Au purgatoire des mots de passe

28 mars 2024
Au purgatoire des mots de passe.
Comment concilier au mieux le besoin d’un mot de passe non piratable avec la capacité de s’en souvenir? Voici des conseils d’experts.
 

En 2024, la sécurité des mots de passe sera le principal problème dans le monde de la technologie, selon David Shipley, PDG et cofondateur de Beauceron Security Inc., basé à Fredericton, au Nouveau-Brunsiwck. 

« Nous devons rendre les mots de passe aussi sûrs, mais également aussi utilisables que possible », explique M. Shipley. « Les deux concepts s’apparentent à des pôles magnétiques qui se repoussent. » 

Le problème remonte à au moins aussi loin que les ordinateurs. Comme le dit M. Shipley, nous avons besoin de mots de passe pour protéger nos données, mais nous devons également pouvoir les mémoriser pour que la dimension pratique de l’informatique demeure attrayante. 

M. Shipley fait valoir que le bon vieux conseil du National Institute of Standards and Technology des États- Unis pour se doter de mots de passe compliqués, utiliser des majuscules et des minuscules, des chiffres et des caractères spéciaux a eu l’effet inverse, en quelque sorte. 

« Ce qui s’est passé, et les chercheurs qui ont créé [le protocole] l’ont reconnu il y a quelques années, c’est que les gens n’arrivaient pas à se souvenir de ces mots de passe. Ils ont donc commencé à utiliser le même mot de passe en se contentant d’y ajouter quelques caractères différents à la fin. Le problème est que même un logiciel de piratage facilement accessible peut décoder ces mots de passe relativement facilement sur un vieil ordinateur portable. » 
 

« Que du menu fretin » 

L’autre grave dimension du problème, explique Terry Cutler, PDG de Cyology Labs et fondateur de l’appli gratuite de cybersécurité Fraudster, est que les profanes se disent qu’ils n’ont aucune importance sur le plan global et que les pirates ne s’intéressent aucunement à eux. 

« Beaucoup de gens, surtout les aînés, pensent n’être “que du menu fretin” et se disent “personne ne voudra me pirater” », dit M. Cutler. « Ils ont donc le sentiment de ne pas être une cible, mais ils ne réalisent pas que, comme ils n’ont pas le temps, l’argent ou les ressources pour assurer leur cybersécurité, cela en fait la principale cible. » 

M. Shipley en convient et ajoute que les pirates criminels sont, par nature, très intelligents, mais aussi paresseux. Ils attendent donc que l’occasion se présente. 

« C’est pourquoi ce sont des criminels et non des membres productifs de la société », dit-il. 
 

Trop de mots de passe 

Le citoyen moyen, ajoute M. Cutler, gère environ 50 mots de passe différents dans son esprit. Cela va des codes d’accès pour un guichet automatique aux codes d’alarme pour leur maison, sans oublier ceux pour leurs courriels. Et ces mots de passe deviennent de plus en plus difficiles à retenir, d’autant que les gens sont invités à les changer fréquemment. 

« Ils finissent par utiliser des mots de passe comme George123 qui peuvent être décodés en quelques instants », explique M. Cutler. « Et ils ne se rendent pas compte que, lorsqu’ils sont victimes d’une attaque d’hameçonnage, ou s’ils sont piratés, ou si une base de données sur laquelle ils sont inscrits est piratée [cela s’est même produit avec Revenu Canada], ils deviennent vulnérables à toutes sortes d’autres attaques d’hameçonnage et la fraude. » 

Il dit que nous pourrions recevoir un courriel qui dit, « Bonjour [votre nom], Vous ne me connaissez pas, mais voici votre mot de passe. » Et c’est bel et bien votre mot de passe. Les pirates informatiques pourraient alors dire à leurs victimes qu’ils ont installé des logiciels espions sur leurs ordinateurs et qu’ils les regardent en vidéo. À cause de la peur, les victimes se soumettent aux exigences répréhensibles des pirates informatiques.
 

Le casse-tête des mots de passe 

Beaucoup d’entre nous ont reçu ces courriels et ont immédiatement changé leurs mots de passe, ce qui est la bonne chose à faire, souligne M. Cutler. Mais comment trouver un mot de passe impiratable? 

Il conseille de s’assurer que le mot de passe comprenne entre 16 et 25 caractères et mélange des majuscules et des minuscules. Il recommande de trouver une phrase simple, par exemple « J’ai passé une excellente journée au travail en 2024! », de supprimer les espaces et de mettre l’initiale de chaque mot en majuscule. 

« À lui seul, ce mot de passe exigera 10 ans pour être décodé », dit-il. « Mais puisque nous sommes là pour mieux nous protéger, si vous remplacez tous les O par un zéro et tous les A par le symbole @, il faudra alors 39 ans pour le décoder. » 

Pour plus de clarté, voici ce mot de passe : J’@iP@sséUneExcellenteJ0urnée@ uTr@v@ilEn2024! 

Mais comme nous tentons d’être vraiment proactifs ici, il suggère également d’activer la validation en deux étapes où nous recevons un courriel ou un texto avec un code à saisir pour prouver notre identité. Ce système est efficace, dit M. Cutler, mais il est également important d’activer la protection contre le transfert frauduleux auprès de votre fournisseur de téléphonie mobile. Cette protection limite la possibilité qu’on transfère votre numéro à un autre fournisseur à votre insu. M. Cutler connaît un cas où des pirates informatiques ont eu accès à un ancien compte Hotmail dormant qui comprenait tous les mots de passe de la victime. 

Grâce à cette information, ils ont pu transférer son numéro de téléphone et son forfait de Rogers à Bell. Ce faisant, ils ont éliminé son accès à son téléphone et obtenu tous les textos de vérification en deux étapes allant à son numéro. En fin de compte, ils ont réussi à accéder à son compte bancaire et à le vider, ainsi qu’à faire des achats sur Amazon et eBay. 

De nombreux fournisseurs auront une protection contre le transfert frauduleux, mais il vaut la peine de vérifier pour vous assurer que la vôtre est activée. Par contre, la protection contre le transfert non autorisé exigera une démarche de votre part : si vous décidez de changer de fournisseur, vous devrez vous adresser à lui en personne pour transférer votre numéro. 
 

Gestion de vos mots de passe 

Pour chaque problème à résoudre, les entrepreneurs proposent un produit pour le régler. Nous avons donc vu beaucoup d’applis de protection de la confidentialité des mots de passe sur le marché. M. Cutler fait remarquer que la qualité d’un gestionnaire de mots de passe correspond à celle de l’entreprise qui le vend. Si elle est piratée, tous vos mots de passe y sont regroupés et ils ne sont plus en sécurité non plus. Mais ce sont des applis pratiques et certaines sont meilleures que d’autres. M. Shipley dit que le trousseau iCloud d’Apple est une 

« bonne solution élégante de gestion de mots de passe », car lorsque vous vous inscrivez à un nouveau service, il vous offrira un mot de passe généré aléatoirement. Et si le trousseau remarque que vos mots de passe sont apparus lors d’atteintes à la protection des données, il vous avertira que le mot de passe que vous avez choisi n’est pas robuste et qu’il devrait être modifié. 

Et, pour les personnes qui n’utilisent pas Mac, M. Shipley suggère la société canadienne 1Password ou, encore, Dashlane. Il dit que ces applications synchronisent les mots de passe sur tous vos appareils. Et que la probabilité que ces applications soient piratées est inférieure à la probabilité qu’une personne avec des mots de passe vulnérables le soit. ll s’agit donc d’un risque raisonnable. 

M. Shipley est également d’accord avec l’authentification multifacteur et estime que Google Authenticator et Microsoft Authenticator sont toutes deux de bonnes applis pour cela. « Selon Microsoft, l’authentification multifacteur peut réduire de 99,9 % le risque de contournement des verrous numériques ou de piratage par force brute, selon les données d’une enquête sur des milliards d’attaques différentes », explique M. Shipley. « Ce n’est pas parfait, mais j’aime beaucoup plus ce risque qu’une mauvaise hygiène des mots de passe. » 

Kris Constable, expert mondial en sécurité et fondateur de PrivaSecTech, aime KeePass parce que c’est une appli de source ouverte. Même si les profanes ne le verraient pas, cette technologie ne comporte pas de portes dérobées ou de routines secrètes, de là sa préférence. M. Constable souligne que KeePass nécessite une formation, alors qu’Apple est beaucoup plus convivial. 
Clés d’accès pour l’avenir? 

M. Constable évoque la nouvelle tendance de sécurité des mots de passe assignés au hasard. 

« Vous l’avez probablement vu dans un courriel. Parfois, vous vous connectez à un site et, au lieu d’un mot de passe, on vous envoie un courriel avec un code à six chiffres que vous devez utiliser », explique M. Constable. 

C’est la version d’introduction d’une clé d’accès. Maintenant, il existe une clé de sécurité physique disponible auprès de Google. Chaque fois que vous l’utilisez, elle génère un nouveau mot de passe aléatoire. 

« Si votre mot de passe est compromis, il faut vous en soucier maintenant. Mais, à l’avenir, tout sera attribué au hasard et vous serez tranquille », dit-il. 

Et, d’ici à ce que les clés de sécurité soient monnaie courante, les conseils ci-dessus nous permettent de rester aussi organisés et en sécurité que possible
 

Cet article a été publié dans le numéro du printemps 2024 de notre magazine interne, Sage. Maintenant que vous êtes ici, pourquoi ne pas télécharger le numéro complet et jeter un coup d’œil à nos anciens numéros aussi?