Trois règles simples

Par SwissTengu @SwissTengu @SwissTengu — 09.04.2014
Cette récente information1 nous fait penser qu'il serait nécessaire de rappeler quelques petites règles fondamentales, à appliquer dès qu'on commence à utiliser des services en ligne.
Des règles certes très simples, mais qui semblent trop souvent oubliées au fond d'un tiroir poussiéreux.

Ton mot de passe, unique par service tu choisiras
Un mot de passe, par les temps qui courent, est une donnée volatile, stockée hors de votre contrôle. De manière à éviter qu'un petit malin ne puisse prendre possession de votre vie numérique dans son entier en ayant deviné un seul et unique mot de passe, il convient d'en générer un par service.
Pour cela, plusieurs manières de faire existent :
- utilisation d'un "keyring", une application conservant vos mots de passe, du genre de keepassx
- "dérivation" d'un mot de passe maître en fonction du service, de la date de création du compte etc

La seconde méthode est un peu plus compliquée à mettre en place : il convient d'avoir en tête plusieurs "matrices" permettant de transformer le mot de passe maître en une chaîne de caractères unique. Ces matrices doivent vous permettre de "calculer" le mot de passe. Dans l'idéal, le facteur "temps" doit être pris en compte, de manière à pouvoir changer de mot de passe relativement souvent.

Exemple de "dérivation" :
    Mot de passe d'origine: jaimelestartesauxpommes
    matrice 1 : prise en compte de l'année : 2014 -> 37, 2015 -> 39, … (addition des chiffres de l'année + l'âge qu'on aura l'année en question)
    matrice 2 : prise en compte du service : gmail -> magil, amazon -> zamaon, … (inversion de quelques lettres, mais peut être plus solide)
    matrice 3 : dérivation du nom d'utilisateur : tengu -> grath, michel -> zvpury (vous avez reconnu rot13 j'espère ;) )
Résultat pour un mot de passe créé en 2014, pour amazon, avec l'utilisateur "tartampion@gmail.com" : gnegnzcvba@tznvy.pbzjaimelestartesauxpommes37zamaon

La première manière est, sans doute, la plus simple. Surtout par la présence de services en ligne, du genre de lastPass… Sauf que là encore, au final, votre mot de passe est stocké hors de votre contrôle. D'autres systèmes, comme Keepass, permettent de conserver vos mots de passe sur des appareils que vous contrôlez.

Ton mot de passe, de tes données personnelles tu ne dériveras pas
Il va de soi qu'un mot de passe doit être inconnu des tiers. Le but d'un mot de passe est de vous identifier vous, de manière unique (avec la composante "nom d'utilisateur", évidemment).
Employer comme mot de passe votre adresse, votre téléphone, le nom de votre chat/chien/partenaire/ami/voisine/… ou toute autre date de naissance est d'une stupidité grossière.
Il va sans dire que le gadgets biométriques (bonjour iPhone 5S, bonjour galaxy S4) sont sans doute le pire système : impossibilité de changer l'authentification (à moins de chagner de doigts — donc possibilité de changer 10 fois, maximum 20…), faux sentiment de sécurité (le CCC l'a, une nouvelle fois, prouvé2…) et, accessoirement, la possibilité de voir des données biométriques dans la nature. Woohooo.

Là encore, les solutions présentées plus haut permettent d'avoir des mots de passe assez solides, difficiles à deviner, mais vous permettant de vous en souvenir

Ton mot de passe, une phrase de passe tu en feras
Le problème, avec les technologies actuelles, c'est qu'un mot de passe de 8 caractères est faible. Prenez n'importe quelle machine de travail récente, elle vous l'explosera en un temps record. Certes, différentes manières permettent de protéger le mot de passe (hash, salt etc), mais plus les technologies avancent, plus ces techniques deviennent illusoires.
Maintenant, si vous prenez une phrase, ou une série de mots dont vous seuls pouvez en connaître la teneur et le sens, permet d'obtenir une chaîne de caractères longue, complexe (imaginez avec les accents, ponctuations, differents langues etc), tout en vous permettant de vous en souvenir.
En outre, la dérivation depuis une phrase de base reste possible. Le stockage dans keepass ou autres reste aussi tout à fait possible. Un exemple pouvant tout à fait aller : " Pferd Tier boire manger Wasser Nicht Karotten Stall dormir poulin". Cette suite de mot ne veut rien dire, mais peut vous évoquer quelque chose. Pour illustrer la chose, je vous renvois sur le site de XKCD3 ;).

De manière générale, il convient aussi de changer régulièrement de mot de passe. On entend assez souvent des histoires de bases de données utilisateurs dans la nature, de fuites de mots de passe et autres informations personnelles.

Le dernier exemple en date, la faille OpenSSL Heartbleed4 permettant, entre autre, de voir des identifiants fuiter, permet de mesurer l'ampleur de la tâche quand on parle de la sécurisation des données.
Certes, cette faille fait peur à cause des implications qu'elle a pour les services bancaires en ligne, mais il ne faut pas s'arrêter à ça : Twitter, Steam, DropBox et tant d'autres services en ligne du genre semblent être vulnérables. Imaginez la mine d'informations que ces services représentent. Pas seulement des informations financières (allons, ne faites pas les innocents, vous avez déjà déposé des documents financiers dans votre dropbox ;) ), mais aussi des données personnel : photos, messages, documents. TOUT serait, potentiellement, disponible.
Et ce depuis plusieurs mois, voire années…

Aussi, un service de la Confédération est dédié à surveiller ce qu'il se passe sur le Net. Il est recommandé de suivre leur site5 ainsi que leur page facebook6 (argh, oui…)

Alors, prêt à regénérer vos mots de passe et, surtout, à passer à des phrases de passe ?

Catégories en relation

Réseaux tutorial français

Commentaires (9)

par kl4v — 10.04.2014, 18:39 — PermaLink
D'accord avec la règle 1 et 2, mais je doute de la troisième et me permets, ô blasphème, de contredire xkcd: elle me semble être une proie facile pour les dictionary attacks (https://en.wikipedia.org/wiki/...) - à moins que les mots de la phrase ne se trouvent dans aucun dictionnaire.

Il me semble que la pseudo-entropie d'un keyring sera toujours supérieure à un logique humaine, même compliquée.

Un avantage du keyring est de n'avoir à se souvenir que de 3 mots de passe: celui pour votre disque dur (que vous avez crypté, bien entendu), celui de l'utilisateur de votre session et celui du keyring.

(A part cela: 'Hearbleed', c'est plutôt quand on écoute les "journalistes" de la RTS...)
par SwissTengu — 10.04.2014, 19:03 — PermaLink
Hmm, oui et non. Il est clair que la passphrase "je suis intelligent" représente une entropie faible pour la logique humaine. Mais faut quand même penser "machine" :
Une passphrase de 20 caractère aura, pour une machine, autant d'entropie qu'un mot de passe, à condition que :
- les mots ne soient pas liés (au temps pour "phrase" je l'admet)
- on utilise des accentués

L'avantage de la passphrase est de rester avec des mots qu'un humain peut se rappeler, avec une logique purement humaine derrière — un mot reste une suite de caractères pour une machine, encore maintenant…

Après, rien n'empêche de protéger son keyring avec une passphrase ;). Ou son disque dur. Ou que sais-je encore ;).

++

T.

(Ouais, bon, pas que de la RTS, hein, le heartbleed journaleux… ;) )
par kl4v — 10.04.2014, 21:59 — PermaLink
Dans le cas d'une dictionnary attack, une passphrase de 20 caractères n'aura PAS autant d'entropie qu'un mot de passe aléatoire. 20 caractères = environ 4 mots. Vocabulaire moyen français: 3500 mots... Ce n'est même pas de la brute force.

L'exemple dans ton article est bon en cela qu'il mélange plusieurs langues. Mais le mieux serait encore d'imaginer une longue phrase et n'utiliser que la première (ou les deux premières) lettre(s) de chaque mot de la phrase (voir https://www.schneier.com/blog/..., dans les commentaires). Et ajouter de la ponctuation. :-)
par SwissTengu — 11.04.2014, 16:51 — PermaLink
En effet, la longue phrase dont on ne prend que des lettres déterminées est une technique aussi connue — j'aurais pu/dû en parler ;).

Sinon, effectivement, il y a tout intérêt à prendre une phrase multilingue comme l'exemple mis dans l'article — encore qu'une phrase normale avec des permutations de lettres, des remplacements par des chiffres/caractères spéciaux (s->$, e->3 etc) serait envisageable, bien que déjà pris en compte dans la majorité des applications servant à casser le tout.

Remarque : les gens ne savant de toutes façons plus écrire, il y a tellement de possibilités pour transcrire un mot qu'on pourrait bien ne jamais trouver "la" bonne :]. </ironie>
par kl4v — 11.04.2014, 18:51 — PermaLink
Je crains qu'il y ait déjà des dictionnaires de langage SMS ou de 1337sp34k. ;-)

Je ne fais pas confiance à mon humanité et continurai à tout faire faire par mon keyring.
par LaLu — 18.04.2014, 00:57 — PermaLink
Puis-je suggérer clipperz comme keyring ? https://clipperz.is/ , open-source, si choix de la solution hébergée le paiement s'effectue en BTC, entièrement anonyme, peut s'installer en local, etc ...
par SwissTengu — 22.04.2014, 06:31 — PermaLink
Je ne connaissais pas clipperz — faudra que je le teste. Après, j'avoue préférer avoir tout en local, et si possible dans une app supportée tant sur desktop que mobile ;). Clipperz ne semble pas être disponible sur mobile… ?
par kl4v — 25.04.2014, 08:31 — PermaLink
Héberger ses mots de passe en ligne? o_O
par kl4v — 14.07.2014, 16:31 — PermaLink
Ô surprise: vulnérabilités critiques trouvées dans plein de services de mots de passe en ligne --> http://www.theregister.co.uk/2...
Ajouter un commentaire