Le mercredi 15 juin, sur M6, dans “le 19.45” (journal télévisé), nous avons eu droit à un reportage court mais dense et intéressant, intitulé : “Le casse-tête des mots de passe”. Avant d’en parler, voici déjà la vidéo (2 minutes 22):
Voici quelques informations clés du reportage :
- Les pirates utilisent des logiciels qui leur permettent de récupérer 50% des mots des passe en moins de 15 minutes.
- Comment choisir un bon mot de passe ?
- Evitez :
- les dates de naissance
- les prénoms
- les mots du dictionnaire
- Choisissez les longs (12 caractères par exemple)
- Mélanger des lettres, des chiffres et des symboles
- Changez régulièrement de mot de passe
- Utilisez un logiciel “coffre-fort”, pour ne pas oublier vos mots de passe.
- Evitez :
En l’occurence, un des meilleurs logiciels “coffre-fort”, que j’utilise et apprécie personnellement, c’est Keepass (ou KeepassX, l’équivalent sous GNU/Linux, dont Ubuntu). Il existe également Lastpass, qui stocke les mots de passe en ligne. Mais stocker vos mots de passe dans le nuage, peut éventuellement vous faire un peu peur…
Philippe Scoffoni a écrit récemment un article très fouillé sur le stockage en ligne des mots de passe. Il portait notamment sur les logiciels Clipperz, WebKeepass, Cpassmann, Keepass et KeepassX.
Le meilleur pour la fin, pour les plus curieux (et anglophones), Baekdal nous explique, dans une brillante démonstration, pourquoi “Thisisfun” est un mot de passe dix fois plus sûr que “J4fS<2”… Etonnant, non ? Ceci dit, le moins sûr de ces deux mots de passe nécessiterait quand même 219 ans, en moyenne, pour être découvert. Pour “Thisisfun”, ce serait 2.537 ans… L’auteur de l’article le considère donc comme “secure forever” (“sûr pour toujours”).
Et si vous voulez savoir combien de temps prendrait un PC basique pour “cracker” votre mot de passe, notre ami blogueur Ballajack vous le dit ici. Vous serez sans doute surpris et n’aurez qu’une envie : changer votre mot de passe au plus vite… Ceci dit, j’aimerais bien savoir comment ça a été calculé.
Voilà qui est un très bon rappel pour tous ceux qui veulent trop se faciliter la vie, et qui finissent par se faire pirater.
Mais c’est vrai que ces mots de passes c’est un sacré casse-tête 🙂
Oui, un vrai casse-tête… Bien sûr, il ne faut pas sombrer dans la paranoïa, mais on est bien obligé de rester vigilant, quand on voit que même WordPress.com s’est fait piraté récemment. Tous les maillons de la chaîne peuvent faillir, depuis notre cerveau et nos doigts, jusqu’aux serveurs des sites… C’est pour ça que je recommande un bon logiciel pour gérer tout ça : à la fois pour remplacer notre mémoire et pour ajouter un verrou.
Je suis principalement sous Linux, j’utilise la commande makepasswd, par exemple :
$ makepasswd -chars 20
rLB909hYXyIs8f4nsNSY
Evidemment, pour chaque site, chaque compte, j’ai un mot de passe différent.
Je stocke le tout dans un simple fichier texte, que je chiffre avec GnuPG. Et lorsque je veux retrouver un mot de passe, je tape par exemple :
$ gpg –decrypt passwords.txt.asc | grep wordpress
You need a passphrase to unlock the secret key for
user: “Pierrick LE GALL”
gpg: encrypted with 1024-bit ELG-E key, ID 43DEC205, created 2004-10-17
piwigo.wordpress.com piwigo rLB909hYXyIs8f4nsNSY
(mot de passe fictif, évidemment)
Mon fichier passwords.txt.asc est régulièrement répliqué sur plusieurs machines.
Bon, évidemment cette méthode n’est pas à la portée de tout le monde (la ligne de commande, ça reste un truc d’informaticien). Sous Linux, il y a le très bon logiciel GPass qui fait tout ça mais avec une interface graphique.
Merci Pierrick, pour ton retour d’expérience détaillé, qui pourra être utile à beaucoup de linuxiens (environ 10% des lecteurs de ce blog, ce qui est beaucoup). Je suis également beaucoup sous Linux. Je pense d’ailleurs que ce système apporte une sécurité accrue, en évitant la plupart des spywares (qui enregistrent ce que l’on tape au clavier pour le renvoyer ensuite sur internet).
Personnellement, je pense continuer à utiliser KeepassX, très efficace, tout en restant très rapide et très simple. Le seul inconvénient, c’est que pour l’instant, je stocke le fichier sur mon disque dur et sur clé USB. L’idéal pour moi serait d’avoir ce fichier en ligne, mais je le ferai que si j’ai la certitude que c’est suffisamment sécurisé. Je pense que c’est faisable. A étudier. Ce serait sans doute mieux que LastPass, qui me laisse une impression désagréable de ne pas tout maîtriser moi-même, tout en étant TROP efficace et TROP puissant…
Je suis Ubuntero et tout ce que tu viens de dire va me permettre d’avancer encore plus dans l’utilisation de mon système, merci beaucoup Pierrick
Merci pour la citation.
J’avais fait un petit article sur les mots de passe les plus courants sur internet : http://www.toile-filante.com/2010/01/25/top-20-des-mots-de-passe-a-ne-pas-utiliser-sur-internet/
Dans la vie de tous les jours, au bureau les exemples sont frappants, même pas que le user, prénom de l’utilisateur… Bonjour la sécurité
Merci, Simon, pour cet intéressant complément. Il est vrai que les mots de passe sont souvent perçus comme des gênes qui nous ralentissent, alors qu’ils sont là pour nous protéger. Il suffit juste d’une bonne organisation (Keepass…) pour être zen avec son trousseau de clés…
Et bien qu’est-ce qu’on en apprend ici ;-D
On se dit toujours “ça n’arrive qu’aux autres” jusqu’au jour où se fait pirater (c’est comme pour les cambriolages physiques).
La plupart des services demandant un mot de passe précisent maintenant la sécurité de celui choisi, est-ce vraiment fiable alors?
Franck | Papa Blogueur a publié : Papa invite : Julien du blog Aerono – le site des bonnes idées
J’aime beaucoup le côté participatif de ton blog!Pour ma part, mes navigateurs (firefox et chrome) ont été synchronisés et contiennent mes mots de passe web. Sur Firefox j’utilise un passphrase principal et pour chrome les données synchronisées sont chiffrées.
La validation en deux étapes (mot de passe + SMS) est activé sur chacun de mes comptes gmail.
Ccleaner me permet d’effacer les mots de passe en local, entre autres. J’utilise un mot de passe par site. Pour les autres mots de passe je ne les note pas. J’utilise des astuces mnémotechniques et une structure commune (une sorte de nomenclature personnelle). Des fois c’est un peu long à retrouver et il m’est arrivé de ne pas m’en souvenir, mais je n’ai pas trouvé de meilleure solution. De plus sur l’un de mes PC (IBM Lenovo ThinkPad) j’utilise le coffre fort fourni qui ne s’ouvre qu’avec mon empreinte digitale, mais la limite de cette solution est la dépendance au matériel. Si le PC tombe c’est fini (bien que ThinkVantage est la solution la plus costaud que j’ai vu à ce jour pour récupérer un système).
Ma problématique est la suivante: Comment tirer parti des 2 solutions de stockage (matériel et web) tout en minimisant leurs inconvénients (crash physique et piratage web entre autres) ?
PS : J’ai été administrateur système donc désolé si je peux paraître parano !
Merci Ludo, pour ce nouveau retour d’expérience, toujours aussi intéressant et utile pour tous. Plutôt que “matériel” et “web”, je dirais plutôt “local” et “distant”, car même sur le web, on utilise bien du matériel à l’autre bout (avec d’ailleurs les mêmes risques, même s’ils sont en général relativement bien pris en charge et, cela, de façon transparente pour nous).
Pour ta problématique “comment concilier ces deux systèmes imparfaits”, je dirais simplement : en combinant plusieurs stockages, le risque devient très diminué. Après, il y a diverses solutions : on peut :
– dupliquer les stockages web
– ou garder une version sur le web + 1 ou 2 en local.
Quand on entre dans le détail, l’approche peut varier selon les types de données. J’y reviendrai. Il y aura de quoi débattre…
Pour ton côté parano, je pense qu’en informatique, il vaut mieux l’être un peu. Internet est une jungle, c’est indéniable. Les pirates ont des logiciels qui entrent de façon quasi industrielle dans tout système mal protégé. Ce n’est plus du cambriolage artisanale, mais une arme de malfaisance massive ! Sans compter les ravages du spam. En un an, l’extension WordPress anti-spam de mon blog a déjà bloqué plus de 3000 spams… Je songe d’ailleurs à une solution plus radicale.
A propos du côté participatif du blog, c’est vrai que les commentaires enrichissent beaucoup le contenu des articles et ajoutent une interaction très sympathique. Merci d’ailleurs pour ta participation et celle de tous les autres commentateurs !
Les liens entre blogs complètent aussi ce côté communautaire. C’est la raison pour laquelle, je mets de plus en plus de liens vers des blogs, quand je le peux, plutôt que vers des sites que tout le monde connaît déjà.
[…] Bien sûr, techniquement, la pérennité de tout ça est aléatoire. Mais on peut toujours essayer. On verra bien si les techniques d’aujourd’hui sauront traverser les âges… Par précaution, doublez ou triplez les sauvegardes sur différents supports. Gardez aussi le ou les mots-de passe en lieu sûr ou choisissez-en un impossible à oublier… […]
[…] [MAJ 7 mars 2011] En fait, j'avais oublié une 11ème raison possible : encore un mot de passe à retenir ou conserver… […]