Total Tests:

De l'importance de bien choisir ses mots de passe

By Jérôme Zimmermann et Laurence Froidevaux for rts.ch
Friday, May 5, 2023

Par l'intermédiaire de la campagne de sensibilisation S-U-P-E-R.ch, les autorités chargées de la sécurité et leurs organisations partenaires veulent donc attirer l'attention sur les risques inhérents aux mots de passe faibles et démontrer comment protéger ses accès de manière optimale.

Des logiciels de gestion de mots de passe

Des logiciels permettent de gérer ses mots de passe et, ainsi, de se simplifier la tâche. "Il y en a qui sont intégrés sur certains téléphones ou certaines plateformes – Apple, par exemple. D'autres logiciels sont autonomes", indique jeudi dans l'émission On en parle Stéphane Koch, vice-président d'ImmuniWeb SA et expert en sécurité de l'information.

Ces logiciels sont une sorte de coffre-fort à mots de passe. "Il y a deux méthodes pour stocker ses données: soit dans le cloud, soit sur un support physique, par exemple le disque dur de son ordinateur. Dans le cloud, cela fait parfois un peu peur. Malgré cette impression de perte de données, ce n'est pas tellement le cas. Cela revient à louer une chambre dans un immeuble. Le propriétaire a les clés qui permettent de rentrer dans l'immeuble, mais il n'a pas la clé de votre chambre. Il n'y a que vous qui avez cette clé", illustre Stéphane Koch.

Et la clé de cette chambre, c'est le mot de passe. On n'y coupe pas: celui-ci devra être retenu… Et puisqu'il donne accès à tout le reste du trousseau, il doit absolument être fiable. Le but: "éviter qu'on puisse fracturer la serrure", selon Stéphane Koch.

Automatisation de la sécurité

Ce type d'outils a l'avantage de générer automatiquement les mots de passe. Il suffit de préciser certains paramètres, tels que le nombre de caractères. "La plupart des mots de passe sont impossibles à retenir, mais le gestionnaire va le faire pour vous", assure l'expert. "Quand vous vous rendez sur la plateforme sur laquelle vous devez insérer le mot de passe adéquat, le gestionnaire vous le propose."

Notons toutefois un désavantage. Les logiciels sur support physique sont dépendants de ce dernier. Perdez ou cassez votre ordinateur et les données sont perdues, note Stéphane Koch. Ceux qui sont stockés en ligne ne rencontrent pas le même problème. "Si on perd un périphérique, on peut récupérer l'accès depuis un autre", souligne-t-il.

Il indique également que l'utilisation d'une authentification forte, qui implique l'insertion d'un code de validation après avoir donné son mot de passe, est une condition sine qua non à l'utilisation d'un gestionnaire. Selon lui, ce type de sécurité devrait être utilisé pour protéger l'accès à nos comptes en ligne.

10PierReQuiroulenamAssepasmoussE!!!

Stéphane Koch livre aussi sa recette personnelle pour créer un code fiable: "Pour créer un mot de passe qui soit facile à retenir mais quand même complexe, on peut essayer 'une phrase de passe'. C'est, par exemple, une expression idiomatique. Je prends 'pierre qui roule n'amasse pas mousse'. Je commence avec 10 en chiffres. Je mets une ou deux majuscules dans les mots et je finis avec trois points d'exclamations."

Cela donnera donc (les exemples sont infinis): 10PierReQuiroulenamAssepasmoussE!!!

Stéphane Koch ajoute une autre recommandation: il ne faut pas mettre d'informations personnelles dans le mot de passe, en cas de fuite de celui-ci.

Sécurité boostée

Et pour encore plus de sécurité, on peut également opter dans certains cas pour une authentification à deux facteurs ou une reconnaissance par données biométriques, par exemple l'empreinte digitale ou la reconnaissance faciale.

Une autre possibilité est l'arrivée des "passkeys" ou clé d’accès, qui sont proposées pour les comptes Google depuis mercredi. Pour se connecter, il est désormais possible de choisir sa méthode d’identification. Le mode "clé d’accès" créé une clé cryptée qui est stockée sur le téléphone. La connexion doit ensuite être validée par l'authentification faciale, l'empreinte digitale ou un code. Sur un ordinateur, le système requiert de scanner un QR code.

"Néanmoins, il faudra encore du temps pour que toutes les plateformes soient compatibles avec ce type d'authentification", relève Stéphane Koch. "Le mauvais réflexe serait de se dire que l'on va attendre que ce système soit actif, plutôt que de prendre des mesures pour renforcer la sécurité de ses accès. Aujourd'hui, le gestionnaire de mots de passe et la double identification sont la norme et les 'passkeys' une alternative qui s'installe peu à peu dans notre environnement numérique", développe le spécialiste en sécurité de l'information. Read Full Article


Book a Call Ask a Question
Close
Talk to ImmuniWeb Experts
ImmuniWeb AI Platform
Have a Technical Question?

Our security experts will answer within
one business day. No obligations.

Have a Sales Question?
Email:
Tel: +41 22 560 6800 (Switzerland)
Tel: +1 720 605 9147 (USA)
*
*
*
*
Your data will stay private and confidential