mots-de-passe-securises.jpg

juin 2021

Conseils d’un hackeur éthique : comment créer des mots de passe sécurisés

CeciEstUnMotdepasse123, azerty1111 ?... Ces mots de passe sont peut-être faciles à retenir, mais ils sont aussi faciles à pirater. Pablo Brusseel, hackeur éthique et spécialiste en sécurité, partage avec nous ses six conseils pour créer et gérer des mots de passe sécurisés.

1. Les bases : chiffres et lettres, minuscules et majuscules et caractères spéciaux

Choisissez des mots de passe aussi longs que possible. « Plus votre mot de passe est long, plus il sera difficile à pirater », explique Pablo Brusseel. « Un mot de passe se crée avec des chiffres et des lettres, des minuscules, des majuscules et des caractères spéciaux. Souvent, nous plaçons ces caractères spéciaux, par exemple un point d’exclamation ou un point d’interrogation, à la fin du mot de passe. Les pirates informatiques le savent et utilisent cette information lorsqu’ils tentent de craquer des mots de passe. Ne vous contentez pas de mettre les caractères spéciaux à la fin de vos mots de passe ».

Pensez aussi à changer régulièrement vos mots de passe. « Évitez les moyens mnémotechniques comme les mots de passe contenant des noms de mois ou de saisons. Printemps 2021!, Été 2021! ... Ils seront craqués en moins d’une seconde. »

2. Utilisez un mot de passe différent pour chaque compte

-Ytr(4**8BgoqH4&h ou *2BdQW*jNcd?XwmNB)b : même si votre mot de passe est très compliqué, vous courrez un grand risque à l’utiliser partout.

« Si un hackeur met la main sur votre mot de passe, par exemple à cause d’une fuite de données dans une entreprise, il essaiera certainement d’utiliser ce mot de passe pour se connecter à votre boîte e-mail, à vos réseaux sociaux et à d’autres comptes, souligne Pablo. Il est préférable de créer un mot de passe unique pour chaque compte. Mieux vaut donc éviter les mots de passe comme CeciEstMonMotdepassePourFacebook123! ou CeciEstMonMotdepassePourSpotify123!. »

3. Utilisez un générateur de mots de passe et un coffre-fort à mots de passe

Vous faites parfois preuve d’une grande créativité pour créer vos mots de passe. Toutefois, les mots de passe créatifs ne sont pas toujours sûrs. Même si vous créez un mot de passe distinct pour chaque compte, il y a parfois un « fil conducteur ». Grâce à leurs astuces, les pirates parviennent à deviner les (autres) mots de passe. « C’est pourquoi il est préférable de créer votre mot de passe via un générateur de mots de passe. Il s’agit d’un logiciel qui utilise au hasard des lettres, des chiffres et des caractères spéciaux pour créer un mot de passe », poursuit Pablo.

Aujourd’hui, un internaute moyen possède une centaine de mots de passe, selon une étude menée par NordPass, le gestionnaire de mots de passe en octobre 2020. Suite à l’augmentation de l’activité en ligne depuis la crise du coronavirus, les mots de passe sont plus nombreux que jamais. « Certaines personnes parviennent à se souvenir de quelques de mots de passe compliqués, mais il est impossible d’en retenir des dizaines, voire des centaines. C’est pourquoi j’utilise un gestionnaire de mots de passe - également appelé coffre-fort à mots de passe - tel que LastPass, Keeper ou 1Password. Ce coffre-fort numérique stocke tous vos mots de passe, il vous suffit donc de n’en retenir qu’un seul, pour le déverrouiller. »

Pour davantage de sécurité, il est préférable d’utiliser un coffre-fort à mots de passe doté d’une authentification à deux facteurs. « Dans ce cas, vous utilisez un mot de passe en combinaison avec votre smartphone. Première étape : vous vous connectez à votre compte avec votre mot de passe. Deuxième étape : vous recevez sur votre smartphone un code à usage unique. Vous devez ensuite saisir ce code dans votre compte pour pouvoir vous connecter. Outre le code, vous pouvez également utiliser votre empreinte digitale ou la reconnaissance faciale de votre smartphone. »

Par ailleurs, Pablo recommande toujours d’utiliser l’authentification à deux facteurs lorsqu’elle est disponible. « Se connecter prend certes un peu plus de temps, mais votre smartphone est toujours à portée de main et la sécurité est renforcée. »

4. Bonne ou mauvaise idée : les navigateurs qui enregistrent les mots de passe ?

Pablo empêche son navigateur de stocker automatiquement les mots de passe. « Bien que certains navigateurs tels que Google Chrome présentent une certaine forme de sécurité, l’utilisation des navigateurs pour stocker les mots de passe n’est pas infaillible à 100 %. Surtout si un pirate informatique parvient à prendre le contrôle de votre ordinateur. Quoi qu’il arrive, je ne le fais jamais. »

5. Comprendre les techniques utilisées par les hackeurs

Les pirates utilisent différents moyens pour voler les identifiants de connexion. Voici les trois principaux :

  • Le Password spraying est une attaque lors de laquelle le hackeur tente d’accéder à un grand nombre de comptes en utilisant des mots de passe fréquemment utilisés.
  • Lors d’une attaque par brute force, le hackeur multiplie les essais pour tenter de deviner les identifiants de connexion. Il teste toutes les combinaisons possibles dans l’espoir de trouver le bon résultat. Pour accélérer le processus, le pirate peut également utiliser des dictionnaires numériques.
  • Dans le cas du keylogging, le hackeur utilise un programme (ou hardware) pour enregistrer les frappes au clavier et/ou les mouvements de la souris d’un utilisateur. Ce genre de programme peut se loger sur votre ordinateur lorsque vous cliquez sur un lien dans un message de phishing, par exemple.

Pour en savoir plus sur les techniques utilisées par les hackeurs et sur le phishing, Pablo recommande de consulter régulièrement le site safeonweb.be.

6. Utilisez un logiciel antivirus

Un antivirus détecte les logiciels qui se propagent facilement, corrompent ou détruisent des fichiers, bloquent votre accès ou causent d’autres nuisances. « Même un antivirus gratuit suffit aux particuliers. Il complique la tâche aux pirates désireux de s’emparer de vos données. »

Qui est Pablo Brusseel ?

Lorsqu’il jouait en ligne étant petit, Pablo a été victime d’un hackeur. Le jeune garçon a été tellement choqué de cette expérience qu’il a commencé à s’intéresser à tout ce qui concerne le piratage informatique et la cybersécurité. Quelques diplômes plus tard, il fondait sa propre entreprise, baptisée Brussec Security. Les sociétés font appel à lui pour obtenir des conseils en matière de sécurité et rechercher activement les failles de leur sécurité. Sur demande du client, Pablo tente alors de pirater son site web en envoyant des mails de phishing aux employés, ou en essayant de pénétrer, déguisé en employé d’une compagnie en télécommunications, dans la salle des serveurs. Parfois, une petite expérience désagréable peut impacter toute une vie.