25.2.2014, Nicolas Berlie / Kjetil Kolbjornsrud/shutterstock.com
Gérer les codes qui protègent vos données personnelles sur internet est un vrai casse-tête. Conseils de spécialistes.
«Sésame, ouvre-toi!» criait Ali Baba pour que s’ouvre sa caverne. A l’heure d’internet, la version 2014 du conte donnerait à peu près ceci: «j%7K&yPx$, ouvre-toi!» Imprononçable et surtout difficile à mémoriser. C’est bien le problème: contraint de jongler avec des dizaines de mots de passe – au bureau, à la maison –, l’Homo informaticus est souvent tenté de se faciliter la vie en utilisant des sésames simplissimes.
Illustration avec l’affaire Adobe, en octobre 2013: des pirates ont fait main basse sur quelque 38 millions de mots de passe de clients, liste ensuite divulguée sur internet. La société SplashData l’a compilée pour en tirer son palmarès des «pires mots de passe» en janvier. Résultat, les codes les plus courants étaient… «123456», suivi de «password», «12345678» et «qwerty» (les premières touches du clavier américain, ndlr). De quoi tirer la sonnette d’alarme.
Qu’est-ce qu’un bon mot de passe?
Sa force tient à sa longueur et à sa complexité: il devrait donc comporter au moins 8 caractères, mélangeant des chiffres, des lettres, des majuscules, des minuscules et des caractères spéciaux. Par exemple: «Gf9#L8qA». Plus votre passe est long, plus il sera difficile à casser.
Bien sûr, toute la difficulté est de s’en rappeler. Plutôt qu’une séquence totalement absconse, on peut utiliser une «phrase de passe» en utilisant des mots ou des chiffres sans lien entre eux, et séparés par des espaces ou des tirets bas. Par exemple: «chevaux_1984_mobile?» Ou encore, comme le suggère Philippe Oechslin, des adresses internet comme «https://www.frc.ch/tests». «C’est long, cela comporte des caractères spéciaux, mais c’est aussi facile à mémoriser», relève le fondateur de la société Objectif Sécurité, également enseignant à l’EPFL. Qui appelle surtout à «faire preuve d’imagination».
Gare au passe-partout!
Fatigués de jongler, beaucoup d’internautes finissent par utiliser le même code sur plusieurs sites. Une pratique à haut risque, comme le démontre également le gigantesque cas de piratage qui avait touché Linkedin en 2012: 6,5 millions de mots de passe dérobés. Imaginons qu’un utilisateur de Linkedin ait le même mot de passe pour son compte Amazon, son compte Paypal, sa messagerie électronique, et on peut visualiser l’effet «tache d’huile».
Aide-mémoire
Il faut donc varier les plaisirs. Mais comment gérer des dizaines de mots de passe? Première méthode: le truc mnémotechnique. On peut par exemple avoir la même base complexe pour tous ses mots de passe (genre «Qw7$G5»), à laquelle on ajoute une terminaison en fonction du service: «-bank» pour le e-banking, «-face» pour Facebook, etc.
Le coffre-fort virtuel
L’autre méthode consiste à recourir à des gestionnaires de mots de passe, parmi lesquels on peut recommander LastPass (lastpass.com). L’idée: stocker tous ses codes dans un coffre-fort virtuel, lui-même protégé par un mot de passe particulièrement fort. De cette façon, vous n’avez besoin d’en mémoriser qu’un seul.
Intégré au navigateur, LastPass est simple d’usage et gratuit. Une application pour smartphones existe également, mais elle est payante: 12 dollars (environ 11 francs) par an. «Le seul bémol à utiliser un service comme celui-ci, c’est que les mots de passe sont stockés de façon centralisée», note Evelyne Pintado, de la société Navixia, spécialisée en sécurité informatique. Par le passé, LastPass a déjà été piraté. «Mais la société a réagi très rapidement, et les mots de passe sont de toute façon cryptés.»
Si l’option coffre-fort virtuel vous séduit, trois recommandations d’usage s’imposent. Premièrement, profitez de ce service pour modifier vos sésames trop faibles (LastPass vous les signalera). Deuxièmement, si vous l’utilisez au bureau, configurez-le pour qu’il se déconnecte à chaque fermeture du navigateur. Enfin, mémorisez bien votre mot de passe LastPass… Faute de quoi, vous ne pourrez pas le récupérer.