit son mot de passe quelque part : bonjour la sécurité ! 😮
Et donc, question facilité d’utilisation pour le client : zéro, ça devient un casse-tête permanent…
Incroyable qu’une banque ne prend pas plus sérieusement la question de la sécurité de ses clients ! — À comparer avec tous les grands sites connus, qui permettent des mdp d’au moins 20 caractères : Amazon, eBay, Gmail et même, bien sûr, le site des Impôts !
N.B. : Gmail prévoit de supprimer les mdp en 2023 pour passer à un système plus sûr !
Le facteur sonne toujours deux fois…
Les plus geeks auront déjà entendu parler de “l’authentification à deux facteurs” (ou 2FA pour les ultra-geeks), une mesure de sécurité supplémentaire — qu’on utilise sans le savoir lorsqu’on confirme une opération sur un site par un sms.
J’y consacre un article plus détaillé ici : MDP & 2FA.
Enter here, John Mill !
D’autres sites mettent en place le “CAPTCHA”, où l’utilisateur doit cliquer pendant un quart d’heure sur des photos de bus américains, de panneaux américains, de feux rouges américains, etc. En espérant pouvoir ensuite accéder à son compte… 🤬
Pourquoi torturer ainsi ses utilisateurs ? Parce que c’est plus simple d’utiliser ce service Google que de sécuriser réellement le site… 😉
Pour conclure, il faut bien avouer qu’on a plus de risques de se faire pirater à cause d’un site mal protégé ou si qq1 regarde par dessus votre épaule quand vous tapez votre mdp dans un lieu public, mais comme on dit en Italie : se fier c’est bien, se méfier c’est mieux ! 😀
Autres liens utiles :
• pour illustrer la “force” d’un mdp selon sa longueur et le type de caractères utilisés
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
• un site plutôt pointu, mais où l’on apprend que 30% des mdp utilisés figurent parmi les 10000 premiers des listes de mdp compromis… https://blog.codinghorror.com/password-rules-are-bullshit/
(Désolé pour les non anglophones, mais ce sont généralement les sites les plus “à la page” sur la question 😉)