Hygiène du mot de passe


    Le "National Infrastructure Protection center" (http://www.nipc.gov) dépend du FBI et est chargé de sensibiliser les utilisateurs et les administrateurs d'infrastructures informatiques à la sécurité. Accessoirement, le NIPC a aussi avancé que security.tao.ca (qui proposait, bien avant lui, des conseils en matière de mots de passe) était une "menace" pour la sécurité intérieure des Etats-Unis et de l'infrastructure informatique en général, justement parce qu'il prodigue des conseils aux internautes afin qu'ils protègent leur vie privée... (cf "Hacktivism May Occur In Connection With Certain Protest Events, July-September 2000").

    Dans un document intitulé "Password Protection 101" (et rapporté par Net Bug n°2 p6), le NIPC indique que votre compte n'est pas sécurisé si vous répondez "oui" à l'une des 7 questions suivantes :
    1. Avez vous écrit sur un bout de papier votre mot de passe ?
    2. Votre mot de passe est il un mot commun que l'on peut trouver dans le dictionnaire ?
    3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
    4. Votre mot de passe est il un nom de personne, de lieu ou d'animal ?
    5. Quelqu'un d'autre connait il votre mot de passe ?
    6. Utilisez vous le meme mot de passe pour plusieurs comptes et pour une longue période ?
    7. Utilisez vous le mot de passe par défaut du constructeur ou de l'éditeur ?

    Si vous avez répondu "oui" à au moins l'une de ces questions, nous ne saurions que trop vous conseiller de suivre les conseils qui suivent (voir aussi les liens proposés en bas de ce document).
    Si vous avez répondu "non" à toutes ces questions, même punition, y'a pas de raison : le choix et l'entretien de ses mots de passe représentent le B-A.BA de la sécurité informatique et de la protection de sa vie privée à l'ère numérique.

    Outre le risque de voir son mot de passe intercepté (en ligne ou directement sur votre PC), il existe en effet des "dictionnaires" de mot de passe (basés sur les dictionnaires de noms communs & propres, mais aussi sur les listes de mots de passe recueillies à l'occasion de failles de sécurité) permettant d'effectuer des attaques par "force brute", entre autres risques encourus.
    Le NIPC conseille ainsi de changer de mot de passe tous les 60 jours, temps estimé pour parvenir à casser, au moyen d'outils disponibles sur le net, un mot de passe de type t7p4i0t1r (assemblage d'une phrase, "The pearl in the river", et d'une date de naissance, 7/4/01). Encore que rien ne vaut les mots de passe à usage unique.

    Bien choisir son mot de passe

    . En premier, il recommandé de se servir d'un phrase plutôt que d'un mot de passe. En effet, plus votre clé est longue, plus le cryptage sera sécurisé.

    . Pour un chiffrement à 128 bit, si la phrase est créée de façon aléatoire, un minimum de 50 caractères est requis (100 s'il s'agit d'une phrase "logique"). Il est en effet préférable d'utiliser des caractères réunis de façon aléatoire plutôt que "clairement" repérable (évitez les azertyuiop et autres 0123456789 !), combinant chiffres et lettres, ponctuations et caractères spéciaux (~!@#$ etc.).

    . Vous pouvez ainsi prendre les premières lettres de l'un de vos poèmes, chansons ou slogans préférés, espacés à chaque fois d'un chiffre ou caractère spécial, de même, mélanger les lettres majuscules et minuscules est recommandé.

    . Il est fortement conseillé de ne pas laisser d'espaces entre les mots.

    . Afin de déjouer les attaques reposant sur des dictionnaires de mots-clés préexistants, n'hésitez pas non plus à mélanger le français, l'anglais, l'allemand etc., afin, toujours, d'éviter les mots "en clair" : même votre clé doit être "cryptée" !

    . Les listes de mots-clés sont généralement très sophistiquées : ainsi, si les correcteurs d'orthographe ne pèsent souvent que 100 ko, les listes de mots-clés utilisés pour cracker la crypto font souvent plus de 100 Mo !

    . Ils peuvent contenir tous les noms et dates possibles, tous les mots qui un jour ou l'autre ont été intégrés dans un livre ou un magazine ainsi que tous les mots de substitution, comme |< @+3 (pour kate) par exemple. Soyez imprévisible ! Et n'utilisez pas de tels noms...

    . N'utilisez ni nom, ni date, ni nombre qui pourrait vous trahir, et en aucun cas votre adresse, n° de sécurité sociale, date de naissance, n° de téléphone, etc.

    . N'utilisez pas le nom ou n° de votre ordinateur ni rien qui puisse être retrouvé à l'intérieur.

    Bien utiliser sa clé

    . N'oubliez jamais votre clé. N'oubliez jamais votre clé. N'oubliez jamais votre clé. N'oubliez jamais votre clé. N'oubliez jamais votre clé.

    . Si vous utilisez une bonne méthode de cryptage et que vous oubliez votre clé, vous ne pourrez plus jamais décrypter vos fichiers. Et si vous pouviez alors quand même récupérer vos fichiers, cela voudrait dire que le logiciel de cryptage n'était pas sûr et que donc il faut en changer !

    . Ne révélez votre clé à PERSONNE et en aucune circonstance.

    . Évitez, bien entendu, de laisser votre clé sur un fichier consultable en clair dans votre ordinateur, ou, pire, sur un bout de papier collé à même l'écran ! (rigolez pas, beaucoup se sont faire avoir à cause de cela !)

    . Ne laissez jamais personne vous regarder taper votre clé (de toute façon, un bon ordinateur doit toujours être placé de façon à ce que vous ayez le dos collé au mur, empêchant quiconque de voir ce qui se trouve sur votre écran).

    . N'utilisez jamais votre clé sur l'ordinateur de quelqu'un d'autre.

    . Ne l'utilisez jamais non plus si votre ordinateur est mis en réseau.

    . Compartimentez votre crypto : une clé pour l'email, un autre pour les fichiers, etc.

    . N'utilisez pas la même clé pour les applications fortement sécurisées que pour celles qui le sont faiblement : si ces dernières étaient un jour compromises, toutes les autres le seraient aussi. Ainsi, vous ne devez JAMAIS reprendre le mot-clé de vos "logins" (pour accéder à votre ordinateur, à l'internet, etc.) pour des programmes qui ne sont pas spécifiquement faits pour protéger des données, et ne sont donc pas sécurisés (fonctions protection par mots-clés de MS Word, PKZip, Filemaker Pro etc.) Ce genre de programme est très facilement crackable et pourraient alors révéler le mot ou la phrase-clé de PGP ou autres programmes de cryptage réputés incassables.

    . Ne vous éloigner jamais de votre ordinateur alors que l'un des programmes utilisant un mot ou une phrase-clé est encore ouvert, et n'oubliez jamais de quitter l'application.

    . N'écrivez jamais votre clé sur un support que l'on pourrait retrouver. Mémorisez-là en la répétant deux heures durant s'il le faut, réécrivez-là des centaines de fois à la main sur un bout de papier (que vous brûlerez ensuite, bien entendu), c'est peut-être l'un des meilleurs investissements en temps de votre cyber-vie.

    . Ne stockez jamais votre clé en clair sur votre ordinateur : cryptez-là et mettez là sur un support amovible que vous n'hésiterez pas à placer loin, très loin de votre ordinateur (un autre appartement, un serveur distant auquel vous vous connectez de façon anonyme et où vous stocker des backups de vos fichiers importants, etc.)

    Voir aussi :
    (CNRS :) Comment choisir un bon mot de passe
    (cryptologie.free.fr :) Sur les mots de passe
    (OpenPGP :) Conseils aux paranos
    Un pdf (165 ko)de Christophe Casalegno sur les mots de passe
    Mots de passe : outils et dicos sur le site de Michel Arboi, auteur de l'excellente FAQ non officielle et politiquement incorrecte de fr.comp.securite, incontournable introduction à la sécurité informatique
    La méthode Diceware pour créer des phrases de passe sures et faciles à mémoriser
    Choisir un bon mot de passe, conseils aux profs
    PassGen: A Password Generator Java Applet
    Password Safe, pour stocker de façon sécurisée ses mots de passe
    Choosing good passwords (une des nombreuses ressources en anglais, avec le temps nécessaire au "crackage" des mots de passe)

    security section index.