On peut avoir 1000 mots de passe sur 1 site, mais pas 1 mot de passe sur 1000 sites

Pour avoir une vraie sécurité de ses données personnelles, la première des choses à faire est d’avoir une bonne stratégie de mots de passe. Malheureusement, dans 80% des cas, c’est plutôt le contraire…

[dropcap]A[/dropcap] chaque fois, un nombre incalculable de mains qui se lèvent. La question que je pose est toujours la même :  je demande à des professionnels, dirigeants ou étudiants “Qui a le même mot de passe sur plusieurs sites web importants ?” Presque à chaque fois, 80% des personnes présentes lèvent la main. Et honnêtement, avoir un même mot de passe partout, c’est une catastrophe en termes de protection des données personnelles. Vous vous demandez pourquoi, même si vous n’avez rien de sensible dans vos données ?

illustration-card-1441198-mDésormais vous n’avez plus aucune excuse : depuis hier, le plus connu des logiciels de mots de passe, 1Password, vient de devenir gratuit sur iOS (pour être très précis, il est passé en Freemium, mais les fonctions de la version gratuite sont déjà très abouties.) 1Password, c’est l’un des logiciels les plus aboutis en matière de gestion de mots de passe. Il a été crée par une équipe canadienne et existe depuis 2006. Il est synchronisable avec Dropbox et iCloud notamment, afin d’avoir votre trousseau sur plusieurs appareils. Certains peuvent arguer que ces deux derniers services de cloud ne sont pas les plus sécurisés, mais rien ne vous oblige à les synchroniser.

Pour ceux qui ne connaissent pas, voici le principe d’un logiciel tel que 1Password ou Dashlane : vous n’avez qu’un seul mot de passe à créer et retenir, c’est votre “master password”. Ces logiciels ne se contentent pas seulement de stocker vos identifiants de sites web : ils peuvent accueillir d’autres éléments, comme des numéros de licence de logiciels ou encore les détails de cartes bancaires. Leur premier rôle est donc de déverouiller le trousseau contenant tous vos logins et mot de passe (uniques !) pour chaque site ou service. A chaque fois que vous vous inscrirez sur un nouveau site web, le logiciel vous proposera de générer un mot de passe complexe (dont on peut définir les paramètres). Idem pour vous logguer, c’est le logiciel qui remplit lui même les identifiants sur chaque site. “Mais… les navigateurs web proposent bien cette fonction, n’est-ce pas ?” Oui, mais ce n’est absolument pas chiffré, donc dans un navigateur, vos mots de passe sont stockés en clair ! L’avantage du chiffrement, c’est la sécurité. Ensuite, il y a le principe essentiel d’avoir un mot de passe qui n’a rien à voir avec les précédents déjà crées.

Jennifer-lawrence-pub-Apple-Pay

Jennifer Laurence ne sera peut être pas l’ambassadrice de la nouvelle Apple Watch.

Car c’est bien là le problème : que fait un hacker quand il trouve une combinaison gagnante email/mot de passe ? Il l’essaie partout, sur tous les sites possibles. Dans bien des cas, si je me fie aux personnes que j’ai interrogées, le hacker aurait facilement piraté toute leur vie numérique : l’accès à leur compte iCloud ou Google Play, à Facebook, Twitter, LinkedIn et j’en passe… Et là, c’est le drame : comme votre email (qui sert de dernier rempart) avait aussi le même mot de passe de base, c’est foutu ! Plus moyen de revenir en arrière et d’annuler quoi que ce soit, le mal est fait. Une épreuve particulièrement difficile à vivre, mais qui est largement sous-estimée à chaque fois.

Alors que les cas de hacking et de fishing envers les particuliers se multiplient, les logiciels de gestion de mots de passe sont devenus vitaux en 2014. Je n’ai aucune action ni participation dans ces sociétés éditrices de tels logiciels, mais j’ai vu trop de cas catastrophiques pour ne pas tirer la sonnette d’alarme. Certains d’entre vous écrivent leurs mots de passe dans un fichier Excel non chiffré, d’autres font de têtes des variantes de mots de passe selon le site… J’en ai vu de toutes les couleurs, et tout cela n’est pas sérieux.

Au delà du gestionnaire de mot de passe, il y a un autre maillon essentiel qu’il faut vérifier : les fameuses “questions secrètes”. C’est notamment comme ça que Jennifer Lawrence et d’autres stars se sont faites avoir. En effet, c’est aussi de là que vient la négligence : “quel est le nom de votre chien ?” vous demande t-on dans une question secrète. Quand celui ci a déjà été mentionné 50 fois publiquement sur Facebook, vous voyez à quel point le filet de sécurité est inexistant…  Et bam, une question secrète révélée. Il en suffit d’une seconde question dans le même genre et c’en est fini pour votre mot de passe, il peut être remis à zéro.

Même s’il n’y a aucune star parmi nous, il est tout de même essentiel que le commun des mortels ait des mots de passe forts. Parce qu’il est très facile d’amasser des données de milliers de personnes lambda en les piratant, et que ces données valent très cher. Oui, même les vôtres. Vous n’y croyez pas ? Demandez plutôt à ce jeune étudiant italien qui a décidé de les vendre au plus offrant. Il a proposé de vendre ses données de navigation contenant 6 mois d’historique web. Ces données listaient bien sur tous ses goûts, loisirs et préférences. Il a approché plusieurs sociétés qui achètent et vendent ces profils au kilo. Vous savez combien il a récolté pour ces 6 mois de données ? Vous pensez qu’il aurait pu acheter un smartphone avec cet argent ? Allez, réfléchissez… Il les a vendu pour plus de 2700$ ! Ca fait une belle petite somme, non ? Que de beaux gadgets technologiques et autres produits de maroquinerie on peut s’offrir avec ça ! 2014 marque une autre rupture entermes économiques : celle où les données incluses dans un smartphone d’un citoyen lambda vaut plus cher que l’appareil lui-même.

Il est donc plus que temps de réagir. Regardez quels sont les gestionnaires de mots de passe que vous préférez, mais ne restez pas avec password1234 comme mot de passe universel. Plus personne n’a d’excuse aujourd’hui pour ne pas se protéger efficacement. Les sécurités sont fortes, les interfaces faciles, et le prix très abordable, voire gratuit. Comme on le dit souvent concernant les nouvelles technologies, le point faible se trouve souvent entre le clavier et la chaise… Prenez donc un peu de temps pour être plus serein à l’avenir. Même Odile Deray l’aurait fait 😉

Quelques liens ci-dessous, n’hésitez pas à donner votre avis sur ces logiciels dans les commentaires.

1Password

Dashlane

LastPass

Keepass

1 Response

  1. 21 janvier 2015

    […] le répètera jamais assez, ayez un gestionnaire de mot de passe qui vous protège efficacement ! J’en avais parlé ici et comparé le marché existant. Pour ceux qui ‘en ont cure, sachez que les hackers et le […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *