Le panier est vide
Blinder votre mot de passe
Les pirates sont en forme: ils viennent de subtiliser des millions de mots de passe sur des sites fameux. Et si vous en profitiez pour sécuriser les vôtres?
Le réseau social professionnel LinkedIn a subit une attaque de hackers la semaine dernière. Les pirates ont mis la main sur quelque 6 millions de mots de passe, ce qui nécessite que tous ses membres en trouvent un nouveau. La même mésaventure est arrivée, 24 heures plus tard, à la plateforme de recommandation musicale Lastfm et au site de rencontre eHarmony.
Première question: à quoi bon? A quoi bon voler le mot de passe d’un réseau social ou d’un site de rencontre, où il n’y a pas d’argent à la clé? Notamment à accéder à votre messagerie, répondait, ce matin, Mauro Vignati, analyste au MELANI (Centrale d'enregistrement et d'analyse pour la sûreté de l'information), à nos confrères de On en parle (RTS, La Première). Puis, par exemple, à envoyer un message à tous vos amis pour leur demander une aide financière d’urgence parce que vous êtes coincé dans un pays étranger où l’on vous a piqué votre portefeuille…
Deuxième question: pourquoi 6 millions seulement (sur 150 millions de membres)? Réponse facile: parce que c’étaient les plus vulnérables! Voyons, dès lors, comment procéder pour être parmi les meilleurs.
Processus
Afin d’accélérer l’identification de l’internaute, le mot de passe est «haché» pour devenir une «empreinte». Exemple (cité dans Wikipédia): renard devient DFCD3454. Pour bien faire, notamment contre les pirates, il faudrait toutefois encore «saler» la procédure, c’est-à-dire ajouter une chaîne de caractères à l’information avant le hachage (ce que n’a pas prévu LinkedIn). Du coup, seule ce qu’on appelle l’«attaque par force brute» est possible, et comme il s’agit d’une méthode testant toutes les valeurs possibles, un bon mot de passe (lire plus bas) reste la meilleure parade.
En fait, plus le mot de passe est long, plus il est sûr. Et pas besoin, pour cela, qu’il soit aussi complexe, comme on le dit souvent. En effet, une suite de 8 lettres offre 217 millions de possibilités. Mais ce chiffres passe à 147 milliards avec 10 lettres et 99 246 milliards avec 12 lettres.
Pour attaquer un mot composé de lettre uniquement, on travaille avec des combinaisons de 26 possibilités (alphabète). Mais s’il contient une majuscule ou un chiffre, la combinaison passe à 62 possibilités. Ajoutez-y encore un symbole, et on passe à 95 possibilités. Du coup, une suite de 12 caractères avec un symbole, un chiffre et une majuscule devient quasi incraquable. Donc, préférez un banal Coucou++++++3 à un ardu v&Mr8wBy. Tous les deux contiennent certes un chiffre, une majuscule et un symbole, mais le premier est plus facile à retenir et nettement plus sûr, car il est plus long.
Bien, mais comment se souvenir d’un tel mot de passe? Une technique parmi d’autres: imprimer dans sa mémoire une phrase unique, par exemple «Je jure de ne jamais oublier mon mot de passe» et ne retenir que la première lettre de chaque mot (sans oublier la majuscule), soit la suite Jjdnjommdp, à laquelle vous ajouterez un symbole et deux chiffres: Jjdnjommdp+56. Par précaution, il faudrait toutefois changer ce symbole et les chiffres pour chaque site associé à des données de paiement ou un réseau social, ce qui complique évidemment la donne…
Christian Chevrolet
