Choisissez soigneusement vos mots de passe

Richard Gervais

De nos jours, il est impossible d’ouvrir un ordinateur sans entrer un mot de passe pour démarrer une session. Les services que nous utilisons par la suite sur Internet exigent aussi un identifiant et un mot de passe. Bref, il n’y a plus seulement les guichets automatiques qui exigent un code pour valider votre identité.

Certains choix de mots de passe sont tellement évidents qu’il est possible de les deviner. De plus, des personnes croient se simplifier la vie en utilisant le même mot de passe à plusieurs endroits. Ces petites paresses peuvent vous coûter très cher.

Cet article donnera des critères pour définir des mots de passe robustes. Des exemples de mauvais choix seront donnés. Quelques gestionnaires de mots de passe seront suggérés.

Définition d’un mot de passe

Voici la définition qu’en donne Wikipédia :

« Un mot de passe est un mot ou une série de caractères utilisés comme moyen d’authentification pour prouver son identité lorsque l’on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l’accès est limité et protégé. »

Critères de robustesse

Toujours selon Wikipédia« les humains sont notoirement inefficaces à générer des mots de passe robustes parce qu’ils ont tendance à générer des mots de passe faciles à retenir plutôt que des mots de passe contenant des caractères choisis aléatoirement. »

Voici quelques suggestions pour obtenir un mot de passe robuste :

  • utiliser une longueur de mot de passe minimale de 8 caractères;
  • inclure des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles, si autorisés ;
  • générer des mots de passe au hasard;
  • ne pas utiliser le même mot de passe plusieurs fois ;
  • éviter :
    • les répétitions de caractères, par exemple, 11111;
    • les motifs de clavier, qwerty;
    • les séquences de lettres ou de chiffres, 12345;
    • les mots du dictionnaire;
    • les noms d’utilisateur;
    • les prénoms et les noms de famille.

Vous reconnaissez certainement les deux premiers critères, car ils sont fréquemment exigés.

Une façon de créer des mots de passe sécuritaires est d’utiliser une courte phrase avec majuscules, minuscules, chiffres et caractères spéciaux, par exemple, « LePrixDes2x4aAugmenté! ». C’est plus facile de se souvenir d’une série de caractères bizarres quand il y a un sens derrière la phrase utilisée.

Exemples de mauvais choix

Le tableau suivant présente une compilation de mauvais choix de mots de passe provenant d’un article du site Web NordPass. La deuxième colonne indique combien de personnes ont utilisé ce même mot de passe et la troisième colonne donne le temps requis par un ordinateur pour trouver la séquence de caractères utilisée.

Mot de passePopularité par nombre d’utilisateurs en 2020Temps requis pour trouver le mot de passe
1234562 543 285moins d’une seconde
123456789961 435
password360 467
12345678322 187
111111230 507
qwerty156 765
abc123151 804
qwer12345658 0964 secondes
nicole21 4832 minutes

Les huit premiers mots de passe ont été trouvés par un ordinateur en moins d’une seconde.  Le mélange de lettres et de chiffres n’a pris que quelques secondes de plus. L’utilisation d’un nom propre présent dans un dictionnaire n’a retardé un pirate que de deux minutes.

Blocage après plusieurs tentatives infructueuses

Plusieurs internautes ont vu les recommandations précédentes et les statistiques indiquant qu’un pirate muni d’un ordinateur standard peut briser les mots de passe simples en quelques secondes ou quelques minutes, mais ils pensent que ces informations ne s’appliquent pas à eux et ils les ignorent. Ils pensent qu’ils sont protégés parce que les sites qu’ils utilisent bloquent les pirates après trois soumissions de mots de passe erronés.

Sachez que les pirates savent comment contourner le blocage après trois essais et peuvent faire des milliards de tentatives par seconde sans se faire bloquer. Il est donc très important de créer des mots de passe robustes comme mentionnés précédemment parce que ces mots de passe complexes sont vraiment inviolables, même si les pirates savent comment contourner le blocage après trois essais.

La technique permettant aux pirates de contourner le blocage après trois essais est trop complexe pour être expliquée dans cet article. Si vous êtes curieux et que vous voulez connaître son fonctionnement, assistez à la présentation de Michel Gagné sur ce sujet à l’automne 2021 dans le cadre des présentations de la série Découverte. Michel y expliquera comment les pirates contournent le blocage après trois essais et pourquoi les mots de passe suivant les règles précédentes sont vraiment inviolables.

Gestionnaires de mots de passe

Il n’est pas recommandé d’inscrire vos mots de passe sur une feuille de papier et de la laisser à côté de votre ordinateur. Imaginez le plaisir du voleur en trouvant une telle liste avant de partir avec votre ordinateur neuf.

Il existe des gestionnaires, gratuits ou payants, où il est possible d’inscrire vos mots de passe. Voici ce qu’en dit Wikipédia:

«Un compromis raisonnable pour l’utilisateur qui doit gérer un grand nombre de mots de passe robustes consiste à les enregistrer dans un gestionnaire de mots de passe, qui comprend des applications autonomes, des modules d’extension de navigateur Web ou un gestionnaire intégré au système d’exploitation.

Un gestionnaire de mots de passe permet à l’utilisateur d’utiliser des centaines de mots de passe différents et de ne devoir mémoriser qu’un seul mot de passe, celui qui ouvre la base de données de mots de passe chiffrée.»

Voici une liste non exhaustive de gestionnaires de mots de passe:

  • KeePass, logiciel gratuit et libre de droits;
  • Bitwarden, gratuit pour la version individuelle;
  • LastPass, gratuit dans certains cas, mais version Premium à 4,25$/mois;
  • NordPass, gratuit sur un seul appareil;
  • Dashlane, version gratuite limitée à 50 mots de passe sur un seul appareil;
  • 1Password, payant, mais essai gratuit de 14 jours.
  • Keeper, payant.

Il est possible de s’en tirer gratuitement sous certaines conditions, mais il peut être nécessaire de débourser lorsque vous voulez partager vos mots de passe sur plusieurs appareils différents : ordinateur, tablette et téléphone intelligent.

La plupart des logiciels mentionnés plus haut sont disponibles sur Windows, macOS, Android, iOS, et Linux.

Il reste maintenant à souhaiter que ces entreprises emploient toutes d’excellentes mesures de protection contre les pirates. C’est effectivement un risque à envisager, mais c’est mieux que d’utiliser partout le même mot de passe ou de faire des choix trop faciles à briser.

Présentations du Club

Le 30 septembre 2020, M. Guy Bélanger a donné une présentation sur la gestion des mots de passe à la suite de l’assemblée générale annuelle. Vous pouvez retrouver son document en cliquant ici.

Le 16 octobre 2020, M. Sylvain Garneau a parlé de la saisie semi-automatique des mots de passe dans sa troisième présentation de la série Facile au sujet de Google Chrome. Il s’agit d’une solution gratuite, assez efficace et relativement sécuritaire.

Le 23 mars 2021 M. Michel Gagné a traité des mots de passe et de l’infonuagique lors de la rencontre des Mordus de l’informatique. Vous y aurez un avant-goût de sa présentation de l’automne prochain.

Je tiens à remercier MM. Michel Gagné et Sylvain Garneau pour leurs commentaires et suggestions durant la rédaction de cet article.

Richard Gervais, Club informatique Mont-Bruno

Chaque année, le Club informatique Mont-Bruno produit environ 150 présentations de niveau débutant et intermédiaire.  Il n’en coûte que 35$/année pour assister à toutes les présentations qui vous intéressent.  Pour information et inscription, consultez notre site cimbcc.org ou téléphonez à (438) 763-5036. 

Le Montarvillois, le journal hyperlocal de Saint-Bruno-de-Montarville


Saint-Bruno-de-Montarville d’hier à aujourd’hui, le plus important groupe Facebook exclusivement dédié aux Montarvillois