•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Oubliez tout ce que vous savez sur les mots de passe « sécuritaires »

Une capture d'écran montrant une série de sept astérisques verts sur un fond noir.
Les mots de passe complexes et difficiles à retenir ne sont pas nécessairement les plus sécuritaires. Photo: Radio-Canada / Karl-Philip Vallée

Une lettre majuscule, une minuscule, un chiffre et un caractère spécial... Il y a 14 ans, le chercheur William E. Burr établissait le guide du « parfait » mot de passe, plus complexe et donc moins facile à décrypter. Dans une entrevue au Wall Street Journal, il admet aujourd'hui que ses recommandations sont pratiquement inutiles. Explications.

Ses recommandations ont été publiées en 2003 dans un document du National Institute of Standards and Technology, du département du Commerce américain. Maintes fois mis à jour, le guide stipule qu’un bon mot de passe devrait contenir au moins une lettre majuscule, une minuscule, un chiffre et un caractère spécial pour être sécuritaire. Il sert de référence à bon nombre d’experts dans le domaine de la sécurité informatique.

Or, M. Burr lui-même admet que ses recommandations étaient basées sur des connaissances sommaires et incomplètes et qu’il n’était pas un expert en sécurité lorsqu’il les a rédigées.

Comment créer un vrai bon mot de passe

Les journalistes spécialisés en cybersécurité du magazine web The Intercept recommandent l’utilisation d’une « phrase de passe » au lieu d’un mot de passe. Les phrases de passe sont constituées de plusieurs mots du dictionnaire placés les uns après les autres, sans nécessairement inclure de caractère spécial, de chiffre ou de lettre majuscule.

Par exemple, « arides comtes ses flou gardes » est une phrase de passe virtuellement impossible à deviner pour un pirate, malgré son allure simpliste. Plus la phrase contient de mots, moins elle sera faillible. On recommande d’utiliser au moins cinq mots, mais libre à vous d’en utiliser davantage.

Un homme tape sur un clavier dans le noir.Il faudrait 27 millions d'années à un pirate pour découvrir une phrase de passe de 7 mots. Photo : iStock

Selon le sonneur d’alerte spécialisé dans la sécurité informatique Edward Snowden, une phrase de passe de 7 mots prendrait 27 millions d’années à découvrir à un pirate qui serait capable de tester 1000 milliards de combinaisons par seconde.

L’avantage des phrases de passe, c’est qu’elles sont faciles à retenir tout en étant extrêmement difficiles à découvrir. Toutefois, il ne suffit pas de choisir les premiers mots qui vous viennent à l’esprit pour que cette méthode fonctionne. Le secret de la sécurité des phrases de passe est l’entropie.

Le hasard au service de votre sécurité

Si vous n’êtes pas un expert en informatique, retenez seulement que l’entropie est une mesure du hasard et qu’un mot de passe est plus sécuritaire s’il est généré de façon aléatoire.

En effet, les pirates informatiques se servent habituellement de logiciels qui permettent de tester plusieurs milliers de mots de passe uniques par seconde, lorsqu’ils tentent de pénétrer de force dans un système sécurisé. Pour ce faire, ils se basent sur certains des mots les plus fréquents (des listes de mots du dictionnaire) et leurs permutations. Parmi les permutations les plus répandues, on trouve l’usage d’un point d’exclamation à la fin d’un mot commun ou le remplacement de certaines lettres par des chiffres similaires (les « O » par des zéros, par exemple).

Une personne portant un capuchon travaille sur un ordinateur portable posé devant lui.Les pirates informatiques peuvent tester des milliers de mots de passe différents par seconde. Photo : iStock

Ces permutations, bien qu’elles augmentent légèrement le temps requis par un pirate pour les découvrir, n’améliorent pas la sécurité de façon significative puisqu’elles sont basées sur des comportements humains prévisibles.

La méthode des dés

Il en va de même du choix des mots pour une phrase de passe. Rien ne sert de choisir cinq mots si ceux-ci se retrouvent dans une citation célèbre ou une chanson d’un artiste populaire. Il est tout aussi inutile de choisir des mots qui s’enchaînent logiquement. Malheureusement, l’être humain n’est pas très doué pour générer du hasard. C’est pourquoi on recommande d’utiliser la méthode Diceware (Nouvelle fenêtre) pour créer une phrase de passe.

La méthode Diceware consiste à utiliser un dé à six faces pour générer un code numérique associé à un mot dans la liste Diceware (Nouvelle fenêtre). Chaque mot de cette liste est associé à un code de 5 chiffres. En lançant un dé cinq fois pour chaque mot et en notant les chiffres obtenus, on peut créer un mot de passe à forte entropie qui sera pratiquement impossible à découvrir pour un pirate, mais qui restera facile à retenir.

Des dés à six faces en bois sur une table.Un simple dé à six faces peut vous permettre de générer un mot de passe virtuellement infaillible. Photo : iStock / BrianAJackson

La prochaine fois qu’un site web vous obligera à choisir un mot de passe contenant une majuscule, une minuscule, un chiffre et un caractère spécial, vous pourrez donc dire que vous en savez plus sur le sujet que celui qui a déterminé ces règles.

Un bon mot de passe en résumé

  • Générez une phrase de passe au hasard à l'aide de la méthode Diceware (Nouvelle fenêtre)
  • Choisissez de 5 à 7 mots simples
  • Il n’est pas nécessaire d’ajouter des majuscules, des chiffres et des caractères spéciaux
Avec les informations de The Intercept, BBC, et Gizmodo

Informatique

Techno