Notre première infolettre... et le problème avec les mots de passe
Bienvenue à cette première édition de l’infolettre de Cyber Citoyen. On en parle régulièrement sur notre balado et maintenant, on va aussi écrire sur la sécurité, la vie privée et la technologie !
Notre but ? Rendre la sécurité accessible à toutes et à tous et,
on l’espère, intéressante.
Pour une première infolettre, on s’est dit que ce serait bien de parler d’un élément de base de la cybersécurité : le mot de passe.
On en a tous. On en a beaucoup. On nous demande de les changer régulièrement et en plus, on nous demande de nous en rappeler. Ça devient rapidement ingérable.
Les problèmes avec les mots de passe
Le combo nom d’utilisateur ou d’utilisatrice et du mot de passe est la méthode la plus répandue actuellement pour s’authentifier en ligne. Que ce soit sur Facebook, Instagram, Google ou autres, les mots de passe sont partout. Il y a malheureusement plusieurs problèmes avec l’utilisation des mots de passe pour se protéger.
Premier problème : la réutilisation.
Le fait d’avoir des dizaines de comptes et de devoir se rappeler de dizaines de mots de passe, ça fait en sorte que beaucoup de gens réutilisent le même mot de passe.
Le problème avec ça, c’est que si le mot de passe d’un compte est compromis, un cybercriminel peut ensuite utiliser ce mot de passe sur les autres comptes.
En anglais, on appelle cette attaque le « credential stuffing ».
Des listes de noms d’utilisateurs et de mots de passe circulent sur Internet. C’est facile à trouver. La brèche de données récente de la compagnie de test génétique 23andMe a été rendue possible grâce à la réutilisation de mots de passe.
Deuxième problème : facile à deviner ou à cracker.
Notre cerveau est fait de façon qu’un mot de passe facile à mémoriser est malheureusement facile à cracker ou à deviner.
Si on utilise des données personnelles pour créer son mot de passe (une date importante, le nom d’un enfant ou d’un animal de compagnie), ces informations sont souvent trouvables en ligne pour un méchant motivé.
Il existe des logiciels pour créer et tester un grand nombre de possibilités de mot de passe en peu de temps. Le méchant motivé peut y ajouter des listes de mots ou de chiffres et le logiciel va créer des variations : une majuscule au début, un ! à la fin, etc.
C’est quoi un bon mot de passe alors ?
La réponse : il doit être long et difficile à deviner.
Le plus long est le mot de passe, le mieux c’est.
L’autre aspect, c’est qu’il doit être difficile à deviner pour un cybercriminel qui nous connaît ou pas. Parce que oui, parfois, l’attaquant motivé c’est quelqu’un qu’on connaît (voir notre épisode du balado sur la violence technologique dans un contexte de violence conjugale).
C’est pour cette raison qu’on parle de plus en plus de « phrase de passe » au lieu de « mot de passe ».
Comment créer un mot de passe long et difficile à deviner ?
On peut prendre une chanson qu’on connaît, ou ouvrir un livre et choisir une phrase au hasard. On a fait l’exercice et ça a donné : « C’est grâce à lui qu’on est prêt, le trente au petit matin ».
Cela pourrait donner la phrase de passe : cestgracealuiquonestpretle30aupetitmatin
On peut l’améliorer en ajoutant un peu de chaos : des majuscules, des minuscules, des chiffres et des symboles : CestGraceALui!QuonEstPret@30AuPetit_Matin
Une autre méthode de choisir des mots au hasard est appelée le « Diceware ».
On roule 5 dés à plusieurs reprises pour générer des mots au hasard et on crée un mot de passe d’une longueur de 5,6 ou 7 mots. Voici un lien vers un site Web qui permet de le faire en plusieurs langues. Si vous aimez les dés, voici un lien vers la liste de mots en français.
Gestionnaire de mot de passe à la rescousse
Se rappeler d’une phrase de passe longue et complexe, différentes pour chacun de nos comptes, c’est difficile, pour ne pas dire impossible.
L’action la plus simple et la plus efficace qu’on peut faire pour améliorer sa sécurité en ligne, c’est d’utiliser un gestionnaire de mot de passe.
Qu’est-ce que c’est ?
C’est un logiciel qui va emmagasiner les mots de passe pour tous nos autres comptes et applications. La plupart des gestionnaires offrent la possibilité de générer automatiquement de nouveaux mots de passe long et aléatoire.
En utilisant un gestionnaire, on réduit le nombre de mots de passe qu’on doit retenir à un seul. Pas pire, non ? Celui-là, par contre, on s’assure qu’il soit bon.
Plus qu’une clé pour entrer
Si l’attaquant motivé dont on parle depuis tantôt réussit à trouver notre mot de passe, est-ce qu’on est cuit ? Eh bien, ça dépend.
La deuxième chose que l’on peut faire pour sécuriser ses comptes en ligne, c’est d’activer l’authentification multifacteur (MFA).
En gros, le MFA, est une méthode pour ajouter une deuxième clé pour entrer dans le compte.
D’abord, on s’authentifie comme d’habitude avec le mot de passe et ensuite l’application ou le site Web va nous demander d’entrer un code supplémentaire. Ce code peut être envoyé par texto (SMS), par courriel ou généré à l’aide d’une application d’authentification ou même une clé physique.
Comme ça, pour avoir accès au compte, il faut connaître le mot de passe ET avoir accès au téléphone, au courriel ou autres méthodes de MFA.
C’est une très bonne idée d’activer le MFA sur nos comptes importants : celui du gestionnaire de mot de passe, notre courriel principal, etc.
Dans l’épisode 21 du balado Cyber Citoyen, on discute des avantages des diverses méthodes de MFA.
En espérant que ces informations vous seront utiles. On vous remercie de nous avoir lu et au plaisir de vous retrouver le mois prochain pour une autre édition de cette infolettre
Cyber Citoyen
Catherine Dupont-Gagnon & Sam Harper