Là, tout de suite, vous êtes certainement en train de changer tous vos mots de passe en urgence. Et si ce n'est pas le cas, vous devriez. Au lendemain de deux colossales attaques informatiques – l'une chez LinkedIn, qui a réussi à faire main basse sur 6,5 millions de mots de passe, et l'autre chez eHarmony, où 1,5 millions de comptes ont été compromis, des spécialistes conseillent aux internautes de modifier leur mot de passe sur ces sites et sur tous ceux où ils utilisent un code identique.
Depuis le temps qu'on vous le répète, vous savez certainement comment vous créer un mot de passe sûr. Ne vous servez pas de votre nom de famille ou de noms communs. Utilisez un mot de passe différent sur chaque site. Changez-en régulièrement. Choisissez des questions de sécurité qui n'incluent pas des informations que tout le monde connaît, ou qu'un escroc pourrait facilement récupérer sur Facebook.
Les méthodes logicielles
Pour de nombreuses personnes, moi y compris, ces règles sont bien trop compliquées. Nous avons tant de comptes, sur tant de sites, que se souvenir de mots de passe difficiles, spécifiques et changeant constamment a tout d'une tâche gargantuesque.
La façon la plus simple de s'en sortir consiste à utiliser un logiciel de gestion de mots de passe. J'aime bien LastPass, qui génère des mots de passe –et s'en souvient– pour tous les sites que vous visitez et sur tous vos ordinateurs. (C'est gratuit, mais pour 1 dollar par mois, vous avez une version premium qui fonctionne aussi sur vos appareils mobiles).
Mais pour de nombreuses personnes –vous y compris, peut-être–, même un gestionnaire de mots de passe est encore trop compliqué. Ignorant toutes les recommandations, vous préférez choisir un mot de passe facile à mémoriser, utiliser le même partout et croiser les doigts en espérant qu'il ne vous arrive rien.
A la recherche du bon système
Bon, à vrai dire, j'ai une meilleure technique. En 2009, je suis tombé sur un système infaillible qui vous permet de modifier tous vos mots de passe affreusement vulnérables en seulement cinq minutes. Ma méthode, que j'ai piquée à un commentateur sur un forum de sécurité –qui a dit que les commentaires sur Internet ne servaient à rien?– génère des mots de passe à la fois extrêmement sûrs et très faciles à mémoriser. En d'autres termes, vous pouvez créer un mot de passe, unique et fiable, pour tous les sites que vous visitez.
Mais aujourd'hui, j'ai encore un meilleur système. Ce nouveau modèle génère des mots de passe encore plus sûrs et encore plus faciles à mémoriser. Le seul problème, c'est qu'il ne fonctionne pas sur tous les sites. Dans ce cas, vous pourrez toujours vous servir de ma méthode de 2009, qui reste tout à fait valide.
Mais finissons-en avec les préambules et passons aux choses sérieuses.
La vieille méthode, mais toujours très efficace, pour vous débarrasser de vos affreux mots de passe
Imaginez une phrase assez courte et facile à mémoriser. Comme à l'école, la mnémotechnie se nourrit de bizarrerie –plus votre phrase sera étrange, plus vous pourrez vous en souvenir facilement. Par exemple: Kim Kardashian est la femme la plus extraordinaire des 50 États ou Mitt Romney et Barack Obama ont décidé de se faire 10 gaufres. Vous remarquerez que ces phrases mélangent les mots avec des capitales et des minuscules et comportent aussi quelques chiffres.
Pour faire votre mot de passe, prenez la première lettre des mots de votre phrase. Ce qui nous donne KKelflped50E pour le premier et MreBOoddsf10g pour le second. Ces deux mots de passe sont très sûrs –ils sont longs et ne comportent pas de mots ou de noms qu'un ordinateur pourrait deviner.
En variant légèrement la phrase, vous pouvez générer un mot de passe unique pour chacun des sites que vous visitez. Sur LinkedIn, souvenez-vous de LinkedIn est un site qui sécurise affreusement mal les mots de passe c'est donc mon 10ème réseau social préféré. Son mot de passe sera donc LIeusqsamlmdpcdm10èrsp, qui deviendra Teusqsamlmdpcdm9èrsp sur Twitter. La même chose avec Facebook, MySpace et ainsi de suite.
Vous pouvez tout à fait utiliser le même mot de passe sur des sites similaires. Là où un hacker ne fera pas trop de dégâts s'ils s'empare de votre code – sur des publications comme Gawker et le New York Times, par exemple – vous pouvez garder le même mot de passe.
Par contre, il vaut mieux que vos réseaux sociaux soient un poil mieux sécurisés, mais cela ne veut pas non plus dire que vos codes doivent être radicalement différents; après tout, si un gros méchant pirate votre compte Facebook, il ne va pas faire énormément plus de dégâts s'il craque aussi votre profil Twitter. Aucun problème si vous vous contentez d'une légère variation –Cf. ci-dessus–, mais n'oubliez pas de les changer dès que vous entendez parler d'une attaque comme celle de LinkedIn.
Réservez les mots de passe les plus spécifiques à des sites où une incursion malveillante vous sera extrêmement dommageable – le site de votre banque ou vos comptes mails, qui contiennent les clés de toute votre vie en ligne. (Si un gros méchant pirate votre compte mail, il pourra changer tous vos mots de passe et craquer les comptes d'autres sites).
La nouvelle méthode encore plus efficace pour vous débarrasser de vos affreux mots de passe (qui, malheureusement, ne fonctionne pas partout)
u départ, c'est la même méthode – choisissez une phrase assez courte et mémorisable. Et voilà. Au lieu de transformer cette phrase en un seul mot, utilisez-la simplement, en entier. Par exemple Mitt adore quand Barack lui fait des gaufres. C'est une phrase mémorisable. Et c'est aussi, en soi, un mot de passe extrêmement sûr – encore plus sûr que le mot composé des initiales des termes de la phrase. Au lieu de raccourcir la phrase, tapez-la entièrement. C'est la façon la plus simple de mélanger les majuscules, les minuscules et les symboles, et c'est encore plus facile à mémoriser.
Là encore, l'idée n'est pas de moi. Nous devons remercier Thomas Baekdal, qui dirige le magazine en ligne Baekdal et qui parlait déjà de cette méthode en 2007. Baekdal souligne que si un escroc se sert de la «force brute» pour craquer votre mot de passe –ie. utilise un programme qui tente de le deviner en testant inlassablement différentes combinaisons de caractères –il aura besoin d'environ 219 ans pour deviner un code à 6 caractères comme J4fS<2.
Pas mal, mais une courte phrase de mots communs est encore plus solide. Par exemple, c'est très drôle est 10 fois plus sûre que J4fS<2 – il faudra 2537 ans à la force brute pour la deviner. Et à l'évidence, c'est très drôle est bien plus facile à mémoriser. L'an dernier, XKCD avait résumé l'argument de Baekdal dans un merveilleux strip. Sa légende:
«Après 20 ans d'efforts, nous avons réussi à former les gens pour qu'ils utilisent des mots de passe difficilement mémorisables par des humains et facilement devinables par des ordinateurs.»
J'ai testé cette méthode sur les sites que je fréquente le plus. Elle fonctionne sur Gmail, LinkedIn, Twitter et Facebook, entre autres, et je vous encourage, sur ces sites, à changer vos mots de passe actuels pour ce genre de petites phrases.
Le problème du nombre de caractères
Impossible par contre de m'en servir sur le site de ma banque, ni sur tous les sites qui imposent une longueur limite à leurs mots de passe et/ou n'acceptent pas les espaces.
Deux exigences bien débiles. Limiter le nombre de caractères d'un mot de passe ne fait que le rendre plus vulnérable, et l'interdiction des espaces vous force à utiliser des caractères spéciaux difficiles à mémoriser. Un jour, j'espère que tous les sites abandonneront ces règles saugrenues en faveur d'une consigne bien plus simple: choisissez une petite phrase, unique.
Mais cela peut prendre du temps. En attendant, utilisez un mot de passe en vous fondant sur l'une ou l'autre de mes méthodes. Mais quoi qu'il en soit, faites-le –vos mots de passe sont en piteux état, et vous devriez vraiment y remédier. Maintenant, tout de suite.
Farhad Manjoo
Traduit par Peggy Sastre