View in

English

Faire confiance à sa mémoire ou à un gestionnaire numérique 

Il faut faire autant attention à ses mots de passe qu'aux clefs de sa voiture ou de son logement, qu'à sa carte de crédit ou à son smartphone

|

Le mot de passe, c'est la clef qui ouvre la porte de notre vie numérique. Nous avons un mot de passe Facebook pour garder contact avec nos amis, Instagram pour partager nos photos, Amazon et PayPal pour faire des achats, iCloud (ou similaire) pour stocker nos photos, nos vidéos et notre musique, et enfin un mot de passe « NICE » pour nos activités professionnelles au CERN. Ne pas protéger son mot de passe, c'est se rendre vulnérable. C'est donner la possibilité à une personne mal intentionnée d'en apprendre énormément sur notre vie privée (et professionnelle !). C'est laisser quelqu'un fouiller dans nos affaires, et ce, à notre insu. On comprendra dès lors aisément qu'il faut faire autant attention à ses mots de passe qu'aux clefs de sa voiture ou de son logement, qu'à sa carte de crédit ou à son smartphone, sous peine de graves conséquences sur notre vie.

Un bon mot de passe est facile à retenir, est unique pour chaque service numérique, n'a jamais été communiqué à qui que ce soit et est suffisamment complexe pour ne pas pouvoir être deviné par un humain ou un outil informatique (notamment en utilisant des attaques dites par dictionnaire, qui consistent à essayer des mots du dictionnaire ou des combinaisons de mots). Malheureusement, « facile à retenir », « unique » et « suffisamment complexe » sont des notions qui peuvent paraître contradictoires. Difficile parfois de se souvenir de dizaines de mots de passe et de se rappeler à quels sites ils correspondent. Si nos grands-mères n'avaient aucun mal à mémoriser nombre de numéros de téléphone, c'est autrement plus difficile pour nous. Pourtant, il existe bien quelques moyens mnémotechniques :

  • choisir un extrait d'une chanson ou d'une poésie et utiliser la première lettre de chaque mot. Par exemple « Maître Corbeau, sur un arbre perché, tenait en son bec un fromage. », qui devient « MC,suap,tesbuf. » ;
  • utiliser une longue phrase telle que « Maître-Corbeau-Sur-Un-Arbre-Perché-Tenait-En-Son-Bec-Un-Fromage. » ou une formule mathématique comme « sin^2(x)+cos^2(x)=1 » ;
  • alterner les minuscules et les majuscules, et intercaler des consonnes et des voyelles, pour créer des mots dépourvus de sens, qui sont généralement prononçables, et donc faciles à retenir. Par exemple, « Weze-Xupe » ou « DediNida3 » ;
  • choisir deux mots courts (ou un mot long que l'on segmente) et intercaler des signes de ponctuation ou des chiffres. Par exemple, « p1gu1+v0lant » ou « ordI!!NAteuR ».

La chose la plus simple à faire est évidemment de réduire le nombre de mots de passe que l'on utilise. Par exemple, ceux des comptes Google ou Facebook peuvent être utilisés pour des services que les deux géants ne proposent pas. Par ailleurs, le CERN travaille activement à la mise en place d'une gestion fédérée des identités, solution qui permettrait d'utiliser l'identifiant et le mot de passe CERN pour accéder à des services numériques d'autres instituts et universités, et vice versa. Qui plus est, rien ne vous empêche d'utiliser des mots de passe faciles comme « 123456 » pour des sites où vous ne publiez rien de personnel, qui ne présentent aucun risque financier et sur lesquels une personne mal intentionnée ne peut pas vous nuire (par exemple lorsque vous vous inscrivez à une lettre d'information). Et s'il s'agit de sites que vous consultez rarement et que vous oubliez votre mot de passe, vous n'avez qu'à en générer un nouveau.

Pour des services numériques plus importants, l'utilisation d'un gestionnaire de mots de passe, qui permet de stocker tous vos mots de passe et de les protéger avec un mot de passe maître, long et complexe, peut s'avérer judicieuse. Il en existe plusieurs sur le marché : « Lastpass » , « Keepass » , « Trousseau » d'Apple, voire le gestionnaire de mots de passe intégré d'Internet Explorer, de Firefox, de Safari (par exemple le « Trousseau » d'Apple) ou de Chrome. Mais avant de commencer à les utiliser, mieux vaut s'assurer que l'on veut bien mettre tous ses œufs dans le même panier. Si l'appareil qui exécute le gestionnaire de mots de passe est compromis, tous les mots de passe pourraient l'être aussi, et pas uniquement ceux qui ont été saisis récemment sur cet appareil. Si le gestionnaire est mal conçu ou s'avère vulnérable, tous les mots de passe sont à risque. Enfin, si vous perdez l'appareil concerné, vous ne pourrez plus faire appel qu'à votre mémoire. Sans compter le risque de perte de contrôle, car certains logiciels, « Lastpass » par exemple, stockent les mots de passe sur un « nuage ». Au bout du compte, il vous appartient de peser le pour et le contre entre « praticité » et « risque ». 

Quel que soit votre choix, il peut s'avérer judicieux d'opter pour l'authentification multifacteur lorsque c'est possible. Vous l'utilisez déjà pour vos transactions bancaires en ligne, ainsi que sur Google, Facebook et Twitter. D'autres sites offrent eux aussi ce type de protection. L'authentification multifacteur sera bientôt mise en place au CERN pour les accès privilégiés aux services informatiques, le réseau technique et les transactions financières (voir l'article du Bulletin intitulé « Sécurité informatique : améliorer votre mot de passe »).


Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.