Conseils d'expert : Créer un mot de passe sécurisé

Le choix d'un mot de passe sûr est extrêmement important lorsqu'il s'agit de sécurité en ligne. En effet, quelle que soit la sécurité d'une application ou d'un système, les professionnels craquent un mot de passe faible en quelques secondes. Pour éviter que cela ne t'arrive, nous avons demandé à Paul Such, expert en cybersécurité et CEO de Hacknowledge, de nous donner des conseils sur la création de mots de passe sûrs.

Voilà pourquoi de bons mots de passe sont si importants

Les mots de passe sont un aspect essentiel de la sécurité numérique : ils protègent les informations personnelles et les données sensibles contre tout accès non autorisé. Néanmoins, ils peuvent être piratés. Les deux façons les plus courantes de décrypter les mots de passe sont les attaques dites par force brute et les attaques par dictionnaire.

Attaque par force brute

L'attaque par force brute consiste à deviner un mot de passe en essayant systématiquement toutes les combinaisons de caractères possibles. Bien que cette méthode prenne beaucoup de temps, les pirates l'utilisent souvent. Les attaques par force brute sont particulièrement efficaces pour les mots de passe courts et peu complexes (c'est-à-dire les mots de passe de moins de huit caractères, sans majuscules ni minuscules ni caractères spéciaux).

Un ordinateur moderne, optimisé pour le décryptage des mots de passe, trouve un mot de passe de huit lettres en quelques minutes seulement.

Attaque par dictionnaire

L'attaque par dictionnaire consiste à utiliser une liste de mots préétablie pour deviner le mot de passe. Il peut s'agir par exemple de mots de passe et de phrases courants. Les pirates disposent de dictionnaires pour toutes sortes de choses : toutes les langues, les noms d'animaux domestiques courants, les lieux, les groupes... Comme ces attaques sont généralement automatisées, le processus ne prend pas beaucoup de temps. Un ordinateur optimisé pour le décryptage de mots de passe vérifie jusqu'à un milliard de mots de passe par seconde.

« C'est surtout pour les mots de passe courts et peu complexes que les attaques par force brute sont extrêmement efficaces. »
Paul Such, expert en cybersécurité

Générer un mot de passe sûr — voici comment procéder

Pour qu'un mot de passe résiste aux attaques par force brute et par dictionnaire, il doit remplir les critères suivants :

• Un mot de passe fort se compose d'une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Par exemple, au lieu de "mot de passe123", utilise un mot plus complexe comme "p@Ssw0rt#123".
• Il doit comporter au moins 10 à 12 caractères. Plus il est long, plus il est difficile à craquer. Pour encore plus de sécurité, utilise une phrase de passe, c'est-à-dire un mot de passe composé de plusieurs mots.
• N'utilise jamais de données personnelles ou d'autres informations faciles à deviner, comme ton nom ou ta date de naissance.
• Le mot de passe doit être unique. N'utilise en aucun cas le même mot de passe pour plusieurs comptes. Si quelqu'un le craque, tu risques de perdre l'accès à tous tes comptes.

Exemple de mot de passe fort : "noir" ou "chiens" sont de très mauvais mots de passe en soi : courants, trop courts et figurant dans un dictionnaire. Mais "22+noir=chiens!" est un excellent mot de passe qui remplit tous les critères et qui est simple à retenir.

Ne plus jamais oublier ses mots de passe avec le gestionnaire de mots de passe

Le gestionnaire de mots de passe est une sorte de "coffre-fort numérique" protégé par un mot de passe principal. Grâce à un stockage crypté, tes mots de passe y sont conservés en toute sécurité. Certains gestionnaires de mots de passe génèrent même des mots de passe sûrs et uniques pour toi. Ils reconnaissent également si tu utilises le même mot de passe pour plusieurs comptes et t'informent du risque de sécurité.

Si tu travailles avec un gestionnaire de mots de passe, tu ne dois donc te souvenir que d'un seul mot de passe fort. Selon le fournisseur, les gestionnaires de mots de passe peuvent être des applications de bureau ou des applications mobiles, généralement avec des extensions de navigateur pour remplir automatiquement les formulaires de connexion. Tu es donc non seulement plus sûr de tes mouvements, mais aussi plus rapide et plus efficace. Quelques exemples de gestionnaires de mots de passe populaires sont 1Password, Dashlane et KeePass.

Sécurité maximale des mots de passe avec l'authentification à deux facteurs

L'authentification à deux facteurs (2FA) est une procédure de sécurité qui oblige les utilisateurs à fournir deux facteurs d'authentification différents pour se connecter. Cela rend le décryptage beaucoup plus difficile que si une application n'était protégée que par un mot de passe ou un code PIN. En d'autres termes, la 2FA réduit considérablement le risque de fraude, de violation de la protection des données et d'usurpation d'identité. C'est pourquoi les services bancaires en ligne, par exemple, utilisent généralement cette méthode de connexion.

Le premier facteur est généralement quelque chose que toi seul connais : Un mot de passe ou un code PIN. Le deuxième facteur est quelque chose que vous êtes le seul à posséder : votre smartphone, une carte à puce, un porte-clés ou quelque chose de similaire. Souvent, tu reçois un message texte avec un code unique que tu dois utiliser pour te connecter. Mais les authentifications biométriques comme la reconnaissance faciale ou les empreintes digitales sont également fréquentes.

Conseil supplémentaire pour plus de sécurité :

L'authentification à deux facteurs n'est certes pas activée partout par défaut. Mais peu de gens le savent : Sur la plupart des portails, comme Gmail, Facebook ou LinkedIn, il est possible d'activer la 2FA. Pour cela, il suffit de se rendre sur le site https://2fa.directory/ch/. Tu y trouveras une liste de tous les fournisseurs chez lesquels tu peux activer l'authentification à deux facteurs. Y compris des instructions qui expliquent pas à pas comment activer la 2FA sur chaque site web.

L'essentiel en bref

• Un mot de passe est unique et se compose de plusieurs mots, de lettres majuscules et minuscules, de chiffres et de symboles.
• L'option la plus sûre est d'utiliser un gestionnaire de mots de passe. Active en outre l'authentification à deux facteurs chaque fois que c'est possible.