Faille de sécurité sur Twitter : comment sécuriser vos mots de passe ?
Si vous souhaitez changer de mot de passe après le bug du réseau social, c'est le moment de lire cet article.
C'est le moment de faire le ménage sur vos comptes internet. Twitter a appelé, jeudi 3 mai, ses utilisateurs à changer de mot de passe, après la découverte d'un bug. Un registre interne enregistrait les mots de passe non masqués des utilisateurs du réseau social, explique l'entreprise américaine dans un tweet. "Nous n'avons pas d'indication sur le fait qu'il y ait eu une intrusion ou une utilisation frauduleuse par qui que ce soit", rassure le site.
Mais sur son blog, Twitter conseille à ses utilisateurs de ne plus utiliser leur ancien mot de passe, par précaution, ainsi que "sur tous les services où vous avez pu utiliser le même". Vous pouvez également activer la vérification "à double facteur", poursuit Twitter. Cette technique vous permet de recevoir un code par téléphone lorsque vous vous connectez, afin de vérifier qu'il s'agit bien de vous. Mais pour être tout à fait serein, rien de tel qu'un mot de passe sûr.
Franceinfo vous donne quelques conseils pour sécuriser l'accès à vos comptes sur internet.
Dans quels cas un mot de passe est-il compromis ?
En matière de mot de passe, votre premier ennemi est votre premier cercle. Cette petite amie jalouse, ce collègue d'open space qui ne peut s'abstenir de se pencher par-dessus votre épaule quand vous tapez sur votre clavier. Ils pourraient même en savoir déjà assez sur vous pour accéder en toute impunité à vos mails, sans même avoir besoin d'un quelconque mot de passe. Tout simplement en répondant à votre place à la fameuse "question de sécurité". Ce champ qui vous permet (ainsi qu'à n'importe qui), en répondant à une question personnelle, de récupérer un mot de passe oublié. "Quel est le nom de votre animal de compagnie ? Quelle est la commune de naissance de votre mère ?" Etrangement, les formulaires d'inscription en ligne ne posent jamais la seule question qui vaille : combien sont-ils autour de vous à pouvoir répondre à cette question anodine ? Vous êtes sûr de la moralité de vos proches. Dont acte.
Vous êtes encore à la merci d'une faille de sécurité, du genre qui a touché Dailymotion en 2016. Un pirate accède à la base de données d'un serveur dans lequel sont stockés les couples "identifiant/mot de passe" des utilisateurs, et parfois même leurs coordonnées bancaires. Le cas est rare, mais ne vous pouvez rien y faire.
Enfin, il y a le pirate isolé et la méthode dite d'attaque "par force brute". Elle consiste à briser votre code à l'aide d'un logiciel, en essayant successivement toutes les combinaisons possibles, jusqu'à tomber sur le sésame. Là encore, vous êtes assez démuni. Tout ce que vous pouvez faire, c'est rendre l'opération aussi longue et fastidieuse que possible.
Comment mesurer la force de votre mot de passe ?
Vous êtes-vous déjà demandé combien de temps il faudrait à un hacker amateur équipé d'un PC standard pour déjouer votre mot de passe ? Il existe toute une série d'outils en ligne pour le mesurer, à commencer par le bien nommé How secure is my password ? (en anglais). A titre d'exemple, si votre mot de passe est "12345" – le plus populaire lors des jeunes années du web – son espérance de vie est de quelques secondes seulement. Si vous optez pour "kimdotcom", soit 9 caractères alphanumériques, il ne faut pas plus de 22 minutes à un pirate amateur pour s'en affranchir. En revanche, si vous aviez opté pour "k1mD0T©0m", en remplaçant certaines lettres par des chiffres et des caractères spéciaux, et en alternant minuscules et majuscules, vous auriez pu ajouter 433 ans d'espérance de vie aux 22 minutes d'origine.
Comment choisir le bon mot de passe ?
On peut déduire de cette expérience une règle simple. Plus votre mot de passe est compliqué, plus il est délicat de le trouver. Les vrais geeks mesurent la force d'un mot de passe en terme de "bits". Un mot de passe contenant 4 caractères numériques, comme votre code PIN, présente une force de 13 bits. Un mot de 8 caractères est évalué à 38 bits. Mais les experts en informatique considèrent qu'en dessous de 100 bits, votre mot de passe est d'une faiblesse affligeante.
Vos mots de passe doivent donc être longs. La plupart des sites recommandent un minimum de 8 caractères, mais comptez-en au moins 14 pour être tranquille. Ils doivent contenir aussi bien des chiffres que des lettres, des caractères spéciaux et des espaces, des majuscules et des minuscules. Et surtout, évitez les mots du dictionnaire. A ce titre, les fautes d'orthographe et une grammaire incertaine, une fois n'est pas coutume, sont chaudement recommandées. Si vous manquez d'imagination, il existe plusieurs générateurs de mots de passe aléatoires, comme WolframAlpha (en anglais), un moteur de recherche spécialisé dans les questions mathématiques complexes. Mais combien d'entre nous sont capables de retenir une suite de 14 caractères en tous genres ?
Portables et smartphones, ces deux talons d'Achille
Si nous sommes nombreux à utiliser les mots de passe les plus compliqués pour nos accès en ligne, dès lors qu'il s'agit de notre ordinateur portable, notre date de naissance jouit encore d'une popularité difficile à expliquer. C'est encore pire s'agissant de nos smartphones, trop souvent protégés par un simple code PIN (13 bits). La plupart des mobiles vous proposent aujourd'hui bien d'autres options de verrouillage, du mot de passe le plus complexe au motif à dessiner sur son écran tactile, en passant par la reconnaissance faciale pour les modèles les plus récents. En abandonnant pour de bon le code PIN, vous pourrez même mettre en échec le FBI (en anglais). Il en va de même pour votre laptop. Ces outils sont cruciaux dans notre sécurité, dans la mesure où ils offrent un accès libre à nos comptes e-mail et, par rebond, à la plupart de nos services web.
Comment retenir efficacement ses mots de passe ?
La première approche consiste à écrire sur un bout de papier ou dans un fichier texte la liste de vos mots de passe. C'est sans doute la plus mauvaise solution. Quiconque y accède peut s'approprier votre vie tout entière. Mais cela reste moins risqué que d'utiliser le même mot de passe pour tous vos services web. Si vous devez absolument en passer par-là, commencez par vous inventer une "clé de chiffrement" maison, par exemple "-2". C'est elle que vous devrez retenir pour décrypter, le moment venu, vos propres mots de passe. Au moment de coucher sur papier vos codes d'accès, vous leur appliquerez ce facteur -2. Ainsi, le mot de passe "Kim2529dOtCom", deviendra "Igk0307bMrAmk". Ou, pour faire plus simple, "12345" deviendrait "90123".
La seconde option passe par un logiciel de type gestionnaire de mots de passe. Il stocke pour vous, généralement en ligne ou sur une clé USB, tous les mots de passe que vous utilisez au quotidien et soulage d'autant votre mémoire. Le risque évident, c'est déjà arrivé, est que les serveurs de votre gestionnaire soient à leur tour compromis.
La dernière option, la plus sûre, est de ne faire confiance qu'à votre seul cerveau. Une façon de procéder consiste à n'utiliser que des dérivés d'un mot de passe "maître", en utilisant une clé différente pour chaque service web consulté. Partez d'une phrase toute faite, qui, on le répète, martyrise idéalement la grammaire et l'orthographe en alternant majuscules et minuscules : "mOnmOdpAssèsUpAIrE" (une espérance de vie proche de celle du soleil) et remplacez la première et la dernière lettre ou chiffre par les initiales du service concerné. Par exemple GM pour Gmail, ou FB pour Facebook.
Quelles sécurités supplémentaires peut-on choisir ?
Avoir un bon mot de passe est le principal moyen de se protéger, mais ce n'est pas le seul. La double authentification a été mise en place par de nombreux sites pour renforcer la sécurité de vos comptes. Le principe consiste à doubler l'identification par mot de passe en envoyant gratuitement un code sur votre téléphone, que vous devrez saisir sur le site pour accéder à votre compte. Sans ce code, un individu en possession de votre mot de passe ne pourra pas se connecter à votre compte. Il vous faudra cependant accepter de donner votre numéro de téléphone, mais comme l'explique notre article sur le sujet, nos données personnelles sont déjà abondamment utilisées par les grandes entreprises du web.
Le moteur de recherche Two Factor Auth liste tous les comptes qui proposent cette double authentification. Il permet d'accéder aux pages d'aide de chaque site, qui expliquent comment activer la double vérification sur leur compte. Par exemple, Twitter détaille comment recevoir un code par téléphone pour se connecter sur son site. Il faut se rendre sur la page "Paramètres et confidentialité" du compte en cliquant sur l'icône de votre profil, puis en cliquant sur "Passer en revue vos méthodes de vérification de connexion" dans l'onglet "Compte". Un numéro sera envoyé sur votre téléphone pour activer la vérification.
Sachez que certains sites proposent un troisième niveau de vérification, avec par exemple la vérification de l'identité de l'utilisateur grâce à un capteur biométrique, parfois présent sur les smartphones.
Derniers conseils avant de vous lancer
Veillez à changer régulièrement vos mots de passe, même si c'est fastidieux. Les experts les plus méticuleux, l'Agence nationale de la sécurité des systèmes d’information (PDF) en tête, recommandent de le faire tous les 90 jours. Une fois par an serait déjà une excellente résolution. Evitez à tout prix de cocher les cases "se souvenir de moi" ou "connexion automatique" dans vos formulaires d'identification en ligne. Après avoir utilisé un ordinateur public, pensez toujours à vider le cache du navigateur internet.
Enfin, n'envoyez jamais de mot de passe par e-mail, chat ou SMS. Et lorsque vous recevez un mail de la part d'un des services web que vous utilisez, préférez toujours renseigner manuellement leur URL dans votre navigateur plutôt que de suivre le lien qui vous est proposé. C'est la seule façon efficace de se préserver du phishing, qui consiste pour les pirates à se faire passer pour d'autres en vous renvoyant vers un site fictif, dont le seul but est de vous inviter à entrer vos identifiants pour mieux vous en délester. C'est d'ailleurs le cas le plus courant de vol d'identité.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.