Ecrans, un site de Libération.fr

Dixit

Le podcast video d’Ecrans.fr, c’est un peu "Wow, a double rainbow all the way !" dans ta journée.

NicoJaK, dans les forums

  • Home
  • Internet
  • Télévision
  • Cinéma
  • Dvd
  • Jeux
  • Téléphone
  • Forums
  • Rss

jeudi 8 octobre 2009 18:02

  • internet

Guide pratique : Comment choisir ses mots de passe sur le net

par Camille Gévaudan

tags : pratique , sécurité , mode d’emploi , phishing

CC Zach_ManchesterUK

Lundi, les informations personnelles de 10 000 comptes Hotmail et Windows Live ont été postées sur Internet, publiquement, via le site pastebin.com (habituellement utilisé pour échanger du code de programmation entre développeurs informatiques). Les informations publiées ne concernant que des personnes dont le nom commence par A ou B, on peut supposer que le nombre de comptes piratés est en réalité bien supérieur. Microsoft a d’abord affirmé que les données avaient été récupérées grâce au phishing, c’est-à-dire l’utilisation d’e-mails imitant des requêtes légitimes de sites de confiance pour demander aux internautes de communiquer leurs mots de passe.

Mardi, le nombre de comptes officiellement piratés s’élevait à 30 000 et il s’est avéré que Gmail, Yahoo et AOL avaient également été touchés. Dans la semaine, une autre hypothèse contredisant les déclarations de Microsoft a fait surface. Un chercheur de la société ScanSafe évoque la possibilité que les mots de passe aient été volés via un cheval de Troie ou un enregistreur de frappe installé sur les ordinateurs de victimes. Un autre affirme que la récupération des informations a été rendue possible par la faible sécurisation des mots de passe utilisés par les internautes.

Après ces attaques à grande échelle, l’heure est au rappel des conseils de sécurité en matière de mots de passe. Google vient de publier, sur le blog de Gmail, un billet résumant 5 comportements à risques et quelques idées pour y remédier. De son côté, Microsoft a conseillé à ses utilisateurs de changer de mot de passe tous les 6 mois, et a rappelé quelques bonnes pratiques en matière de constitution de mots de passe.

Ecrans.fr reprend leurs conseils les plus pertinents et les agrémente d’explications et de liens pour aider ses lecteurs à surfer dans la sérénité, la joie et la volupté.

Pourquoi sécuriser son mot de passe ?

Et si on se faisait un peu peur, pour commencer ? Plusieurs sites Internet proposent des simulateurs d’attaques par force brute, technique pouvant être utilisée pour trouver un mot de passe en testant de manière automatisée toutes les combinaisons possibles, une par une mais extrêmement rapidement. Ce simulateur se base par exemple sur une moyenne de 2 800 000 000 mots testés par seconde pour estimer le temps nécessaire à « cracker » un mot de passe. On constate qu’en-dessous de 10 caractères, un mot de passe composé uniquement de chiffres est trouvable en moins d’une seconde...

Et malheureusement, c’est le cas de beaucoup d’internautes. Bogdan Calin, chercheur en sécurité à Acunetix, a publié sur son blog la liste des 20 mots de passe les plus courants parmi les comptes hackés la semaine dernière. Les deux premiers sont « 123456 » et « 123456789 ». Et les vingt mots de passe, sans exception, sont composés soit de chiffres soit de lettres, mais pas d’une combinaison des deux.

Conseil n°1 : Éviter les mots de passe courants

Ce top 10 et ce top 500 donnent une idée des mots de passe les plus couramment utilisés : il s’agit principalement de mots existants dans le dictionnaire, de prénoms ou de suites logiques de chiffres ou de lettres (et si vous vous sentiez follement original en choisissant « sesameouvretoi » ou « motdepasse », sachez que c’est complètement raté). Les célébrités réelles ou imaginaires ainsi que les références cinématographiques ou vidéo-ludiques ont aussi la cote. Or, plus les mots sont répandus et plus les hackers sont susceptibles d’y penser et de les essayer aussi.

Bref, un bon mot de passe ne doit rien vouloir dire.

Conseil n°2 : Combiner les lettres, les nombres et les symboles

Plus un mot de passe intègre d’« alphabets » différents, moins les attaques par force brute sont efficaces. Un mot de passe de 6 caractères peut correspondre à 300 000 combinaisons s’il est composé uniquement de lettres minuscules, 2 milliards de combinaisons s’il contient des lettres minuscules et majuscules, 56 milliards s’il intègre en plus des chiffres... et encore beaucoup plus si on y ajoute des symboles ($, #, %...) et caractères spéciaux (-, @...).

Le site Passwordmeter propose une évaluation très détaillée du niveau de sécurité des mots de passe. En plus du score final de sécurité actualisé au fur et à mesure qu’on essaye des combinaisons dans le champ de texte, il utilise des couleurs et des pictogrammes pour mettre en valeur les points forts et les points faibles du mot de passe. On comprend vite la logique : le nombre de caractères augmente le score, mais l’utilisation consécutive de caractères du même type le fait descendre. Utiliser des chiffres est plus efficace s’ils sont placés au milieu du mot de passe, et qu’ils ne sont pas consécutifs.

Exemple : « ecrans.fr » a un score de sécurité de 30%, tandis que « €c#4n$.fR » atteint les 100%.

Conseil n°3 : Utiliser des mots de passe uniques

Réutiliser un même mot de passe pour plusieurs sites Internet est très risqué. Comme l’explique Google, « si quelqu’un parvient à se procurer votre mot de passe pour un des services que vous utilisez, il peut potentiellement accéder à vos e-mails, vos coordonnées personnelles et même votre compte bancaire. »

Dans l’idéal, il est conseillé d’utiliser un mot de passe par site — et si le nombre de comptes personnels rend l’affaire vraiment trop compliquée, ça compte au moins pour la boîte e-mail et la gestion de comptes bancaires en ligne. Il peut être pratique d’imaginer un moyen mnémotechnique pour associer les différents mots de passe aux sites concernés. Google propose de penser à des questions comme « Combien d’argent ai-je ? » pour le compte bancaire. Bien cryptée, la phrase devient « Cb€Ai-J3 ». Précisons que ce dernier, parce qu’il est écrit dans cet article, est maintenant à éviter, comme tous les exemples ici présents.

Conseil n°4 : Sécuriser également les moyens de récupération du mot de passe

De nombreux sites Internet offrent la possibilité de retrouver un mot de passe perdu ou oublié par un système d’envoi par e-mail, de question secrète ou de réinitialisation en cliquant sur un lien.

Bien entendu, le renvoi de mot de passe par e-mail ne peut fonctionner que si l’adresse e-mail fournie lors de l’inscription est toujours valide... Ce qui implique de penser, quand on change d’e-mail, à refaire un tour sur tous les sites Internet auxquels on est inscrit et d’y changer ses informations personnelles.

Dans le cas des « questions secrètes », il faut toujours rédiger sa propre question si c’est une des options proposées. Répondre à cette question permet d’accéder à un compte aussi simplement et rapidement que si l’on en connaît le mot de passe, et il est donc primordial qu’il soit aussi difficile de la deviner que le mot de passe lui-même. La réponse doit être impossible à trouver sur Internet. Sont donc à bannir les « prénom de mon chien », « date de naissance de ma mère » et autres « chanteur préféré » qui ont de grandes chances d’être publiés sur des réseaux sociaux, forums ou blogs. Google suggère de définir une convention typographique, par exemple d’ajouter systématiquement un « @ » après la 2e lettre des réponses, pour ajouter une barrière supplémentaire : « même si quelqu’un devine la réponse, il ne saura pas comment la taper correctement. »

Conseil n°5 : Garder les mots de passe dans un endroit sécurisé

Google rappelle que la pire des bêtises à faire est, bien sûr, de lister ses mots de passe dans un document informatique qu’on laisse traîner dans « Mes documents » sous un nom transparent (« Mes mots de passe »)... Quitte à conserver le fichier sur son ordinateur, il faut prendre la précaution de le déguiser — par exemple en document de travail, de le nommer et de le ranger en conséquence.

Conseil n°6 : Ne pas les communiquer

Énoncé comme ça, le conseil peut paraître idiot. Il évident qu’il ne faut communiquer son mot de passe dans aucun endroit réel ou virtuel, même en privé à un internaute attentionné qui prétend pouvoir donner un coup de main pour résoudre un problème informatique. Mais, sans verser dans la paranoïa, il est également prudent de garder à l’esprit l’existence des logiciels enregistreurs de frappe et d’éviter de se connecter sur son compte e-mail ou bancaire depuis un ordinateur public (dans des cybercafés, bibliothèques...).


Il y a 22 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

[Facebook] Tweet

Twitter Ecrans Facebook Ecrans

Sur les mêmes thèmes:

pratique - La vague Netbook

sécurité - Hadopi craint les faux mails d’avertissement

mode d’emploi - Mode d’emploi : les podcasts

phishing - Google attaqué, c’est la faute à Microsoft

article précédent
Phishing : « Il y a une recrudescence des opérations de grande ampleur »
article suivant
« Come on ! », porn music


 

Outils

  • imprimer
  • écrire à Camille Gévaudan
  • réactions (22)
  • [Facebook] Tweet

Actualit

  • Facebook : l’Allemagne met les recruteurs dos au mur
  • Les Sarkozy victimes de la bulle Internet
  • Silence on joue ! Limbo, Starcraft 2, Dragon Quest IX
  • Apple, Ping lady
  • Un jour, je serai astronaute

Lib.fr

  • La suspension d'une prof d'histoire fait polémique
  • 800€ d’amende pour avoir écrit sur les fesses d'une personne âgée
  • Les sculptures d'Edgar Degas à Sofia
  • Woerth repousse la proposition de Chérèque sur l'âge de la retraite à taux plein
  • Un site de voyage sur quatre épinglé par l'Etat
publicité

NSFW

img75
Les Sarkozy victimes de la bulle Internet

L’effet est saisissant. Le principe simplissime. Le tout transforme la plus chaste des photo estivales en potentielle illustration de magazine de charme.


Chronophage

Pixel Purge

Au début on essaie d’établir une stratégie. Et puis, finalement, on laisse tomber, comprenant qu’il faut laisser la finesse au vestiaire et foncer dans le tas.


C’est joli, on aime

img75
Un jour, je serai astronaute

Un résumé vidéo de ce qu’on aperçoit quand on colle son pif au hublot de la Station Spatiale Internationale.


Ecouter / Voir

img75
Double Rainbow devient VRP de Windows

Paul Vasquez, l’homme émotif devant les arc-en-ciel devenu un mème, participe à un spot de pub pour Windows.


Le coin du geek

img75
8-Bit Mixtape

Les anglais de Eclectic Method, déjà responsable de la culte Tarantino Mixtape, reviennent avec un hommage musical aux jeux old school.


C’est joli, on aime

img75
Quand on partait sur les chemins, à monocycle

Difficile de le passer en chronophage. En même temps, on ne pouvait faire l’impasse sur « Seasons », joli jeu en flash qui vous emmène en balade sur son monocycle.




accueil | internet | télévision | cinéma | DVD | jeux | téléphone
contacts | licence | mentions légales | données personnelles | charte d’édition
engine SPIP | powered by carburant
© Libération- un site de Libération Network - 2006 - 2008