Les différents secteurs à protéger
Les mots de passe locaux (sur votre machine)
1. [ Difficulté avancé] Le mot de passe du BIOS d'un ordinateur
Lorsque vous allumez votre ordinateur, il exécute en premier lieu un programme de démarrage, le BIOS. Celui-ci contient un certain nombre de paramètres et notamment il détermine si l'ordinateur peut être démarré à l'aide d'un système d'exploitation externe (à partir d'un DVD, d'une clé USB, etc.). Ce système externe permettra d’accéder aux données stockées sur les disques internes (sauf s'ils sont chiffrés), en contournant la protection de la session utilisateur.
Il est donc possible de modifier un paramètre du BIOS pour empêcher cela ; il faut en outre définir un mot de passe qui empêchera la modification de ce paramètre.
- Attaque technique : ouvrir le boîtier de l'ordinateur et retirer la pile du BIOS permet généralement de réinitialiser tous les paramètres du BIOS (et donc d'éliminer le mot de passe).
- Protection : sur les ordinateurs fixes il est en général possible de poser un cadenas pour empêcher l'ouverture du boîtier.
2. Le mot de passe de session utilisateur
Lorsque vous démarrez votre ordinateur ou ordiphone, vous ouvrez une session utilisateur (votre compte en tant qu'utilisateur de cette machine). Si vous êtes l'unique (ou le principal) utilisateur de la machine, votre session est une session "administrateur".
Protéger l'accès à la session permet tout d'abord d'éviter qu'une personne ne fasse des modifications à votre configuration, volontairement ou par inadvertance (installation de logiciels (potentiellement malveillants), désinstallation, changement de paramétrages...).
La session peut être verrouillée manuellement lorsque vous vous éloignez de votre ordinateur. Elle peut être verrouillée automatiquement (ou non) lorsque l'ordinateur se met en veille.
L'usage d'un tel mot de passe est facultatif. Toutefois sous GNU/Linux un mot de passe administrateur vous sera demandé lors de l'installation et de la mise à jour de logiciels. Sous GNU/Linux le mot de passe de session protège aussi l'accès au trousseau de clé qui peut contenir d'autres mots de passe.
Dans le cas où le stockage de données internes à la machine (disque dur, mémoire interne) est chiffré, protéger l'accès à la session empêche la lecture des données ainsi protégées. Inversement si le stockage de données n'est pas chiffré (cas général) les données ne sont pas protégées même si la session n'est pas accessible.
- Attaque technique : il existe des logiciels, facilement accessibles sur l'Internet, qui permettent à un attaquant moyennement compétent de récupérer un mot de passe de session, en démarrant l'ordinateur à l'aide d'un système externe (voir § 1 pour une protection).
- Dépannage, en cas d'oubli du mot de passe administrateur :
3. Les mots de passe de logiciels protégeant d'autres mots de passe
Certains logiciels peuvent stocker des listes de mots de passe dans des bases de données (ce qui évite d'avoir à les mémoriser). L'accès à ces listes est protégé par un mot de passe "principal", lequel doit lui être mémorisé ! Ces mots de passe doivent être particulièrement forts.
Cf. plus bas § enregistrer les mots de passe.
- Attaque : voir § suivant.
4. Le mot de passe de chiffrement de données
Vous pouvez protéger (ou authentifier) des données sensibles en les chiffrant, de différentes manières. Voir tutoriel.
- Attaques :
- si les données sont récupérées, l'attaquant peut tenter de les déchiffrer avec des logiciels spécialisés (et des machines de grande puissance), seuls des mots de passe forts résisteront suffisamment longtemps à ces attaques ;
- les mots de passe peuvent être lus au moment où ils sont tapés si la machine est infectée par un keylogger : logiciel espion qui enregistre tout ce qui tapé au clavier (et pour certains également les mouvements du pointeur de la souris).
- Protection : un bon antivirus, un anti-spyware et un pare-feu ; voir aussi : comment déjouer les keylogger sur Korben.info (Remarque : dans GNU/Linux le clavier virtuel s'appele Onboard).
Les mots de passe pour l'Internet
Ceux-ci protègent l'accès à des comptes en ligne souscrits auprès de fournisseurs de services Internet.
Ces comptes peuvent être plus ou moins sensibles. Plus ils le sont, plus le mot de passe qui les protège devrait être fort.
Par exemple (dans l'ordre croissant de sensibilité) : un abonnement à un journal en ligne, un compte chez un commerçant, un compte pour participer à un forum Internet, le compte de paramétrage de votre abonnement de téléphonie mobile, idem pour l'accès à l'Internet, vos compte de messagerie (courrier électronique, messagerie instantanée) et de réseaux sociaux, les comptes d'hébergement de vos données synchronisées (cloud) et de vos sites et domaines web, vos services de paiement en ligne, l'accès à vos comptes bancaires (d'autant plus s'il est possible d'effectuer des transactions en ligne).
- Attaques :
- les mots de passe peuvent être interceptés si la connexion avec le site du fournisseur est peu ou mal sécurisée. Les sites web accessibles par le protocole http ne sont PAS sécurisés du tout. Ceux utilisant le protocole https le sont en principe (grâce au protocole SSL/TLS). Le navigateur Firefox affiche un cadenas à gauche de la barre d'adresse lorsque c'est le cas.
- les serveurs du fournisseur peuvent être piratés (Exemple : en 2014 plus de la moitié des comptes de la messagerie Yahoo l'ont été - voir notre tutoriel d'hébergement pour choisir un autre fournisseur).
- Protection : utiliser des mots de passe forts.
L'authentification à deux facteurs
Certains fournisseurs (banques notamment) permettent - ou imposent - une double identification : d'une part avec un mot de passe, d'autre part avec un code d'authentification supplémentaire à usage unique qui vous est transmis par un autre canal (généralement par SMS ou mél ou via une application installée sur votre ordiphone).
Toutefois cette méthode n'est pas non plus complètement fiable : les SMS peuvent être détournés et surtout votre téléphone mobile peut être volé (faites alors désactiver votre carte SIM par votre opérateur au plus vite).
Utiliser plusieurs mots de passe
Une bonne pratique de l'usage des mots de passe consiste à en utiliser plusieurs, en fonction des secteurs à protéger. En effet selon le secteur et sa fiabilité les mots de passe peuvent être compromis de différentes manières et plus ou moins facilement.
La multiplication des mots de passe permet de limiter les conséquences de la compromission de certains d'entre eux.
Si vous utilisez le stockage de mots de passe de Firefox, celui-ci peut vous prévenir (option active par défaut) si l'un deux a été piraté.
Le site haveibeenpwned.com répertorie les adresses mél qui ont été divulguées.
Règles de diversification des mots de passe
Règle n°1 : n'utilisez jamais pour un service Internet un mot de passe local (protégeant votre machine et vos données locales).
Règle n°2 : le mot de passe d'un service crucial doit être exclusif (ne pas être utilisé pour un autre service).
C'est le cas notamment pour le mot de passe d'une clé privée OpenPGP (authentification et courriels confidentiels) et le mot de passe de tout moyen de paiement.
Règle n°3 : n'utilisez pas sur une machine ou un service fiable un mot de passe déjà utilisé sur une machine ou un service non fiable (donc potentiellement compromis).
Règle n°4 : n'utilisez pas sur une machine appartenant à votre employeur les mêmes mots de passe que vous utilisez sur votre propre machine.
En conséquence vous devriez donc avoir :
- (le cas échéant) un (ou plusieurs) mot de passe local fort sur vos machines équipés d'un système d'exploitation fiable (GNU/Linux, /e/OS) ;
- (le cas échéant) un mot de passe local sur vos machines équipés d'un système d'exploitation vulnérable ou non fiable (Windows®, macOS®, Android®, iOS®), pouvant être également utilisé si besoin pour le BIOS ;
- (le cas échéant) un mot de passe local très fort pour votre clé privée OpenPGP, générée et utilisée sur un système fiable (GNU/Linux) ;
- (le cas échéant) un mot de passe local fort pour votre gestionnaire de mots de passe, utilisé de préférence sur un système fiable (GNU/Linux) ;
- un mot de passe Internet fort pour chacun de vos moyens de paiement ;
- plusieurs mots de passe Internet plus ou moins forts pour divers services en ligne plus ou moins bien sécurisés et plus ou moins sensibles ;
- un ou plusieurs autres mots de passe Internet pour divers services en ligne non sécurisés.
Faut-il créer des mots de passe mémorisables ?
Comme il est possible d'enregistrer les mots de passe dans les logiciels qui les utilisent ou dans des gestionnaires de mots de passe, il n'est pas nécessaire que tous les mots de passe soient mémorisables.
Un mot de passe qui n'a pas besoin d'être mémorisé peut être aussi fort que l'on veut (très long et composé de caractères aléatoires).
Par contre vous devrez mémoriser :
- le mot de passe de session de votre ordinateur ;
- le ou les mots de passe "principaux" (ceux qui donnent accès aux mots de passe enregistrés) ;
- les mots de passe dont vous pourriez avoir besoin lorsque vous n'avez pas accès à votre propre machine. Par exemple ceux de vos comptes de courriers électronique, de votre compte de stockage en ligne (cloud).
- les mots de passe cruciaux (protection de documents sensibles, moyens de paiement et clé privée OpenPGP notamment) que vous n'enregistrerez nulle part !
Mieux vaut encore stocker une liste de mots de passe sur papier (rangée en lieu sûr ou conservée sur soi) que d'utiliser des mots de passe faibles de peur de ne pas s'en souvenir. On peut aussi noter des éléments mnémotechniques plutôt que les mots de passe eux-mêmes.
Il existe des méthodes pour créer des mots de passe à la fois forts et mémorisables. Voir notre tutoriel.
Enregistrer les mots de passe
Très important : en matière de sécurité, plus encore que dans tout autre domaine, seuls les logiciels libres (c'est à dire dont le fonctionnement est transparent) peuvent être dignes de confiance.
Certains logiciels qui utilisent des mots de passe peuvent les enregistrer, d'autres peuvent servir simplement à stocker (voire générer) les mots de passe.
Très important : assurez vous d'avoir une sauvegarde (voir tutoriel) des mots de passe enregistrés sur un support externe (clé USB, disque dur externe).
Le navigateur web libre Firefox
Il permet d'enregistrer - à la demande - les mots de passe dont vous avez besoin pour vous connecter à divers services web.
Vous devez impérativement protéger ces mots de passe par un mot de passe "principal". (Voir tutoriel de configuration.) Seul celui-ci vous sera demandé par Firefox (une fois à chaque session), ensuite les identifiants et mots de passe de chaque site web seront pré-remplis.
Remarque : lorsque vous vous connectez pour la première fois à un nouveau site web, Firefox propose la création d'un mot de passe aléatoire (fort et non mémorisable) qu'il enregistrera.
Le client de messagerie libre Thunderbird
Il fonctionne de façon similaire à Firefox, concernant les mots de passe des comptes de messagerie.
Attention : le mot de passe de Thunderbird ne protège que les connexions aux serveurs de messagerie (envoi et réception de messages). Les courriels déjà présents restent consultables par une personne ayant accédé à votre session utilisateur (ou ayant accès au contenu du disque interne, s'il n'est pas chiffré).
Un liste de mots de passe, chiffrée
Vous pouvez utiliser le tableur libre LibreOffice Calc pour stocker vos mots de passe. Vous pourrez ensuite les copier-coller à l'endroit où ils sont requis.
Prenez bien soin d'enregistrer ce tableau lui-même avec un mot de passe, pour en protéger le contenu.
Un gestionnaire de mots de passe
Un logiciel spécialisé offre une protection supérieure à vos mots de passe. De plus il permet de générer des mots de passe aléatoires d'une force prédéfinie.
L'ANSSI recommande le logiciel libre KeePass version 2. Son ergonomie étant quelque peu dépassée, vous pouvez utiliser ses dérivés KeePassXC et - pour Android® - KeePassDroid (disponible dans F-Droid).
KeePass est une application portable, c'est à dire qu'elle ne nécessite pas d'être installée sur un ordinateur, elle peut ainsi être lancée depuis une clé USB.
L'extension libre KeePassXC-Browser pour Firefox permet l'intégration directe de KeePass dans le navigateur web.
Plus d'informations sur le site NextInpact : les gestionnaires de mots de passe (attention cet article présente aussi des logiciels non libres - et payants) et la présentation de KeePass.
Si l'usage d'un gestionnaire de mots de passe vous semble trop complexe vous pouvez vous contenter de l'utiliser comme générateur de mots de passe aléatoires.
Par ailleurs, sous GNU/Linux, il existe un "trousseau de clé" dans lequel certains logiciels enregistrent les mots de passe dont ils ont besoin. Ceux-ci sont accessibles dès lors que la session utilisateur est ouverte, ils ne sont donc protégés que par le mot de passe de la session.
Noter sur papier
Cette pratique n'est pas recommandée pour un usage courant (peu pratique : pas de copié-collé possible !) et peu sûr (risque de découverte par un proche, un collègue, etc.).
Mais cela peut s'avérer utile s'il vous arrive un accident pour que des proches puissent accéder à vos comptes les plus importants. Ranger la feuille en un lieu sûr ou confiez-la à une personne de confiance.
Faut-il changer régulièrement ses mots de passe ?
Les informaticiens préconisaient parfois de changer vos mots de passe à intervalle réguliers (quelques mois). Parfois même certains systèmes imposent ces changements.
Dans l'absolu c'est une bonne idée, car si un mot de passe a été compromis sans que son propriétaire ne s'en soit aperçu, son changement en stoppera les conséquences.
En pratique ce n'en est pas forcément une : changer souvent de mots de passe dégrade les pratiques de sécurité.
En effet, trouver des mots de passe à la fois forts et mémorisables n'est pas si aisé. Changer souvent les mots de passe pose des problèmes de mémorisation. Cela conduit les utilisateurs soit à noter les mots de passe sur des papiers qu'ils gardent à proximité des machines, soit à créer des mots de passe facilement mémorisables mais faibles. De plus les utilisateurs effectuent le plus souvent de petites transformations de leurs mots de passe ce qui n'améliore guère leur sécurité.
Le changement périodique de mot de passe n'est plus recommandé par la CNIL que pour les administrateurs système.
Bonnes pratiques
En bref, ayez quelques mots de passe forts et bien mémorisés et ne les changez que lorsque cela devient nécessaire.
Réservez vos meilleurs mots de passe (forts, facilement mémorisables et rapidement saisis) pour les systèmes les plus fiables (GNU/Linux) ainsi ils auront moins de chance d'être compromis et vous pourrez les utiliser plus longtemps.
Changez immédiatement les mots de passe concernés :
- en cas de vol ou perte d'une machine (sont concernés tous les mots de passe qui pouvaient y avoir été stockés) ;
- en cas de suspicion d'intrusion sur une machine ou sur un compte.
Évitez autant que possible de saisir un mot de passe sur l'ordinateur d'un tiers. Celui-ci peut être mal sécurisé et infecté par des logiciels malveillants. Ou bien le propriétaire de cet ordinateur peut volontairement vous piéger (enregistrer à votre insu le mot de passe que vous avez tapé). Si vous l'avez fait, au moindre doute changez le mot de passe.
Ne transmettez jamais de mot de passe par courriel ou SMS : ceux-ci ne sont pas confidentiels et les comptes de messagerie sont souvent piratés. Utilisez de préférence un canal de communication chiffré.
Certains sites transmettent encore lors de votre inscription un mot de passe par courriel. Changez immédiatement le mot de passe sur le site concerné (et supprimez le courriel, désormais obsolète, après vous êtes plain auprès du service expéditeur de cette pratique dangereuse !).
ASTUCES pour ne pas faire d'erreur quand vous saisissez un mot de passe.
- Assurez-vous que le verrouillage majuscule n'est pas activé. Ne l'utilisez pas pour saisir des majuscules ou des chiffres, préférez l'usage de la touche "majuscule".
- Si vous utilisez le pavé numérique pour saisir des chiffres, assurez-vous que le verrouillage numérique est actif.
- En cas de doute, il est parfois possible d'afficher le mot de passe pendant sa saisie : cliquez sur l'icône d'œil située à coté, le cas échéant. Sinon, ouvrez un éditeur de texte et écrivez dedans pour voir ce qui est réellement saisi.
L'identification biométrique
A priori c'est une bonne idée : s'identifier par des caractéristiques physiques uniques (empreinte digitales, motif du fond de l’œil, timbre de la voix, forme du visage) paraît plus fiable que d'utiliser des mots de passe et vous n'avez rien à mémoriser.
Mais en réalité ces indicateurs peuvent être falsifiés. La puissance de calcul et des algorithmes informatiques sophistiqués permettent de reproduire ces caractéristiques.
Dès lors qu'un dispositif utilise l'identification biométrique, il doit enregistrer ces caractéristiques personnelles et uniques. Or tout dispositif peut être piraté. Ces caractéristiques peuvent donc être volées puis reproduites.
Or si un mot de passe compromis peut être changé, vous ne pourrez pas changer d'empreintes digitales !
Donc, à l'heure actuelle, nous déconseillons très vivement l'usage de ces dispositifs d'identification. Si vous faites l'acquisition d'un appareil qui en dispose assurez vous qu'ils soient désactivés.
Pour continuer ou en savoir plus
Notre tutoriel pour générer de bons mots de passe.
La fiche du CECIL et ses liens associés (archive de 2016).
Les recommandations de la CNIL.
Les recommandations de l'ANSSI, concernant aussi les professionnels.