Dans un précédent billet, j'ai essayé de vous inquiéter sur la sécurité de notre vie digitale et notamment les problèmes liés aux mots de passe. En synthèse, les messages sont les suivants:- L'accroissement phénoménal des puissances de calcul disponibles pour un coût de plus en plus faible rend accessible à tous des techniques de décryptage des mots de passe réservées il y a dix ans encore à des organisations dotées de solides moyens financiers.
- Les pirates disposent maintenant d'immenses bases de données de mots de passe réels, obtenus par piratage de sites importants et très populaires (parmi lesquels LinkedIn, Twitter, ...). Ils n'ont plus besoin de chercher "dans le noir" mais peuvent focaliser leurs efforts sur les mots de passe les plus populaires voire sur les modèles de mots de passe les plus fréquents (par exemple test en priorité des mots de passe composés d'un prénom, suivi d'une date de naissance et commençant par une majuscule, comme Marie1993).
- Le fait d'utiliser les mêmes identifiants et mots de passe sur plusieurs sites augmente considérablement les risques de se faire pirater. Bien entendu, utiliser le même identifiant et mot de passe partout, l'identifiant étant souvent l'adresse email, accroit ce risque au maximum.
- Pour ne pas mettre en danger tous ses comptes en même temps: ne jamais utiliser le même mot de passe sur des sites différents.
- Parce que la puissance de calcul est phénoménale: utiliser des mots de passe très longs (10, 12 voire 15 caractères).
- Pour avoir des mots de passe qui ne ressemblent à aucun autre: utiliser des mots de passe complètement aléatoires.
Selon ces règles, de bons mots de passe seraient donc: 3t%t9&su5IEmwZ9 ou %DY54#j*c9vna$7. Longs, ne ressemblant à aucun autre, complètement différents.
Mais ces mots de passe ont un défaut, surtout s’il en faut un par site: ils sont impossibles à mémoriser ! Et c’est bien pour cela qu’on se retrouve à utiliser le même mot de passe partout. La solution existe pourtant: utiliser un gestionnaire de mots de passe.
Gestionnaires de mot de passe
Un gestionnaire de mots de passe est un programme ou un service qui gère les mots de passe pour vous. Il constitue une base de données sécurisée de vos mots de passe, se charge de les saisir automatiquement à votre place sur les sites auxquels vous accédez et génère des mots de passe aléatoires solides.
Il existe de nombreux services de ce type, mais je vais illustrer mon propos avec celui que j’utilise actuellement: Lastpass. 
Lastpass requiert de créer un compte sur le site www.lastpass.com puis d’installer une extension dans son navigateur Web (sont supportés Chrome, Firefox, IE, Safari, Opera, …)
Une fois installé et la base de mots de passe opérationnelle, LastPass va 
détecter dans les sites les formulaires d’identification et rechercher dans sa base de données des informations correspondant au site visité. Si le site est connu, LastPass remplit automatiquement les informations d’identifiant et de mot de passe. Les formulaires détectés sont identifiables par l’étoile LastPass qui s’affiche à droite du champ de formulaire.
LastPass détecte automatiquement les nouveaux sites auxquels vous vous connectez pour en mémoriser les informations. Mieux encore, lorsque vous créez un nouveau compte, LastPass le remarque et vous propose de générer un mot de passe sécurisé.
C’est alors
que le générateur automatique de mots de passe entre en action. On peut le paramétrer selon ses préférences, longueur, caractères spéciaux, etc.… On peut même le relancer tant que le mot de passe proposé ne “convient pas”.
Et sur les mobiles ?
Un des avantages importants d’une solution telle que LastPass est qu’elle est stocke ses données sur Internet (de manière sécurisée bien entendu…). Cela rend le service disponible depuis n’importe quel ordinateur connecté et assure la synchronisation entre tous ses ordinateurs (celui du travail et celui de la maison par exemple).
Les mobiles occupant une part très importante de notre consommation numérique, il est important que ces solutions aient une variante mobile. C’est le cas de LastPass, disponible sur toutes les plateformes mobiles les plus importantes. A noter que sur iPhone et iPad, en raison des restrictions imposées par Apple, l’intégration dans Safari est limitée.
Le remède pire que le mal ?
Bien entendu, LastPass protège la base de mots de passe par un mot de passe, “le seul qu’il faille retenir”, d’où le nom du produit. Un mot de passe pour les gouverner tous en quelque sorte… Ce mot de passe permettant d’accéder à tous les autres, il convient de particulièrement bien le choisir. Sinon, le remède peut être pire que le mal !
La meilleur technique consiste ici à créer un mot de passe très très long, une phrase complète par exemple.
Protection ultime
Pour les plus scrupuleux, il existe une protection ultime: l’authentification forte, ou authentification à deux facteurs, qui peut être mise en place avec LastPass. Nous verrons cela lors d’un prochain billet.
1 commentaire:
Bonjour,
Si vous entendez par protection ultime la double authentification par clé Yubikey, et ben je confirme que c'est vraiment une protection ultime.
Car non seulement vous avez déjà tous vos mots de passes (forts) sur chaque site mais il faut aussi le mot de passe maître de Lastpass pour les déverrouiller sur votre machine (décrypter). Et ils ont encore pensé à ajouté une clé physique yubikey avant d’accéder à votre mot de passe maître (système utilisé par les employés de google).
En clair, c'est un second mot de passe qu'on vous demande de saisir pour que la connexion à Lastpass soit autorisée. Vous n'avez pas a retenir ce mot de passe car il change tout le temps (à chaque connexion !), c'est votre Yubikey qui la connaît.
Bref, j'ai de quoi être tranquille quant à la protection de mon identité.
Enregistrer un commentaire