Comment créer des mots de passe forts facilement

Aujourd’hui encore, nous avons besoin de créer des mots de passe. Ce sont les gardiens de notre vie privée, de nos données et dans le monde du crypto art, de nos crypto monnaies, de nos portefeuilles et de nos précieux NFTs. De nouvelles technologies voient le jour, intégrant la biométrie pour résoudre le problème de la multiplication des mots de passe et de leurs faiblesses. Mais pour l’heure, ils sont toujours d’actualité et les statistiques montrent que nous continuons à répéter de grosses erreurs. Alors si tu veux savoir comment créer et gérer des mots de passe de façon simple et sécurisée, reste ici.

Statistiques déplorables pour se motiver

Pour te motiver un peu sur l’importance de cet article, voici quelques chiffres et mythes qui ont la vie dure, et restent franchement alarmant.

• Prévalence de mots de passe faibles : le pire mot de passe est aussi le plus commun, il s’agit de « 123456 ». Et c’est terrible, mais 96% des mots de passe communs peuvent être crackés par des logiciels d’hacking en moins d’une seconde.
• Impact des mots de passe faibles : plus de la moitié des utilisateurs avoue utiliser des informations personnelles dans leurs mots de passe comme des dates de naissance ou de noms. La pratique est répandue même si 89% des utilisateurs avoue reconnaître les risques.
• Réutilisation de mot de passe : 69% des utilisateurs reconnaissent réutiliser le même mot de passe pour plusieurs applications. Et seulement 12% utilisent des mots de passe unique.

Ensuite, quelques mythes qu’il convient de rappeler. J’essaierai de vous convaincre du contraire dans l’article.

• Mythe : complexité = sécurité : mais si les modèles sont prévisibles et qu’on ajoute des données personnelles, ça ne sert à rien
• Mythe : changer souvent de mot de passe est sécurisé : c’est vrai, encore faut-il éviter de tourner sur les mêmes, donc il faut en créer de nouveaux, il faut donc se reposer sur d’autres bonnes pratiques
• Mythe : une note physique, c’est sécurisé : beaucoup pensent que garder ses mots de passe sur papier est plus sécurisé que de façon numérique, mais ça dépend énormément de la façon dont on les stocke

Bon, maintenant qu’on a posé le décor, on va pouvoir passer à la pratique 🙂 Ce qui est cool, c’est que c’est aujourd’hui très facile de se créer des mots de passe sécurisés et on n’a même pas besoin de se rappeler tous nos mots de passe.

Des générateurs pour créer des mots de passe

On a notre disposition pléthore de générateurs de mots de passe 🙂 Alors pourquoi s’en priver ?

Voici un petite liste :

• Générateur de la CNIL (Commission Nationale Informatique et Libertés) : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide, il propose une pratique intéressante : à partir d’une phrase qui doit remplir certains critères, génère un mot de passe avec les débuts de mots,
  • facile à retenir
• Lastpass : https://www.lastpass.com/fr/features/password-generator, qui est un coffre-fort à mot de passes en ligne, il propose 2 options « facile à lire », « facile à dire », mais je ne les ai pas trouvées terribles. En revanche on peut configurer ce qu’on veut : longueur, chiffre, majuscule, caractères spéciaux
  • configurable
• Dashlane : https://www.dashlane.com/fr/features/password-generator, similaire à Lastpass sans les fonctions de lecture facile, mais le générateur est disponible en haut de page, ce qui est plus pratique que Lastpass où il faut scroller et chercher le générateur
  • pratique
• Keepass : https://keepass.info/download.html qui est une application de bureau (il existe aussi une version web pour une synchro avec les mobiles, mais je ne l’ai pas testée, visible ici : https://keepass.fr/)
  • le plus sécurisé, mais le moins pratique, réserver pour les mots de passe les plus importants (clés privées, clés
• Navigateur : Chrome, Brave, Firefox, Edge, Opera, tous les navigateurs propose de générer et conserver les mots de passe. Pour ma part j’utilise la fonction sur Chrome et Brave. Cela permet d’avoir ses mots de passe enregistrés
  • rapide, simple et pratique
• Le gravage sur support physique : ce qui a vu le jour avec la blockchain, permet de sécuriser sa clé privée / seed phrase Bip39 / phrase de récupération (tous ces noms sont équivalents), exemples : https://amzn.to/443rNVP
  • + : très robuste, résiste aux catastrophes naturelles (feu, eau, impacts de balles pour certains)
  • – : demande une sécurisation physique, coffre-fort par exemple

Techniques simples et mnémotechniques

Si utiliser les générateurs n’est pas votre truc ou que vous avez tendance à oublier les URL ou de ne pas les enregistrer dans vos favoris, ou simplement, car vos favoris sont juste devenus un vaste fourre-tout sans nom, comme c’est un peu le cas chez moi (il faut que je m’en occupe, … un jour …). Dans, ces cas, cela devient indispensable d’obtenir une méthodologie pour créer des mots de passe forts et simples à retenir. Vous pouvez aussi vous rappeler mon blog et revenir ici consulter ce super article 🙂

La méthode que je préfère et que je conseille est la suivante : utiliser une phrase et la mixer avec du leet speak. Vous allez me dire, ok, mais qu’est-ce qu’il me raconte là 🤔 ? Je sais faire des phrases, mais c’est quoi le leet speak ? Le leet speak, c’est une technique de chiffrement très simple (quoique parfois c’est devenu un art) qui propose de représenter des lettres par d’autres lettres. C’est une technique ancienne inventée par les hackers de la fin des années 80 pour discuter entre eux sans qu’on les comprenne, ou en tout cas pour donner du fil à retordre aux newbies, aux noob, aux néophytes. Pour un peu plus d’histoire des exemples assez complexes, tu peux aller sur wiki.

Pourquoi est-ce que j’aime le leet speak ? Certains mots en leet speak sont vraiment très graphiques, ils me font penser à des tags ou du graph. Et ça me rappelle ma découverte d’internet et certains forums, « underground » que je consultais début 2000. Ça me rappelle les films Hackers et Cybertr@que 🙂

leet speak en codage de base: l33t 5p34k

leet speak en codage élevé : |_ 33¯|¯ _/¯|°3/-\|<

Pour faire simple, on remplace des lettres par d’autres. Et il y a un moyen très simple que j’utilise, sans pousser la pratique trop loin et pour rester simple :

• changer les E en 3
• changer les A en 4

éventuellement

• changer les S en 5

Et ça suffit. Cela vous garantit d’avoir des chiffres dans vos mots de passe et de ne pas trop vous embrouiller pour vous en souvenir.

Pourquoi mixer avec une phrase ? Simplement pour ajouter de la longueur. Car plus le mot de passe est long, plus il sera compliqué de le craquer par force brute. Le brut force est une méthode de déchiffrement par essai. On tente chaque combinaison les unes après les autres. Plus le mot de passe est court et plus la machine est puissante, moins il faut de temps pour trouver la réponse.

Il ne reste plus qu’à trouver une bonne phrase : poétique, inspirante, motivante, chantante. Vous avez l’embarras du choix. J’aime bien les phrases type motivation ou objectif, car à chaque fois qu’on tape notre mot de passe, on se remémore notre objectif, ce qui pourrait avoir la faculté de nous le faire atteindre plus vite.

Outils de gestion de mots de passe

Quand on doit gérer un mot de passe, ça peut aller. Deux mots de passe ? Ca passe. Mais déjà à partir de 3, ça commence à nous faire suer, et que vois-je venir ? Le mot de passe numéro 1 ? Bah oui, je l’ai utilisé ailleurs, il est fort, et je m’en rappelle, alors autant le réutiliser ? Mais rappelez-vous des erreurs du début. Ne faîtes pas partie des 69% qui utilisent le même mot de passe partout. Pour quelle raison ? Simplement parce que si on le découvre, tous vos comptes sont compromis.

C’est là que les gestionnaires de mots de passe arrivent à la rescousse ! Qu’ils soient en ligne comme lastpass, dashlane, intégrés au navigateur ou des applications de bureau type Keepass, ils offrent plus de sécurité et de confort que de créer des mots de passe nous-même. C’est leur métier de créer des mots de passe et de les sécuriser, donc ils le font bien. Votre travail à vous, ce sera de créer un mot de passe très fort. Le mot de passe qui va sécuriser les autres. Et pour ce travail, le paragraphe précédent est d’une aide précieuse.

Ce que j’apprécie en maintenant, c’est l’ajout d’une couche biométrique dans la sécurisation des mots passe généré pas Chrome. Nos mots de passe sont enregistrés chiffrés dans le navigateur. Et il faut notre empreinte ou notre visage (Windows Hello par exemple) pour en déverrouiller l’accès. Alors, oui, Windows Hello peut être un peu embêtant. Oui, sur mon Microsoft Surface 5, il est un peu mou. Mais, bon, j’accepte ce petit inconvénient car je me dis que mes mots de passe sont mieux gardés ainsi.

Ce que vous pouvez faire, c’est mixer quelques techniques, comme je l’ai dit plus haut en présentant différents générateurs : utiliser par exemple le navigateur pour stocker des mots de passe qui vous semblent ne pas nécessiter un cryptage et une sécurité militaire. Et aller sur des solutions plus robustes et moins connectées pour les mots de passe et données les plus sensibles. Par exemple : utiliser keepass pour les clés d’api et les clés privées de portefeuille crypto + stocker le fichier sur une clé pour éviter de l’exposer sur votre ordi. Si vous vous faites pirater, vous êtes sûr de ne pas avoir vos clés sur l’ordi. Même si le fichier est chiffré et protégé par un mot de passe fort.

Dernier conseil TRES IMPORTANT pour les clés d’API. Si vous faites du développement : NE JAMAIS COMMITER DES CLES D’API OU CLES PRIVEES. Toujours mettre le .env dans le .gitignore. Commencer par ça quand on crée une appli. Encore plus si vous êtes sur un dépôt public. Et si vous créez un .env : utilisez-le, n’allez pas vous amuser à coller vos clés privées (API, Wallet) directement dans le code. À moins que vous ne vouliez vous faire dévaliser.

Renforcement des mots de passe

J’en ai un peu parlé au dessus, les mots de passe seuls peuvent être vulnérable. Alors pour augmenter la sécurité, je vous conseille d’utiliser le 2FA. 2FA est l’acronyme de 2 Factor Authentication. Ce qui signifie, Authentification à 2 facteurs. Cela veut simplement dire qu’en plus du mots de passe on va ajouter une deuxième méthode d’authentification, en générale très personnelle pour s’assurer d’avoir la bonne personne en face de nous. Les banques le font toutes, vous avez un couple identifiant + mot de passe et en plus on vous demande :

• un code envoyé par sms
• une empreinte biométrique (visage, doigt)
• un code via une application d’authentification (type google Authenticator)

Le futur de l’authentification

Aujourd’hui, on conserve le mot de passe. Je pense que c’est uniquement historique et qu’à l’avenir, on ne sera plus contraint du tout d’avoir des mots de passe. Car ils sont des moyens finalement faibles de protection. Nos données biométriques sont plus sécurisées car elles sont uniques et ne peuvent pas se partager d’une personne à l’autre. Elles authentifient de façon très forte une personne. Par exemple, j’ai utilisé uniquement la biométrie sur mon site de coworking : https://coworkatome.com/. J’utilise pour ça la technologie Webauthn intégrée au navigateur. Et j’ai remarqué que plusieurs banques l’utilisent aussi. C’est un protocole standardisé par le W3C et la FIDO Alliance.

Le protocole Webauthn ressemble à RSA et repose sur la cryptographie à clé asymétrique.

1. Génération de clés et enregistrement :
   • Bob s’enregistre auprès de l’authentificateur Alice en créant une paire de clés : une clé privée, qu’il garde secrète et protège (potentiellement avec des mesures biométriques comme son empreinte), et une clé publique qu’il enregistre auprès d’Alice.
2. Authentification :
   • Lorsque Alice veut s’assurer de l’identité de Bob, elle génère un challenge cryptographique (un paquet de données aléatoires) et l’envoie à Bob. Ce challenge n’est pas chiffré avec la clé publique de Bob ; il est simplement un paquet de données que Bob doit utiliser pour prouver son identité.
   • Bob reçoit le challenge et utilise sa clé privée pour signer ce challenge, créant ainsi une réponse signée.
3. Vérification :
   • Bob renvoie la réponse signée à Alice.
   • Alice utilise la clé publique de Bob, qu’elle a enregistrée lors de la phase d’enrôlement, pour vérifier la signature. Si la signature est validée, cela signifie que la réponse a été signée avec la clé privée correspondante de Bob, prouvant ainsi son identité.
4. Sécurité du protocole :
   • La communication entre Bob et Alice peut être chiffrée pour plus de sécurité, mais l’essentiel dans WebAuthn est que Bob prouve qu’il possède la clé privée correspondant à la clé publique enregistrée chez Alice, sans jamais exposer sa clé privée.

En résumé, WebAuthn utilise la cryptographie asymétrique pour que l’utilisateur prouve son identité sans transmettre sa clé privée. Alice ne chiffre ni ne déchiffre rien avec ses propres clés pendant le processus d’authentification; elle vérifie simplement la signature créée par Bob.

Sécurité des mots de passe gérés par le navigateur

Comme je l’ai dit plus haut, j’aime beaucoup utiliser la génération de mots de passe pour le côté pratique. Depuis peu, sur chrome, les mots passe sont même sécurisés par une protection biométrique. Le navigateur propose de chiffrer nos mots de passe avant de les enregistrer. On peut aussi via le menu trois points verticaux > Mots de passe et saisies automatiques > Configurer le chiffrement sur l’appareil. On peut également exporter / importer nos mots de passe ici : https://passwords.google.com/options?ep=1. Et la page d’accueil de gestion de mots de passe propose un check up sur l’ensemble des mots de passe, chrome://password-manager/passwords. Le check up dira par exemple si on a utilisé plusieurs fois le même mot de passe, s’ils ont été compromis, et quels sont les mots de passe faibles.

Sécurité des wallets crypto

Pour finir, je voulais dire quelques mots surt la sécurisation des Wallets Crypto. En tant que crypto artiste, il est indispensable de créer un mot de passe fort pour accéder au portefeuille. J’ajouterai qu’il faut en plus créer un autre mot de passe fort pour sécuriser sa clé privée.

Dans le cas d’un hot wallet type plugin de navigateur, les clés privées sont stockées dans le navigateur. Et on ouvre le wallet avec un mot de passe. Il faut sécuriser ce mot de passe :

• avec la technique de la phrase présenter plus haut, si on veut se rappeler du mot de passe pour ouvrir le wallet rapidement.
• ou en créant un mot de passe fort (typiquement plus de 16 caractère, avec un mix minuscules, majuscules, nombre et caractère spéciaux) qu’on peut demander à un stockeur de mots de passe (en ligne ou en local). J’ai une préférence pour le local : keepass.

En plus, avec Keepass, on va pouvoir stocker aussi notre seed phrase. Au choix : on fait 2 keepass :

• un premier fichier keepass (.kdb ou .kdbx) pour créer des mots de passe qu’on peut garder sur une clé usb et la brancher quand c’est utile
• un seconde fichier sur une clé aussi pour les seed phrase qu’on peut sécuriser ailleurs.

Enfin, pour sécuriser la seed phrase, on peut utiliser le gravage sur support physique. Ce qui a vu le jour avec la blockchain, permet de sécuriser sa clé privée / seed phrase Bip39 / phrase de récupération (tous ces noms sont équivalents), exemples : https://amzn.to/443rNVP

• + : très robuste, résiste aux catastrophes naturelles (feu, eau, impacts de balles pour certains)
• – : demande une sécurisation physique, coffre-fort par exemple