Tous les articles par Eric Bernard

Un bon mot… de passe !

Un mot de passe est une suite de caractères (des lettres, des chiffres, des symboles comme +, # ou §, etc.) qui protège l’accès à un service, des documents…

Dans le conte Ali Baba et les Quarante Voleurs, le voleurs doivent prononcer le célèbre mot de passe « Sésame, ouvre-toi ! » pour que s’ouvre la porte secrète de leur caverne.

Les mots de passe sont très utilisés sur Internet, où ils jouent le même rôle que les clefs qui ferment les portes des maisons pour les protéger des voleurs.

Pour accéder à ce qu’il protège (un compte de messagerie, par exemple), il faut le connaitre, tout comme il faut avoir la clé pour ouvrir sa maison.

Pour être efficace, un mot de passe doit être robuste, c’est-à-dire difficile à deviner ou à retrouver.

Voici quelques mots de passe très faciles à retrouver :

12345678 ; azerty ; password ; admin ; 123123

Voici quelques mots de passe bien plus robustes : P@ssw0rd ; e27SMhf9 ;
65,6Nt6FjFae={Q

Pour fabriquer un « bon » mot de passe, il faut respecter quelques recommandations :

  • Il doit être secret (ne surtout pas le noter sur un morceau de papier, ce serait comme laisser la clé de la maison sur la porte).
  • Il ne doit pas avoir de lien avec vous (le nom de votre animal de compagnie par exemple) mais il doit être facile à retenir.
  • Il doit comporter au moins huit caractères.
  • Il doit comporter plusieurs types de caractères (majuscules, minuscules, chiffres, caractères spéciaux).
  • Il ne doit pas figurer dans un dictionnaire.

De plus, pour plus de sécurité, il faudrait le changer régulièrement, ne pas l’utiliser pour plusieurs services (messagerie et réseaux sociaux par exemple).

Lorsqu’un pirate informatique souhaite découvrir un mot de passe, il dispose essentiellement de deux techniques :

  • L’attaque par dictionnaire: le principe est assez simple, il s’agit d’essayer les combinaisons les plus utilisées par la majorité des utilisateurs (prénoms, noms de famille, certains mots ou expressions usuelles comme « football », « azerty », « 123456 », noms d’animaux, …)
    A l’aide d’un ordinateur,  on essaie les mots de certains dictionnaires usuels, comme les dictionnaires des prénoms, les dictionnaires de patronymes d’un pays ou d’une culture, d’un dictionnaire de noms d’animaux,. Si votre mot de passe est maman ou virginie par exemple, il suffira de quelques fractions de seconde pour le découvrir.
  • L’attaque par force brute : cette fois-ci, toujours à l’aide d’un ordinateur, on essaie toutes les suites de caractères possibles. Dans ce cas, plus le mot de passe est long et compliqué, plus il faudra de temps pour le découvrir.
    Supposons par exemple que l’on n’ait droit qu’aux voyelles pour fabriquer un mot de passe de trois caractères.

Le mot de passe a donc la structure suivante :
Chaque caractère doit être l’une des six voyelles, il y donc six possibilités pour le 1er caractère, six pour le 2e et six pour le 3e.

Cela fait donc 6 × 6 × 6  = 216  possibilités différentes.

Un être humain pourrait en relativement peu de temps essayer toutes les possibilités et donc découvrir le mot de passe.

Si par exemple, on s’autorise les majuscules et minuscules, cela nous fera 12 possibilités pour chaque caractère (six voyelles minuscules et six voyelles majuscules).
Donc en tout  12 × 12 × 12 = 1728 possibilités.

C’est déjà plus long pour un être humain mais toujours un jeu d’enfant pour un ordinateur !

En procédant de la même manière, il n’est pas très compliqué de déterminer le nombre de mots de passe de huit caractères différents que l’on peut créer avec les 26 lettres de l’alphabet et les 10 chiffres :
36 × 36 × 36 × 36 × 36 × 36 ×36 × 36 = 2 821 109 907 456 possibilités. Ça devient beaucoup plus sérieux ! Ceci-dit, un ordinateur récent ne mettrait qu’une dizaine de minutes à les essayer tous…
Comme on le voit, plus on augmente le nombre et le type de caractères possibles, plus on augmente de nombres de mots de passe différents. On peut autoriser les lettres, majuscules ou minuscules, les chiffres, les caractères spéciaux, allonger le mot de passe…
Pour se fabriquer un mot de passe assez fort et assez facile à retenir, on peut utiliser par exemple :

  • La méthode des premières lettres : la citation « qui vole un œuf vole un bœuf ! » donnera par exemple : qV19V1b!
  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am

Pour en savoir plus :

https://fr.vikidia.org/wiki/Mot_de_passe
https://www.ssi.gouv.fr/guide/mot-de-passe/
https://security.web.cern.ch/security/recommendations/fr/passwords.shtml
https://www.cnil.fr/fr/construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces

Un petit Quizz pour vérifier vos connaissances