As-tu déjà pensé ça, suite à l'éternel conseil de ne pas réutiliser un mot de passe:
Impossible d'avoir un mot de passe différent pour chaque service où j'ai un compte. Je les oublierais tout le temps!
C'est vrai – je sais pas pour toi, mais j'ai bien trop de comptes pour me rappeler d'un nouveau mot de passe à chaque fois!
La solution par contre, ce n'est pas de réutiliser le même mot de passe à plusieurs endroits. Je répète en plus gros pour être dramatique et parce que je t'aime:
Ne réutilise jamais de mot de passe entre tes comptes.
Si ça t'intéresse, j'explique pourquoi c'est dangereux à la fin de cet article ↓
Okay le smatt, comment je me protège sans que ça soit fatiguant?
Avec un gestionnaire de mots de passe! Grosso modo, c'est un outil qui mémorise tes informations de connexion pour tous les services que tu utilises.
On choisit un gestionnaire de mots de passe parce que son stockage, lui, est très sécurisé. Pas mal plus qu'un post-it sur ton écran ou un fichier texte sur ton ordi dans le dossier Bureau/Dissertations/Aristophane, la bibliographie complète
L'ensemble de tes mots de passe va être contenu dans le stockage du gestionnaire qui, lui, est encrypté par un mot de passe principal (master password).
Tu te connectes à ton compte de banque? Clique sur ton gestionnaire, entre ton mot de passe principal, et le gestionnaire fait le reste.
Tu te connectes à un service du gouvernement? Clique sur ton gestionnaire, entre ton mot de passe principal, badaboum.
Tu te connectes à Skype sur ta nouvelle tablette? Gestionnaire, mot de passe, voilà.
Ton compte pour faire une commande d'épicerie? Gestionnaire, bim bam.
Tu comprends le principe.
Bref, le mot de passe maître, ça devient le seul mot de passe que tu dois mémoriser. C'est pas mal plus pratique.
En plus, pas besoin que ton mot de passe principal soit difficile à mémoriser. Quelque chose comme Un bourdon marche seul au plafond c'est beaucoup plus sécuritaire que Y&gT81zl~ke#s@, en vertu de sa longueur tout simplement. En plus, tu t'en souviens déjà.
Donc je prends quoi?
Voici trois bons choix de gestionnaires de mots de passe. Les deux premiers sont disponibles gratuitement pour les particuliers. Il n'y a pas de choix risqué dans cette liste:
Personnellement, j'ai utilisé 1Password pendant des années et c'est un excellent outil. J'utilise maintenant Bitwarden.
Je devrais installer des trucs?
Je te recommande d'installer l'extension pour ton navigateur. Les gestionnaires de mots de passe offrent pas mal tous des extensions. En pratique, ça t'indique pour chaque site web si tu as déjà un compte, et ça te permet d'y entrer tes informations sans avoir à les taper manuellement au clavier.
Je te recommande aussi, pour le gestionnaire que tu as choisi, d'installer l'application sur ton téléphone. La plupart des gestionnaires de mots de passe resteront synchronisés entre les appareils d'un même compte.
Des bonus
Les gestionnaires de mots de passe comprennent toujours aussi un générateur de mot de passe. Donc, quand on dit d'avoir un mot de passe unique pour chaque compte, tu n'as pas à l'inventer dans ta tête à chaque fois. Tu cliques simplement sur «générer». C'est bon pour les nouveaux comptes que tu crées, mais aussi pour mettre à jour les mots de passe que tu as présentement. À coup d'une mise à jour de temps en temps, tu vas avoir des mots de passe uniques partout, sans vraiment faire d'effort supplémentaire.
Souvent, un gestionnaire de mots de passe va aussi te signaler si un service que tu utilises a été victime d'une fuite de données. C'est gentil, ça te permet de proactivement changer le mot de passe à cet endroit.
En résumé:
- Tu choisis un gestionnaire de mots de passe (c'est gratuit!)
- Tu te choisis un mot de passe principal, qui est long mais facile à retenir
- Tu installes le gestionnaire sur tes appareils préférés
- Tu t'assure d'avoir tout de suite des mots de passe uniques là où ça compte le plus (banque, courriel, Paypal, Skype, gouvernement, employeur, ce genre de places)
- Tu dors bien.
Et si mon gestionnaire de mots de passe a une fuite, lui? Ou si je me fais voler mon ordinateur?
Bonne nouvelle! Ça va se passer comme quand une compagnie qui prend sa sécurité au sérieux est malgré tout victime d'un vol de données:
Les hackers prennent possession du genre de coffre-fort (ou se sauvent avec un ordi dans les mains, on sait jamais). Mais ses données sont encryptées, donc illisibles, parce que personne d'entre eux ne fournir le mot de passe qui est la seule façon de les déchiffrer.
Sans ce mot de passe, les hackers ont en main un grand fichier rempli de charabia inutile. Et toi, tu demeure en sécurité. ✨
Pour les curieux: Pourquoi c'est pas sécuritaire de réutiliser un mot de passe?
En gros, c'est parce que ça prend un seul compte vulnérable pour que tous tes comptes le deviennent.
Pourquoi est-ce que ton compte Facebook serait à risque quand une fuite a eu lieu sur genre bingopromotioncirculaire.com? C'est que quand un service en ligne se fait voler une base de données mal protégée, la liste des informations de connexion de tout le monde se retrouve dans les mains de hackers.
Ces hackers ont des outils automatisés qui attaquent tout le monde en même temps. La liste contient des informations personnelles d'une tonne de gens – par exemple, ton courriel et un mot de passe que tu réutilises ailleurs. Ils ont des outils qui vont essayer, pour chaque personne dans la fuite, de se connecter avec les mêmes informations volées sur les services populaires – Netflix, Gmail, Paypal, Facebook, Amazon, Desjardins, etc.
Avec ça, ils vont voir qui réutilise son courriel et mot de passe ailleurs, et prendre contrôle des comptes où c'est le cas. Ça s'appelle une attaque de bourrage (credential stuffing en anglais).
Fais le test: Entre ton courriel sur l'outil Have I Been Pwned et regardes dans combien de fuites publiques il a été retrouvé à date. De mon côté, je suis prudent, mais mon email personnel a malgré tout fini dans 23 fuites majeures (Adobe, bit.ly, Last.fm, Trillian, MySpace, etc.) au moment d'écrire ces mots.
Quand tu as des mots de passe uniques pour chaque place, lorsqu'un service est victime d'une fuite pour une raison ou une autre, tous tes autres comptes demeurent à l'abri des attaques de bourrage. La clé, c'est de ne pas réutiliser la même combinaison de courriel et mot de passe. Et ça explique le gestionnaire, qui rend ça facile au lieu de quasi-impossible!