© ISTOCK

Comment créer des mots de passe en béton

Le 1er février, c’était le  » Change Your Password Day « . Et le 3 mai, ce sera le  » Password Day « . Deux journées particulières qui soulignent l’importance capitale du mot de passe dans notre vie numérique.

En général, on les déteste. Parce qu’ils nous compliquent l’existence. Au début, on s’était créé un mot de passe – quatre chiffres – facile à retenir et qu’on utilisait sur tous les sites. Et puis, un jour, l’un d’eux a indiqué qu’il fallait le remplacer par un autre, comportant davantage de caractères. Pour des raisons de sécurité, était-il expliqué. Quelque temps après, en s’inscrivant sur une nouvelle plateforme Web, c’est elle qui a imaginé notre mot de passe personnel : 5(E&+b9$-!Zb6(?H. Quelqu’un, quelque part, entendait visiblement gâcher notre journée ! Et les choses n’allaient pas s’améliorer par la suite. Lorsque, une nouvelle fois contraints de modifier l’un de nos mots de passe, nous avons voulu reprendre un ancien, histoire de nous en souvenir plus facilement, nous nous sommes vus opposer un refus catégorique : il en fallait un nouveau. Et voilà comment, en moins de temps qu’il ne faut pour s’arracher les cheveux, nous nous sommes retrouvés avec une multitude de mots de passe différents, impossibles à mémoriser. Surtout pour les sites qu’on ne visite qu’une à deux fois par an comme celui d’une compagnie d’assurances. Alors, face à ce genre de situation, certains succombent à la facilité et choisissent  » 123456 « ,  » Qwerty « ,  » Starwars « ,  » Hello  » ou encore...  » password « . Évidemment, c’est simple à retenir. Mais c’est tout aussi simple à deviner pour des personnes malintentionnées. Surtout si vous avez la (mauvaise) habitude d’utiliser le même sésame pour un réseau social, un site d’e-commerce, une banque, votre courrier électronique, etc. Si un pirate informatique trouve la clé pour l’un... il l’a automatiquement pour tous les autres. Le cauchemar.

Pour éviter les risques de piratage, il faudrait utiliser plusieurs mots de passe, impossibles à deviner, et en changer chaque année.

Gare aux pirates

Maintenant, la personne vis-à-vis de laquelle vous devez vous protéger n’est pas un individu masqué installé devant son clavier et qui chercherait patiemment à deviner la combinaison de chiffres et de lettres requise pour pénétrer virtuellement dans votre univers numérique. Un pirate se contente le plus souvent de lancer un logiciel sur l’un de ses ordinateurs et c’est ce dernier, en s’appuyant sur une gigantesque base de données contenant une multitude de mots de passe fréquemment utilisés qui va tenter de forcer votre porte. Ce programme informatique a des atouts : il peut opérer 24 h sur 24, sans se fatiguer ni se décourager, il est rapide, puissant et est en mesure de tester systématiquement chacune des solutions glissées dans sa base de données ou des variantes. Il peut aussi faire preuve d’intelligence et établir un lien entre des informations capturées à des endroits différents pour personnaliser ses attaques. Par exemple, en exploitant votre date de naissance, celle de votre partenaire ou celle de l’un de vos snfants : nous sommes nombreux à l’utiliser comme mot de passe ou code du système d’alarme domestique.

Comment créer des mots de passe en béton
© ISTOCK

Vous l’avez compris, la règle voudrait qu’on emploie plusieurs mots de passe, qu’ils soient impossibles à deviner et également qu’on les change au moins une fois par an. Facile à dire. Mais il y a des trucs. Commençons par les critères à respecter :

– le nombre de caractères : 8 est un strict minimum Cherchez plutôt à atteindre entre 12 et 15.

– mélangez les caractères : des minuscules, des majuscules, des chiffres et des signes typographiques.

– oubliez les mots du dictionnaire, qu’il s’agisse de noms communs ou propres.

– fuyez la logique : IloVeYou!123 comprend un bon nombre de caractères et ils sont mélangés, mais il est suffisamment simple pour être  » deviné « .

Comment se créer un bon mot de passe

Les logiciels utilisés par les pirates s’appuient sur de gigantesques bases de données de mots de passe fréquemment utilisés pour tenter de forcer votre ordinateur.

En revient-on alors obligatoirement à une série de mots de passe aussi impossibles à mémoriser que le 5(E&+b9$-!Zb6(?H évoqué plus haut ? Pas forcément. Appuyez-vous sur des données que vous connaissez. Le numéro de téléphone de votre enfance, l’ancienne plaque d’immatriculation de la voiture de vos parents, les paroles d’une chanson qui vous est chère, un dicton que vous appréciez... C’est fait ? Il ne reste plus maintenant qu’à mettre tout cela ensemble. Démonstration ! Souvenezvous du célèbre  » Yesterday  » des Beatles. La chanson commence par  » Yesterday, all my troubles seemed so far away « . Prenez la première lettre de chaque mot. Cela donne : Yamtssfa. Vous pouvez compliquer les choses en utilisant des majuscules toutes les trois lettres. Cela se traduirait par yaMtsSfa. Ajoutez-y la plaque de la voiture de votre papa quand vous étiez jeune et glissez entre les deux un signe typographique (ou plusieurs). Vous avez le choix entre &@#(!?)/;+=,etc.Cela pourrait composer quelque chose comme yaMtsSfa+8649D. Pas facile à deviner pour un tiers, tout en restant assez simple à retenir pour vous. Et vous pouvez éventuellement en créer des variantes pour tous vos sites en rajoutant, par exemple au début ou à la fin, la première lettre de son nom. Pour visiter le site de Proximus, notre exemple deviendrait ainsi PyaMts-Sfa+8649D. Et lorsque vous vous connecteriez sur Delhaize.be, vous utiliseriez Dya-MtsSfa+8649D. Mais n’oubliez jamais, aussi performant que soit votre mot de passe, de le modifier au moins une fois par an. Si vous connaissez beaucoup de chansons, ce ne devrait pas être trop compliqué.

Coucou c’est moi !

Le système d'identification
Le système d’identification  » It’s me « .

Si la mémorisation d’identifiants et de mots de passe est pénible pour l’utilisateur, elle pose également des soucis aux entreprises et services. Dame ! Nous sommes nombreux à abandonner des processus d’inscription, de validation ou de vente en raison de leur complexité ou de leur lenteur. C’est ce qui vient de conduire à la création de  » itsme  » (www.itsme.be), un projet né de la collaboration entre les quatre grandes banques (Belfius, BNP Paribas Fortis, CBC/KBC et ING) et les trois opérateurs de réseaux GSM Orange, Proximus et Telenet/Base) et ouvert tous les Belges. L’idée ? Proposer un système d’identification s’appuyant sur la combinaison de trois éléments : le téléphone mobile et, par là, la carte SIM qu’il contient), une application qui y est installée et un code secret de 5 chiffres choisi par l’utilisateur. Plus besoin de lecteur de carte ! Même si son usage est facile, itsme bénéficie d’une très haute sécurisation. Elle lui vaut d’être aujourd’hui reconnue par le gouvernement fédéral belge. Et le résultat, c’est qu’il est maintenant possible de se connecter tant sur mypension.be ou taxonweb.be que sur les sites de ING ou encore Randstad via itsme. Chaque fois en utilisant son smartphone et un seul et même code secret de 5 chiffres. Cette formule, développée en Belgique, est unique en son genre. Pour l’avoir expérimentée, on n’attend qu’une chose : que davantage d’entreprises privées et de services publics en offrent eux aussi l’utilisation.

Contenu partenaire