Boites mail, sites d’e-commerce, services administratifs… de nombreux sites demandent de créer un compte et de le protéger avec un mot de passe. De nombreux internautes utilisent des mots de passe simples à retenir mais très souvent beaucoup trop fragiles.

Quel est le postulat ? 

En novembre 2020, la Société NordPass (NordVPN) avait publié la liste des 200 mots de passe les plus utilisés par les internautes. Sans grande surprise, le bilan était assez catastrophique… « 123456 » a été utilisé plus de 2,5 millions de fois d’après l’étude. Autant vous dire que si les vôtres sont dans cette liste, il est impératif de les modifier immédiatement.

Comment font les hackers ? 

Il existe différentes méthodes d’attaque pour découvrir votre mot de passe. Suivant la robustesse de celui-ci, les hackers mettront plus ou moins de temps.

L’une des plus connues est l’attaque par force brute. Cette attaque consiste à tester toutes les combinaisons possibles d’un mot de passe. Plus il existe de combinaisons possibles pour former un mot de passe, plus le temps moyen nécessaire pour le retrouver sera long. D’autres types d’attaques sont couramment utilisés par les hackers, comme les attaques par dictionnaire ou encore les attaques par compromis temps/mémoire. Pour les plus passionnées, nous vous invitons à lire la note technique de l’ANSSI (agence nationale de sécurité informatique).

Comment se protéger ? 

Pour protéger vos données personnelles, il est donc nécessaire de choisir et d’utiliser des mots de passe suffisamment robustes, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés de hacking et à deviner par une personne tierce.  Avec notre guide, vous allez apprendre à choisir un mot de passe fort.

La force d’un mot de passe dépend de sa longueur et de sa complexité. Choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). En effet, un mot de passe constitué de cette façon est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules.

Un bon mot de passe doit également être facile à retenir pour rester fort. En effet, si votre mot de passe est trop compliqué à retenir, vous allez soit l’inscrire sur un papier collé sur l’écran de votre PC, soit l’abandonner au bout de quelque temps. Pour pallier cette difficulté, il existe deux moyens mnémotechniques pour fabriquer et retenir des mots de passe forts :

• La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
• La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Maintenant que nous avons choisi un mot de passe, nous allons tester sa force. Pour cela, il existe de nombreux outils sur la toile mais l’une des références en la matière est celui de howsecureismypassword.net.

Howsecureismypassword.net est un service web qui vous permet de connaître la puissance de votre mot de passe. Tout ce que vous avez à faire est de le taper dans le champ prévu à cet effet. Vous obtiendrez alors le temps que mettra un outil automatisé de hacking pour le craquer. Ce temps peut varier de quelques secondes à des milliards d’années en fonction de sa complexité.

En guise de petit bonus, nous souhaitons vous faire découvrir un dernier outil. Have I Been Pwned? (qui peut se traduire en « me suis-je fait avoir ? ») est l’outil de référence pour vérifier si vos données personnelles ont été compromises à la suite d’un piratage.

Have I Been Pwned? est régulièrement mis à jour avec les dernières fuites de données, ce qui permet d’être rapidement au courant et d’intervenir au plus vite.

Si votre adresse e-mail n’a pas fuité et n’est présente dans aucune base de données compromises, vous obtenez le message « Good news – no pwnage found! ».

Par contre, si vous obtenez le message « Oh no – pwned » (Oh non –  vous vous êtes fait avoir !), cela signifie que votre adresse mail a été compromise.

Plus bas sous « Breaches you were pwned in », vous trouverez les sites et services web piratés où votre adresse e-mail a été trouvée.

Pour chaque site et service web, lisez attentivement la date du piratage ainsi que les données qui ont été compromises en face de « Compromised data ».

Si vous trouvez que vos données ont été compromises PAS DE PANIQUE !

Tout d’abord vérifiez la date du piratage. Si vous avez changé de mot de passe à une date plus récente, alors vous n’aviez rien à craindre. Dans le cas contraire, nous vous conseillons de modifier les mots de passe impactés. Utilisez les règles que nous avons apprises ensemble plus haut.