la Rumeur du Loup
par Sam Harper
Qui d’entre nous ne s’est pas senti complètement pris au dépourvu devant cette demande? Que ce soit pour accéder à notre poste de travail, notre compte Facebook ou pour faire nos transactions bancaires en ligne, les mots de passe sont une composante incontournable, et souvent désagréable, de notre routine numérique. Devant tant de mots de passe à inventer, et surtout à se remémorer, la tentation est grande de garder ça simple. Ce n’est pas pour rien que « 123 456 » et « starwars » se retrouvent parmi les mots de passe les plus utilisés en 2017. Les mots de passe sont importants, et de s’en faire voler un peut avoir des conséquences importantes. Il faut toutefois spécifier que nous ne sommes pas toutes et tous des espions ayant besoin de nous cacher du SCRS. Le « modèle de menace » (les personnes ou organisations qui auraient un intérêt à voler nos données personnelles ou à y accéder et les moyens qu’elles ont pour y arriver) n’est pas le même pour un lanceur d’alerte, une personne dans une situation de violence conjugale, une militante de droits de la personne dans un régime répressif ou mon oncle Arthur. Voici toutefois quelques conseils de base pour choisir un bon mot de passe. Premièrement, il doit être difficile à deviner pour un être humain autant que pour un ordinateur. Il est donc déconseillé d’utiliser le nom de votre poisson rouge ou toute autre information personnelle. Nous sommes malheureusement très prévisibles dans nos tentatives maladroites de renforcer ces mots de passe : en mettant le chiffre « 0 » au lieu de la lettre « O », un « 4 » au lieu d’un « A » ou en ajoutant des « ! » à la fin par exemple. Un ordinateur peut tester des milliers de possibilités de mot de passe et leurs variantes en peu de temps. Deuxièmement, il doit être unique. Réutiliser un mot de passe vous met à risque. Si quelqu’un le découvre pour un site, et des listes de mots de passe dérobés circulent sur le Web, il pourra l’essayer avec vos comptes sur d’autres services. Troisièmement, bien qu’il soit difficile d’évaluer précisément la force d’un mot de passe, un facteur très important pour augmenter la difficulté de le deviner est sa longueur. Finalement, il est préférable que ce ne soit pas le même que celui qui est écrit sur un Post-it en dessous du clavier. Je vous entends déjà rouspéter : « Sam, tu veux qu’on invente des mots de passe longs, difficiles à deviner et uniques pour chaque site ? T’es malade ! »
« Apprendre à se protéger dans un contexte où nous laissons de plus en plus d’informations privées en ligne est primordial. »
Il y a plusieurs recettes qui existent pour créer des mots de passe, comme utiliser la première lettre de chaque mot d’une phrase, et l’espace me manque pour en faire le tour. La méthode des dés est une façon simple de créer des mots de passe aléatoires très difficiles à deviner, mais relativement faciles à se souvenir. Le site diceware.com offre un lien vers la version française de la méthode qui consiste à lancer cinq dés et utiliser les chiffres obtenus pour choisir un mot parmi une liste. On répète l’expérience quatre fois ou plus, selon le niveau de sécurité que l’on désire. Avec six mots aléatoires, l’auteur estime qu’il faudrait des capacités semblables à la NSA pour en venir à bout, ce qui devrait être le strict minimum pour les espions qui lisent La Rumeur du Loup. Une solution très peu technologique pour se souvenir de tout ça, et qui est envisageable selon le fameux « modèle de menace », serait d’écrire ces mots de passe dans un carnet que vous gardez sur vous. Il ne faudrait bien sûr pas le laisser traîner. Dans l’éventualité où vous le perdiez, il faudra changer tous vos mots de passe. Les gestionnaires de mots de passe sont des logiciels qui emmagasinent, de façon chiffrée, les mots de passe. Ils peuvent également en créer de façon aléatoire et de longueur variée. KeePassXC est un logiciel libre et gratuit, alors que LastPass et 1Password offrent ces services de façon payante, mais offrent la possibilité de synchroniser l’application sur plusieurs appareils. Ils sont simples d’utilisation et augmentent grandement la gestion sécuritaire des mots de passe. Leur désavantage est qu’ils présentent une cible de choix pour un adversaire. Si le mot de passe pour accéder au gestionnaire est compromis, vous risquez de passer une dure journée. Apprendre à se protéger dans un contexte où nous laissons de plus en plus d’informations privées en ligne est primordial. Une gestion sécuritaire de notre utilisation des mots de passe peut même être plus facile que tenter de se rappeler sur quel site on a mis « starwars » et sur lequel on a mis « 123 456 ».
