Journal / 2020

Les maudits mots de passe uniques

As-tu déjà pensé ça:

Impossible d'avoir un mot de passe différent pour chaque service. Je sais que je suis sensé le faire, mais c'est sûr que je m'en souviendrais pas!

C'est vrai: on a bien trop de comptes pour se rappeler d'un mot de passe différent à chaque fois!

La solution par contre, ce n'est pas de réutiliser le même mot de passe à plusieurs endroits. Je répète en plus gros pour être dramatique et parce que je t'aime:

Ne réutilise jamais de mot de passe entre tes comptes.

Si ça t'intéresse, j'explique pourquoi c'est dangereux à la fin de cet article ↓

Okay le smatt, comment je me protège sans que ça soit fatiguant?

Avec un gestionnaire de mots de passe! Grosso modo, c'est un outil qui mémorise tes informations de connexion pour tous les services que tu utilises.

On choisit un gestionnaire de mots de passe parce que son stockage, lui, est très sécurisé. Pas mal plus qu'un post-it sur ton écran ou un fichier texte sur ton ordi dans le dossier Bureau/Dissertations/Aristophane, la bibliographie complète.

L'ensemble de tes mots de passe va être contenu dans le stockage du gestionnaire, qui est encrypté par un mot de passe principal (master password).

Tu te connectes à ton compte de banque? Clique sur ton gestionnaire, entre ton mot de passe principal, et le gestionnaire fait le reste.

Tu te connectes à un service du gouvernement? Clique sur ton gestionnaire, entre ton mot de passe principal, badaboum.

Tu te connectes à Skype sur ta nouvelle tablette? Gestionnaire, mot de passe principal, voilà.

Ton compte pour faire une commande d'épicerie? Gestionnaire, bim bam.

Tu comprends le principe.

Bref, le mot de passe maître, ça devient le seul mot de passe que tu dois mémoriser. Plutôt sympathique.

Oh, et à propos de ce qui fait un mot de passe sécuritaire

Pas besoin que ton mot de passe principal soit difficile à mémoriser. Le mot de passe Un bourdon marche seul au plafond est beaucoup plus sécuritaire que Y&gT81zl~ke#s@, en vertu de sa longueur tout simplement. En plus, tu t'en souviens déjà.

Donc je prends quoi?

Voici trois bons choix de gestionnaires de mots de passe. Les deux premier sont disponibles gratuitement pour les particuliers. Il n'y a pas de choix moins sécuritaire dans cette liste:

Personnellement, j'utilise 1Password depuis des années et c'est un excellent outil.

Je devrais installer des trucs?

Je te recommande d'installer une extension sur ton navigateur. Les gestionnaires de mots de passe viennent pas mal tous avec des extensions pour tous les navigateurs populaires.

Je te recommande aussi de l'installer sur ton téléphone. La plupart des gestionnaires de mots de passe vont rester synchronisés entre les appareils d'un même compte.

Des bonus

Les gestionnaires de mots de passe comprennent toujours aussi un générateur de mot de passe. Donc, quand on dit d'avoir un mot de passe unique pour chaque compte, tu n'as pas à l'inventer dans ta tête à chaque fois. Tu cliques simplement sur "générer". C'est bon pour les comptes que tu ajoutes dans le futur, mais aussi pour mettre à jour les mots de passe que tu as présentement. Tranquillement, tu vas pouvoir avoir des mots de passe uniques partout, sans faire d'effort supplémentaire.

Souvent, un gestionnaire de mots de passe va aussi te signaler si un service que tu utilises a été victime d'une fuite de données. C'est gentil.

En résumé:

  • Tu choisis un gestionnaire de mots de passe (c'est gratuit!)
  • Tu te choisis un mot de passe principal, qui est long mais facile à retenir
  • Tu installes le gestionnaire sur tes appareils préférés
  • Tu t'assure d'avoir tout de suite des mots de passe uniques là où ça compte le plus (banque, courriel, Paypal, Skype, gouvernement, employeur, etc.)
  • Tu dors bien

Et si mon gestionnaire de mots de passe a une fuite, lui? Ou si je me fais voler mon ordinateur?

Ça va se passer comme quand une compagnie bien sécurisée se fait voler des données encryptées:

Les hackers prennent possession de ton coffre-fort, mais il est encrypté et illisible, parce que tu n'es pas là pour fournir le mot de passe qui peut le déchiffrer.

Sans le mot de passe, les hackers ont en main un grand fichier rempli de charabia inutile. Et toi, tu demeure en sécurité. ✨


Pour les curieux: Pourquoi c'est pas sécuritaire de réutiliser un mot de passe?

En gros, c'est parce que ça prend un seul compte vulnérable pour que tous tes comptes le deviennent.

Pourquoi ton compte Facebook serait-il à risque quand la fuite a eu lieu ailleurs? C'est que quand un service en ligne se fait voler une base de données mal protégée, la liste des informations de connexion de tout le monde se retrouve dans les mains de hackers.

Ces hackers ne visent pas que les gens importants, ils attaquent toute la liste en même temps. Ils essaient les combinaisons de courriel et mot de passe volées un peu partout.

Ils ont des outils qui vont automatiquement entrer tes informations volées sur les services Adobe, sur Netflix, Gmail, Paypal, Facebook, etc. pour voir où ils seront capables de se connecter. Ça s'appelle une attaque de bourrage (credential stuffing en anglais).

Fais le test: Entre ton courriel sur l'outil Have I Been Pwned et regardes dans combien de fuites publiques il a été retrouvé à date. De mon côté, je suis prudent, mais mon email personnel a malgré tout fini dans 23 fuites majeures (Adobe, bit.ly, Last.fm, Trillian, MySpace, etc.) à ce jour.

Quand tu as des mots de passes uniques pour chaque service, lorsqu'un service est victime d'une fuite pour une raison ou une autre, tes comptes ailleurs sont à l'abri des attaques. La clé, c'est de ne pas réutiliser la même combinaison d'email et mot de passe.