Dans le premier article de la série, nous mentionnions différents trucs à garder en tête pour améliorer la sécurité de ses mots de passe : en choisir des forts, les changer souvent, les garder secrets et éviter de les réutiliser. Dans cet article, nous reviendrons en profondeur sur le premier de ces points, c’est-à-dire la force des mots de passe. Il est important de comprendre ce qui différencie un mot de passe faible d’un fort et pour ce faire, il faut séparer les potentielles sources de danger.
Encore une fois, nous considérons le contenu de cet article pertinent non seulement en milieu de travail, mais aussi dans la vie personnelle de chacun, puisque nous avons tous des mots de passe à gérer ici et là.
– – – – – – – – – – – – – – – – – – – –
Quelqu’un près de vous
Quand on pense à un attaquant potentiel, il est facile de s’imaginer un pirate informatique au visage caché, s’affairant à un clavier dans une pièce sombre. Pourtant, dans la vie de tous les jours, nos attaquants sont souvent des proches. Loin de nous l’intention de dramatiser le terme « attaquant », mais peu importe la gravité de la situation, la réalité reste la même : qu’on parle d’un employé cherchant à lire vos courriels, d’un(e) ex-partenaire de vie tentant de se connecter à vos réseaux sociaux ou d’un enfant souhaitant accéder à vos jeux vidéo, quelqu’un qui vous connait tente de deviner l’un de vos mots de passe.
Contre ces types d’attaquants, il est important d’être imprévisible! Excluant les cas où quelqu’un serait assez déterminé pour vous espionner (via un logiciel-espion ou un gadget), se garder difficile à deviner reste la meilleure protection. C’est pourquoi, tel que mentionné précédemment, on évite les dates, les noms, les mots simples, etc. Moins on utilise d’informations logiques ou publiquement connues, plus le code sera secret.
Petit à-côté : important de protéger les appareils eux-mêmes! Par exemple, si vous cochez la case « Se souvenir de moi » en vous connectant à vos courriels et que votre ordinateur n’est pas lui-même protégé, quiconque gagne accès à votre ordinateur aura aussi accès à vos courriels – rien besoin de deviner!
Un pirate inconnu
Le portrait que nous avons tracé ci-haut, bien que caricaturé, existe. Le pirate peut être n’importe où dans le monde et n’avoir pas la moindre idée de qui vous êtes. Dans un cas typique, un pirate aurait mis la main sur une base de données contenant des millions de mots de passe hachés – dont le vôtre. Sans entrer dans les détails techniques, si un pirate obtient un hachage de votre mot de passe, il ne le connait pas encore, mais il a le pouvoir de vérifier s’il l’a deviné correctement.
Comme ces attaquants ne connaissent rien sur vous, ils doivent essentiellement vérifier tous les mots de passe qui existent. Ils utilisent donc une forme ou une autre de ce qu’on appelle une attaque par force brute. Ce qui rend l’attaque brute, c’est son absence d’intelligence et de finesse. Par exemple, on vérifiera de a jusqu’à z, puis de aa jusqu’à az, puis de ba jusqu’à bz et ainsi de suite. Épuisant pour un humain, certes, mais pas pour un ordinateur.
C’est pourquoi, pour vous protéger dans ce scénario, la meilleure chose que vous puissiez faire soit de représenter un effort tellement grand à deviner que vous n’en valiez pas la peine. En effet, aucun pirate, aussi déterminé soit-il, n’a les ressources pour tenter d’éplucher des milliards de milliards de possibilités (ou plus encore). Comment y arriver? En créant le mot de passe le plus complexe possible.
– – – – – – – – – – – – – – – – – – – –
La longueur
La règle d’or de la complexité revient toujours au même principe : augmenter l’espace de recherche. Si vous deviez cacher une aiguille dans une botte de foin, vous voudriez avoir la plus grosse botte de foin possible, n’est-ce pas? Pour les fins de l’exercice, limitons-nous aux 26 lettres minuscules et reprenons l’exemple ci-haut de l’attaque par force brute. Si vous aviez un mot de passe de 6 caractères, l’espace de recherche contient 308 915 776 mots de passe, soit 26^6. Pour un ordinateur, à peine un souffle. Par contre, en allongeant simplement à 12 caractères, on se retrouve à 95 428 956 661 682 176 possibilités, soit 26^12. Déjà plus imposant, n’est-ce pas? Bien sûr, il est critique de ne pas se limiter aux lettres minuscules, on peut faire beaucoup mieux.
La diversité
La longueur fait beaucoup pour l’espace de recherche, mais n’allonge l’exercice de multiplication que dans une direction. Quelles sont les autres directions? Pour faire gonfler l’espace de recherche, rien de mieux qu’augmenter la variété des caractères possibles à chaque position du mot de passe. Faisons un calcul rapide : aux lettres minuscules (26), ajoutons les lettres majuscules (26), les chiffres (10) et certains caractères spéciaux communs (ne comptons que « #!”@/$%?&*()[]{}|-=+<>^<~’:;,. », pour 30). Soudainement, ce n’est plus 26 qu’on multiple par lui-même, mais 92.
Pour le mot de passe de 6 caractères qui se limitait à 308 915 776 possibilités, on retrouve plutôt 606 355 001 344, soit 92^6. Pour le même nombre de caractères, l’espace de recherche est environ 2 000 fois plus grand. Si on remonte à une longueur de 12 caractères, c’est un facteur d’environ 4 000 000 de fois. Personnellement, je préférerais ne pas avoir à fouiller dans cette botte de foin. Bien que ce soit parfois agaçant, facile de voir pourquoi la plupart des formulaires d’inscription nous obligent à inclure certains types de caractères dans nos mots de passe.
L’originalité
Si le nombre de caractères représente la longueur de l’espace de recherche et leur variété sa largeur, y a-t-il quelque chose à faire avec la hauteur? Mathématiquement, non, mais humainement, oui! C’est ici que les attaquants près de vous et les pirates inconnus se rejoignent en un point : ils essaieront d’utiliser votre nature humaine contre vous. En matière de sécurité informatique, la facilité est un ennemi dangereux. Prenons deux cas de figure :
- Exemple A : MonChienRapporteLaB@lle29!
- Exemple B : Tb4*Q22mMa=$PtEz
L’exemple A n’est pas, à proprement parler, un mauvais mot de passe : il est long, il contient quelques caractères spéciaux, des majuscules, des minuscules et des chiffres. Vous pourriez l’utiliser pendant des décennies sans que personne ne le devine, mais est-il à toute épreuve? Hélas, pas du tout. Il contient des mots communs, il utilise la technique répandue de remplacer une lettre par un caractère spécial qui lui ressemble et les chiffres sont à la fin. L’exemple B, bien que considérablement plus court (16 contre 26), a l’avantage d’être chaotique.
Les pirates utilisent bien plus que des attaques par force brute. Des stratégies plus raffinées existent, comme l’attaque par dictionnaire. Le but de cette attaque est de tenter de deviner les mots de passe faciles avant de passer aux compliqués : on visera les vrais mots et les compositions communes (nombres au début ou à la fin, peu de caractères spéciaux, remplacements, etc.). Même s’il faut passer à travers toutes les possibilités entre MonChienRapporteLaBalle1 et MonChienRapporteLaBalle9999, on reste dangereusement plus proche de deviner l’exemple A que le B et ce malgré la différence de longueur. Se compliquer la vie, aussi contre-intuitif que cela puisse sembler, reste l’une des meilleures formes de sécurité.
– – – – – – – – – – – – – – – – – – – –
Vous avez peut-être une meilleure idée de ce qui compose un mot de passe fort, mais comment s’y retrouver si on doit retenir des chaînes absurdes de caractères, en plus de les changer souvent et de n’en réutiliser aucune? Ne désespérez pas, dans notre prochain article, nous discuterons de la culture de la gestion des mots de passe : trucs mnémotechniques, outils disponibles, authentification à deux facteurs et autres.