Plus moyen de faire quoi que ce soit de nos jours sans un satané mot de passe… Un de plus! Comment ne pas perdre la tête – ni son identité – dans la jungle des NIPS.
Marie-Claire Fortin, comme un nombre grandissant d’internautes, fait un douloureux constat. «C’est incroyable le nombre de comptes que l’on accumule sur le Web, tant pour notre vie personnelle que professionnelle. On a même besoin d’un mot de passe pour faire imprimer nos photos à la pharmacie!» s’exaspère cette bibliothécaire technophile de la région de Charlevoix.
Cet été, elle a décidé de suivre les conseils des experts afin de sécuriser son trousseau de clés informatiques. Une tâche titanesque, tant pour l’imagination que pour la mémoire. En effet, GsLCXh3rgA est le genre de mot de passe impossible à retenir qu’il faudrait idéalement utiliser sur le Web, selon les gourous de la sécurité informatique. Pire, il faudrait se souvenir d’un mot de passe différent pour chacun de ses comptes.
Pas facile, considérant que les internautes ont souvent plusieurs dizaines de comptes Web différents, d’Amazon.ca à Zune.net (et ce n’est qu’un début, puisque de nouveaux sites ne cessent de voir le jour d’année en année).
Ça passe ou ça casse
«Utiliser un seul mot de passe pour tous ses comptes est risqué : si un seul se fait pirater, tous les autres sont en danger», explique David Marcus, directeur de la recherche en sécurité chez McAfee, une firme américaine connue notamment pour ses logiciels antivirus. Se faire voler son mot de passe pour un jeu de tic-tac-toe en ligne n’est pas trop grave, mais si celui-ci permet aussi d’accéder à son compte PayPal, la situation est bien plus problématique.
Il faut aussi se méfier des mots de passe trop simples, ajoute Patrick Boucher, le président de Gardien Virtuel, une firme spécialisée dans la sécurité informatique. «Si ton mot de passe Facebook est 123facebook, peu importe qu’il soit unique ou non, il est franchement pourri et facile à pirater», explique-t-il.
Un bon mot de passe consiste en quelque chose qui ne peut être deviné – son prénom est donc à éviter – et qui ne risque pas d’être utilisé par beaucoup d’utilisateurs. Une combinaison de lettres et de chiffres est donc plus sécuritaire qu’un mot du dictionnaire.
Les pirates disposent de plusieurs outils pour entrer dans un compte : parfois, ils combinent des listes de milliers de noms d’utilisateurs et de mots de passe jusqu’à ce qu’une combinaison fonctionne; d’autres fois, lors d’un piratage plus ciblé, ils essaient des mots de passe reliés à leur cible (année de naissance, nom de la mère), d’où l’importance de choisir un mot de passe complexe.
Des pirates peuvent aussi carrément voler les bases de données d’un site Web pour ensuite utiliser les mêmes combinaisons d’adresses courriel et de mots de passe dans d’autres sites, ce qui démontre encore une fois l’importance de varier ses clés.
Deux conseils simples mais difficiles à suivre, a constaté Marie-Claire. Pour ne pas oublier toutes ces combinaisons de chiffres et de lettres, la Charlevoisienne a noté ces informations dans un calepin, une astuce qui peut toutefois se révéler dangereuse. «Si quelqu’un tombe sur ce calepin, il peut carrément voler son identité et faire de la diffamation en son nom. Ou même vider son compte de banque!» affirme Patrick Boucher.
Des passoires exemplaires
En 2010, des pirates informatiques ont publié sur Internet des mots de passe supposés protéger plus d’un million de comptes de lecteurs de l’éditeur américain Gawker Media. Sur le lot, des mots de passe parmi les plus populaires.
• 123456 : un chouchou des plus communs – plus de 1,5 % des utilisateurs avaient choisi cette séquence!
• Password : reste à voir si motdepasse est aussi populaire au Québec.
• 12345678 : pourquoi pas le 9? On l’ignore.
• qwerty : cette combinaison est une simple enfilade de touches successives sur un clavier.
• abc123 : comme quoi un mélange de lettres et de chiffres n’est pas forcément ingénieux.
• 111111 : rapide à taper (et à pirater).
• 12345 : c’était à prévoir.
Exigeons l’impossible
David Marcus reconnaît qu’il est utopique d’espérer que les utilisateurs retiennent tous leurs mots de passe par cœur, surtout s’ils sont complexes. «Il y a quand même des trucs pour rendre le tout un peu plus facile», nous rassure-t-il.
L’utilisation de «phrases de passe» peut aider les utilisateurs à sécuriser leur vie en ligne, tout en soulageant leurs neurones. «Rien n’oblige à n’utiliser qu’un seul mot. Une phrase, comme un extrait de chanson ou un vers de poème, est bien plus sécuritaire qu’un seul mot, tout en étant facile à mémoriser.» Un conseil que les bandits d’Ali Baba et les quarante voleurs avaient d’ailleurs suivi lorsqu’ils ont protégé leur caverne par «Sésame, ouvre-toi» plutôt que par sesame123!
De l’avis de Patrick Boucher, une autre solution consiste à utiliser le gestionnaire de mots de passe inclus dans le fureteur Firefox, le seul à offrir un tel outil. «Il protège différents comptes à l’aide d’un mot de passe unique, que l’internaute doit entrer avant chaque séance de navigation sur le Web, explique-t-il. Ensuite, le navigateur entre automatiquement ses noms d’utilisateur et mots de passe, et il n’est plus nécessaire de s’en rappeler.» Pour utiliser cette fonction, l’option «Utiliser un mot de passe principal» doit être activée dans les options de sécurité du logiciel.
Évidemment, cette solution n’est bonne que si l’on surfe à partir de son propre ordinateur, qui aura été préalablement configuré. Cependant, d’autres gestionnaires de mots de passe permettent aussi de sauvegarder ses informations sur le Web ou sur une clé USB (voir encadré).
Ceux qui possèdent un téléphone intelligent peuvent aussi y enregistrer leurs informations dans un fichier protégé, la version moderne et sécuritaire du petit calepin!
«Les utilisateurs doivent trouver la solution qui leur convient le mieux, mais dans tous les cas, aucune n’est parfaite», dit Patrick Boucher.
Les solutions trop complexes pour l’utilisateur (certains logiciels requièrent, par exemple, une double authentification, à l’aide d’un mot de passe et d’une clé USB) finissent d’ailleurs souvent par être abandonnées, et les plus simples, comme prendre en note ses mots de passe dans un calepin, sont généralement plus risquées (si quelqu’un trouve le cahier en question, par exemple).
Après tout, l’histoire ne se termine pas très bien pour les quarante voleurs d’Ali Baba, même avec leur célèbre phrase de passe!
Les gestionnaires de mots de passe
Des logiciels permettent de sauvegarder ses mots de passe à un seul endroit, sur le Web, dans son ordinateur ou une clé USB, et de les protéger à l’aide d’un seul NIP principal. En voici trois.
LastPass
Ce gestionnaire s’intègre dans les navigateurs Internet et sauvegarde de façon sécuritaire en ligne tous les différents comptes de l’utilisateur. Celui-ci n’a donc qu’un seul mot de passe à entrer lorsqu’il démarre son fureteur, et LastPass entre ensuite automatiquement les autres quand les sites Web les exigent, exactement comme le gestionnaire intégré de Firefox.
Lorsque l’internaute doit se connecter à un compte depuis un ordinateur qui n’est pas le sien, il peut toutefois ouvrir une session sur le site LastPass.com et consulter sa liste de mots de passe pour les entrer manuellement.
LastPass peut être téléchargé gratuitement, mais une version payante est aussi offerte au coût de un dollar par mois. Parmi les exclusivités de LastPass Premium, notons la possibilité d’utiliser le service depuis son téléphone intelligent. Le service payant donne aussi accès à LastPass Sesame, qui, au moyen d’une clé USB, permet d’exiger une double authentification pour ouvrir son compte LastPass.
KeePass
Un logiciel gratuit qui permet de crypter les informations de ses différents comptes dans son ordinateur ou une clé USB – pratique pour accéder au Web à partir d’un ordinateur public. KeePass offre aussi un générateur de mots de passe complexes, pour les fois où l’imagination requise pour trouver un mot de passe différent et original commence à manquer.
IronKey Personal S200
Une clé USB hautement sécurisée qui offre son propre gestionnaire de mots de passe. L’IronKey résiste aux chocs, elle est imperméable, et les informations, ses mots de passe, mais aussi n’importe quel fichier important que l’on souhaite y sauvegarder, sont protégés à l’aide d’une puce électronique spéciale.
L’IronKey Personal S200 autodétruit également les informations qui y sont enregistrées si une tentative de piratage ou un bris survient. Pour éviter les catastrophes en cas de perte, il est aussi possible de créer une copie de sauvegarde protégée dans son ordinateur. Se vend de 79 $ pour 1 Go à 299 $ pour 16 Go.