Vos mots de passe sont les clés de votre vie numérique. Comment les stocker de manière sécurisée pour les retrouver à chaque instant ?
Avant toute chose, il n’existe pas de risque zéro en sécurité informatique. Peu importe la solution de stockage, il y aura toujours des failles. Le but est de trouver le meilleur équilibre entre :
- Le niveau de sécurité
- Le côté pratique
- La cible à protéger. Les accès en ligne du Directeur des services de renseignements sont une cible plus intéressante que le blog de l’animal de compagnie d’un enfant !
La solution choisie doit vous correspondre au mieux. Dans le cas contraire, elle risque d’être contre-productive pour la sécurité de vos mots de passe.
Avant de commencer, si vous utilisez le même mot de passe pour tous vos comptes en ligne, considérez que vous êtes au niveau ZÉRO de sécurité. Vous êtes en négatif si, en plus, ce n’est pas un mot de passe fort ! C’est votre cas ? Il n’est pas trop tard pour y remédier.
Je vais vous présenter 4 niveaux de sécurité pour stocker vos mots de passe. Les 3 premiers sont assez communs. Le dernier niveau est extrême !
Niveau 1 : la méthode mnémotechnique (risqué)
Vous ne voulez aucune trace écrite ou numérique de vos mots de passe ? Cette méthode permet d’en retenir des dizaines !
C’est quoi une méthode mnémotechnique ?
Le principe consiste à aider la mémoire en utilisant une technique d’association mentale. Cette technique peut être de choisir un code secret que l’on ne risque pas d’oublier qui servira de base à tous les mots de passe. On applique ensuite un algorithme secret pour créer le mot de passe.
Par exemple, je décide d’utiliser Flx2015 comme base pour tous mes mots de passe. C’est le nom de mon animal de compagnie — sans les voyelle — et son année de naissance. Je ne risque pas de l’oublier ! Mon algorithme secret pour créer mon mot de passe consiste à prendre ma base Flx2015 puis d’y ajouter une lettre sur deux du site internet et enfin j’ajoute le symbole « %« .
Pour mon compte sur le facebook.com, mon algorithme me donne Flx2015 + fcbo + %. Finalement, mon mot de passe pour facebook.com est Flx2015fcbo%. En reprenant ce principe, pour amazon.fr, j’obtiens Flx2015aao%.
Avec cette méthode vous pouvez facilement créer et retenir des dizaines de mots de passe différents.
Quels sont les risques d’une méthode mnémotechnique ?
Cette méthode permet de générer des mots de passe différents pour chacun de vos comptes, ce qui est une très bonne chose. Par contre, il y a aussi des désavantages.
Votre mémoire n’est pas infaillible. Vous pouvez oublier la base utilisée pour créer le mot de passe ou l’algorithme pour générer la partie variable suite à un accident par exemple. Voulez-vous aussi que vos comptes meurent avec vous ? Dans le cas contraire il faut prévoir une solution pour transmettre à vos proches la façon de trouver vos mots de passe.
Si un pirate arrive à mettre la main sur plusieurs de vos mots de passe, il pourra deviner votre algorithme de génération. Les bases de données mal sécurisées ne sont malheureusement pas si rares que ça.
Ce dernier point est une des raisons pour laquelle on préconise que les mots de passe soient totalement aléatoires. Cependant, cette recommandation crée une nouvelle problématique. Comment se souvenir de dizaines de mots de passe aléatoires ? Les prochains niveaux permettent de régler ce problème.
Niveau 2 : Écrire ses mots de passe (bon)
Stocker ses mots de passe par écrit est certainement la façon la plus simple à mettre en place. C’est d’ailleurs de cette façon que font mes parents ! Il suffit d’avoir un cahier dédié à cet usage. L’avantage principal est bien sûr qu’il n’y a pas de risque qu’un pirate vole ces informations avec un logiciel malveillant par exemple. Par contre, vous devez toujours avoir ce calepin avec vous pour vous connecter à vos comptes.
Ce niveau de stockage est correct pour les personnes qui savent déjà créer des mots de passe forts. Vous pouvez alors avoir des mots de passe totalement aléatoires et différents sans risque de les oublier. Cependant, ce n’est pas non plus une solution parfaite.
Quels sont les risques d’écrire ses mots de passe ?
Ce cahier de mot de passe peut être volé, perdu ou même détruit lors d’un incendie. Dans le pire des cas, quelqu’un aura accès à tous vos comptes en ligne. Dans le « meilleur » cas, vous perdrez l’accès à vos comptes et il faudra réussir à les récupérer. Cette tâche peut être difficile (ou impossible) si vous n’avez plus accès à votre boite e-mail.
Pour mitiger ces risques, voici 2 astuces :
- N’utilisez pas de feuille volante ou de post-it que vous laissez à proximité de votre ordinateur, à la portée de tout le monde. Utilisez plutôt un calepin dédié pour vous rappeler que vos mots de passe sont précieux ! Pensez aussi à avoir une sauvegarde ou une copie de ce calepin que vous pouvez mettre en lieu sûr.
- Ajoutez une sécurité supplémentaire. Vous pouvez par exemple utiliser un code secret commun à ajouter à la fin de tous vos mots de passe. Dans votre calepin, vous notez uniquement le mot de passe sans ce code secret. Si votre carnet tombe dans de mauvaises mains, les mots de passe seront suffisamment sécurisés pour vous laisser le temps de les modifier.
Niveau 3 : Utiliser un gestionnaire de mot de passe (très bon)
Pour vous faciliter la vie, vous pouvez utiliser un logiciel dédié à la gestion des mots de passe. Ces logiciels reposent tous sur le même principe : une base de données chiffrée et protégée par un mot de passe maitre. Ce mot de passe maitre, le seul à retenir, permet de déverrouiller un coffre-fort qui contient vos mots de passe.
On peut classer les gestionnaires de mots de passe dans 2 catégories : en ligne et hors ligne. Par exemple, KeePass, qui est gratuit, est un logiciel hors ligne. Votre coffre-fort n’est pas sauvegardé sur internet. Cela signifie aussi que vous ne pouvez pas facilement synchroniser vos mots de passe entre vos différents appareils (ordinateur, téléphone, tablette,…).
Certains argumentent que les gestionnaires de mots de passe hors-ligne sont meilleurs pour la sécurité, car votre coffre-fort ne transite pas sur internet. En revanche, vous êtes responsable de la sauvegarde de ce coffre-fort. Celle-ci sera très utile en cas de perte ou de dysfonctionnement de votre ordinateur par exemple. La sécurité dépend aussi de la façon dont vous stockez cette sauvegarde.
Les gestionnaires de mots de passe en ligne, comme Dashlane ou Bitwarden, sont ceux que j’utilise. Je trouve qu’ils sont pratiques et que la sécurité qu’ils offrent est suffisante pour mes besoins. Généralement, il faut payer un abonnement pour profiter de l’ensemble des fonctionnalités. Ces sociétés sauvegardent votre coffre-fort en ligne ce qui vous permet de toujours avoir une copie de vos mots de passe en cas de perte de votre appareil. Il propose aussi la synchronisation du coffre-fort entre vos différents périphériques.
Ce niveau de sécurité peut vous convenir mais vous êtes sceptique sur le fait que votre coffre-fort soit en ligne.
- Et si la société se fait pirater ? Le risque existe mais reste faible et même si le pirate a votre coffre-fort, la clé (votre mot de passe maitre) est nécessaire pour le décrypter.
- Et si votre mot de passe maitre fuite ou que ces sociétés mentent sur le cryptage de votre coffre-fort ? Peu probable si c’est une société sérieuse. Sa réputation serait tellement entachée qu’elle mettrait la clé sous la porte.
Si vous avez quelques doutes à confier vos mots de passe à ce genre d’entreprise, je vous suggère d’utiliser l’astuce suivante.
Pour mes comptes les plus importants, comme ma banque ou mon e-mail, je n’enregistre pas le vrai mot de passe dans le gestionnaire. Par exemple, j’enregistre les 15 premiers caractères. Pour obtenir le mot de passe complet, il faut ajouter un mot secret que moi seul connait. C’est la stratégie dite de double aveugle, personne n’a le mot de passe complet, ni moi, ni le logiciel.
Avec cette astuce, vous n’avez plus à craindre que votre coffre-fort soit piraté par qui que ce soit.
Pour conclure sur ce niveau de stockage, je trouve que les gestionnaires de mots de passe sont une très bonne solution pour créer des mots de passe forts et les stocker. Ils sont un bon compromis entre la sécurité et la convivialité d’utilisation.
Niveau 4 : le boîtier physique (paranoïaque)
Il existe des boîtiers physiques qui permettent de stocker les mots de passe. Plusieurs marques (Mooltipass, OnlyKey) proposent ce type de matériel. Le principe est assez simple. Une fois vos mots de passe enregistrés sur le boitier, il suffit de le brancher sur votre périphérique pour remplir le formulaire de connexion à votre compte en ligne.
Ce type de matériel peut aussi être protégé à l’aide d’un code PIN pour que seul le propriétaire puisse l’utiliser. On trouve aussi des fonctionnalités comme la suppression des mots de passe du boitier suite à plusieurs erreurs dans le code PIN. Il peut aussi y avoir un code d’effacement pour prévoir le cas où l’on veut vous forcer à utiliser le boîtier sous la contrainte.
Je ne suis pas assez paranoïaque pour utiliser ce type de produit. Ce n’est pas une solution que je recommande mais certaines personnes en ont certainement l’utilité.
Quelle est la meilleure solution pour stocker vos mots de passe ?
Au risque de vous décevoir, il n’existe pas de solution universelle. La meilleure solution est propre à chacun. L’important est de respecter le principe d’avoir un mot de passe fort et différent pour chacun de vos comptes. Je vous ai présenté quelques solutions possibles.
Il faut réussir à trouver le meilleur compromis entre la facilité d’utilisation et la sécurité. Si la méthode de stockage de vos mots de passe est trop contraignante, c’est la sécurité qui va en pâtir.
Pour ma part, j’utilise un gestionnaire de mot de passe en ligne avec la stratégie de double aveugle. Je pense en effet que mes mots de passe sont stockés de façon suffisamment sécurisée. J’apprécie la facilité d’utilisation sur mes différents appareils, notamment avec les mécanismes de synchronisation.
Et vous ? Comment stockez-vous vos mots de passe ? Avez-vous une autre méthode?
