Article paru dans le numéro de février de La Rumeur du Loup.

Qui d’entre nous ne s’est pas senti complètement pris au dépourvu devant cette demande? Que ce soit pour accéder à notre poste de travail, notre compte Facebook ou pour faire nos transactions bancaires en ligne, les mots de passe sont une composante incontournable, et souvent désagréable, de notre routine numérique.

Devant tant de mots de passe à inventer, et surtout, se remémorer, la tentation est grande de de garder ça simple. Ce n’est pas pour rien que « 123456 » et « starwars » se retrouvent parmi les mots de passe les plus utilisés en 2017.

Les mots de passes sont importants et s’en faire voler un peu avoir des conséquences importantes. Il faut toutefois spécifier que nous ne sommes pas toutes et tous des espions ayant besoin de nous cacher du SCRS. Le « modèle de menace » (les personnes ou organisations qui auraient un intérêt à accéder ou voler nos données personnelles et les moyens qu’ils ont pour y arriver) n’est pas le même pour un lanceur d’alerte, une personne dans une situation de violence conjugale, une militante de droits humain dans un régime répressif ou mon oncle Arthur.

Voici toutefois quelques conseils de base pour choisir un bon mot de passe.

Premièrement, Il doit être difficile à deviner, pour un être humain autant que pour un ordinateur. Il est donc déconseillé d’utiliser le nom de votre poisson rouge ou toute autre information personnelle. Nous sommes malheureusement très prévisibles dans nos tentatives maladroites de renforcer ces mots de passe : en mettant le chiffre 0 au lieu de la lettre o, un 4 au lieu d’un A ou en ajoutant des ! à la fin par exemple. Un ordinateur peut tester des milliers de possibilités de mot de passe et leurs variantes en peu de temps.

Deuxièmement, il doit être unique. Réutiliser un mot de passe vous met à risque. Si quelqu’un le découvre pour un site, et des listes de mot de passe dérobés circulent sur le web, il pourra l’essayer avec vos comptes sur d’autres services.

Troisièmement, bien qu’il soit difficile d’évaluer précisément la force d’un mot de passe, un facteur très important pour augmenter la difficulté de le deviner est sa longueur.

Finalement, il est préférable que ce ne soit pas le même que celui qui est écrit sur un post-it en-dessous du clavier.

Je vous entends déjà rouspéter. «Sam, tu veux qu’on invente des mots de passe long, difficile à deviner et unique pour chaque site? T’es malade!»

Il y a plusieurs recettes qui existent pour créer des mots de passe, comme utiliser la première lettre de chaque mot d’une phrase, et l’espace me manque pour en faire le tour. La méthode des dés est une façon simple de créer des mots de passe aléatoire très difficile à deviner, mais relativement facile à se souvenir. Le site diceware.com offre un lien vers la version française de la méthode qui consiste à lancer 5 dés et utiliser les chiffres obtenus pour choisir un mot parmi une liste. On répète l’expérience quatre fois ou plus, selon le niveau de sécurité que l’on désire. Avec 6 mots aléatoires, l’auteur estime qu’il faudrait des capacités semblables à la NSA pour en venir à bout, ce qui devrait être le strict minimum pour les espions qui lisent la Rumeur du Loup.

Une alternative très peu technologique pour se souvenir de tout ça et qui est envisageable selon le fameux « modèle de menace » serait d’écrire ces mots de passe dans un carnet que vous gardez sur vous. Il ne faudrait bien sûr pas le laisser traîner. Dans l’éventualité que vous perdez celui-ci, il faudra changer tous vos mots de passe.

Les gestionnaires de mot de passe sont des logiciels qui emmagasinent, de façon chiffrées, les mots de passe. Ils peuvent également en créer de façon aléatoire et de longueur variée. KeePassXC est un logiciel libre et gratuit, alors que LastPass et 1Password offrent ces services de façon payante, mais offrent la possibilité de synchroniser l’application sur plusieurs appareils. Ils sont simples d’utilisation et augmentent grandement la gestion sécuritaire des mots de passe. Le désavantage de ceux-ci est qu’ils présentent une cible de choix pour un adversaire. Si le mot de passe pour accéder au gestionnaire est compromis, vous risquez de passer une dure journée.

Apprendre à se protéger dans un contexte où nous laissons de plus en plus d’informations privées en ligne est primordial. Une gestion sécuritaire de notre utilisation des mots de passe peut même être plus facile que tenter de se rappeler sur quel site on a mis «starwars» et sur lequel on a mis «123456».