Dans l’immense majorité des cas, les cambrioleurs entrent tout simplement par la porte. Bien souvent, c’est le mécanisme de la serrure qui est en cause en n’offrant que peu de résistance aux cambrioleurs. La situation est très proche dans le domaine du web où le mot de passe est la clef virtuelle ouvrant la porte sur vos données confidentielles. Même si le compte piraté ne contient pas de données sensibles, celles présentes peuvent être exploitées à des fins pouvant avoir de graves conséquences.
Les services offerts sur le web s’étant multipliés, les hackers se voient offerts autant d’occasions d’accomplir leurs méfaits. Cette menace devenue aussi réelle que permanente impose de se doter d’une protection maximale. Les données privées peuvent être récupérées de plusieurs manières par le ou les pirates informatiques
• Le hacker pénètre dans le site par un script lui permettant d’accéder à la base de données. Dans la plupart des cas, c’est une faille de sécurité qui permet cette intrusion. Il est donc primordial que les webmasters sécurisent au maximum leurs sites pour assurer la protection des visiteurs. Permissions d’accès aux fichiers et mises à jour permettent de réduire les risques sans pour cela les éliminer totalement. De grandes entreprises sont par exemple les victimes de vols de données malgré une sécurisation pensée comme maximale. Dans ce cas, le simple utilisateur ne peut rien.
• La présence d’un keylogger. Ce petit logiciel installé à votre insu sur votre ordinateur lors d’un téléchargement collecte les données au moment où elles sont saisies. Elles sont ensuite régulièrement envoyées vers le pirate qui n’a plus qu’à les exploiter. La présence d’un antivirus efficace est donc recommandée.
• L’attaque dite par force brute qui est actuellement là plus répandue. Ce sont des centaines de connexions sur le site ciblé qui vont tenter d’ouvrir la porte de votre compte. À chacune d’entre elles, une combinaison différente est testée en s’appuyant sur des dictionnaires. Ceux-ci contiennent des prénoms, des noms de célébrités, des marques, des phrases connues et autres qui constituent une bonne part des mots de passe. Si le niveau des protections augmente, il faut être conscient que celui des attaques suit de près lorsqu’il ne précède pas les nouveaux « boucliers ».
C’est contre cette dernière attaque que l’utilisateur est le plus efficace en pouvant compliquer la tâche des pirates. Inutile de préciser qu’un mot de passe reprenant le prénom de l’utilisateur suivi du numéro de son département de résidence revient à entrouvrir la porte aux intrusions. Si ce de mot de passe est aisé à retenir, il est également très facile à trouver. Il en est de même pour le mot de passe unique servant à ouvrir plusieurs comptes qu’il faut totalement proscrire.
De plus en plus de services web et de plateformes de blogs offrent la possibilité de générer automatiquement un mot de passe complexe. La première constatation est que si ce service est proposé, c’est que le risque est bien réel. Si ces mots de passe générés sont efficaces, ils sont par contre souvent difficiles à mémoriser. Il est dès lors classique que les utilisateurs modifient le mot de passé généré automatiquement par un autre plus aisément mémorisable, mais aussi bien plus facile à cracker.
Une autre faiblesse des générateurs automatiques de mot de passe est que leur code peut être détourné lors d’une attaque de style force brute. Ce même script peut en effet envoyer des milliers de combinaisons différentes en étant utilisé non pas pour sécuriser un compte, mais au contraire pour y accéder. Il existe toutefois des logiciels générant des mots de passe complexes grâce à des codes fortement cryptés.
Bien qu’efficace, reste le problème de la mémorisation des mots de passe. Pour un utilisateur naviguant régulièrement sur une dizaine de sites, un mot de passe sans aucune possibilité de mémorisation devient un véritable casse-tête.
Une solution est de créer sa propre méthode tout en sachant que le risque zéro n’existe pas. Le raisonnement repose sur le cryptage de votre mot de passe en utilisant une méthode personnalisée. Voici un exemple que vous pourrez ensuite adapter à vos propres goûts :
La première étape consiste à choisir une phrase, quelle qu’elle soit : « Comment fabriquer un mot de passe efficace ». La deuxième étape consiste à extraire la première lettre de chaque mot ce qui donne : Cfumdpe. Pour différencier chaque mot de passe en fonction du service, il suffit d’y ajouter les lettres les plus marquantes et d’y ajouter des caractères spéciaux pour le renforcer :
#Cfumdpe@Fcb pour Facebook
# Cfumdpe@Amz pour Amazon
# Cfumdpe@Ytb pour YouTube
Etc.
L’algorithme utilisé vous étant personnel, les scripts fonctionnant essentiellement sur une logique commune auront ainsi plus de mal à ouvrir vos portes. Libre à vous de rendre le système plus complexe en prenant par exemple la première lettre du premier mot, la deuxième du deuxième mot, etc. En appliquant ce principe à tous vos mots de passe, il est aisé de s’en souvenir puisque dicté par la phrase que vous avez choisie et à laquelle a été appliquée votre propre logique. Comme précisé précédemment, les risques ne sont pas pour autant totalement éliminés, mais sont par contre considérablement réduits.
Patrick Chareyre, Consultant pour le magazine Le Monde Economique et Directeur du cabinetXenoht.net