À la suite de nombreux piratages et de la publication de gigantesques dépôts de mots de passe, où figurent plus de 226 millions d’adresses électroniques et de mots de passe différents, plusieurs entreprises de sécurité informatique se sont une nouvelle fois interrogées sur la naïveté de l’humanité, l’imprudence des enfants du numérique et sur la difficulté pour le cerveau humain de mémoriser des mots de passe. On trouvera ci-après la liste des mots de passe qui revenaient le plus souvent dans les dépôts en question ou dans d’autres dépôts similaires — des mots de passe qu’on peut beaucoup trop facilement deviner :
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
La faute aux utilisateurs !
Ce n’est pas si simple en fait. Malheureusement, les internautes qui surfent sur le World Wide Web doivent aujourd’hui constamment s’enregistrer, même pour accéder aux informations les plus triviales : bulletins d’information, téléchargements de logiciels gratuits, etc. Pour pouvoir lire un article de presse ou lancer un téléchargement, les sites web demandent un nom d’utilisateur, une adresse électronique et un mot de passe, et ce, même si on n’envisage pas de revenir sur le site. Ces mots de passe ne sont que de simples pseudos, des jetons, sans véritable vocation de protection puisqu’il n’y a rien à protéger ; ils servent uniquement à des fins d’enregistrement. En pareils cas, comme il n’y a rien qui mérite d’être protégé, les mots de passe simples mentionnés précédemment conviennent parfaitement. Votre mot de passe pourrait même être une suite de caractères saisis au hasard, et si vous l’oubliez, la fonction « réinitialiser mon mot de passe » vous permettra de vous reconnecter.
Une autre solution, encore plus adaptée à ces cas, consiste à utiliser la fonction « enregistrer le mot de passe » de votre navigateur. Firefox, par exemple, détecte les champs de mot de passe et, à chaque création d’un nouveau compte, vous propose un mot de passe généré de manière aléatoire, qu’il mémorise pour vous dans son gestionnaire de mots de passe intégré. Notez que d’autres navigateurs web peuvent avoir des fonctionnalités similaires. Il est également possible de se connecter avec son compte Facebook ou Google* — ce que de plus en plus de sites web autorisent.
Toutefois, lorsque vous avez des données confidentielles à protéger (des photos ou des documents, par exemple), notamment sur Facebook, Dropbox ou au CERN, lorsque vous devez saisir des données financières (sur Amazon ou votre banque en ligne, par exemple), lorsque vous communiquez en privé avec vos proches (sur Instagram, Signal ou Twitter, par exemple), ou lorsque, d’une manière générale, vous avez à traiter des informations sensibles, un mot de passe sûr, long, complexe et sophistiqué est indispensable. Il est préférable d’utiliser une grande variété de lettres, de symboles et de chiffres. Idéalement, le mot de passe choisi ne devrait pas figurer dans un dictionnaire (quelle qu’en soit la langue) ni être facile à deviner ; évitez ainsi d’ajouter « 2021 » pour l’année. De même, remplacer, dans le mot que vous avez choisi, « E » par « 3 » ou « S » par « 5 » pour brouiller les pistes ne sert à rien, car les programmes de craquage de mots de passe prennent en compte ces variations. En conclusion, la meilleure solution est de choisir une phrase passe, c’est-à-dire une séquence de mots comme « InXanaduDidKublaKahnAStatelyPleasure DomeDecree! » ou une formule mathématique comme « a^2+b**2=sqr (c) » — faites preuve de créativité. Pour plus de recommandations sur ce sujet, consultez la page d’accueil du site de l’équipe chargée de la sécurité informatique du CERN. Et si jamais tout cela ne marche pas et que votre cerveau bogue, vous pouvez toujours utiliser un bon gestionnaire de mots de passe !
L’équipe chargée de la sécurité informatique du CERN continuera d’analyser les nouvelles failles touchant des bases de données de mots de passe ou tous les nouveaux recueils de mots de passe publiés (les fameux dépôts de mots de passe). Si votre adresse électronique CERN, ou toute autre adresse électronique externe enregistrée au CERN, y figure en combinaison avec un mot de passe ou un condensé numérique de mot de passe, vous recevrez une notification vous avertissant que votre mot de passe a été découvert. Ce message devrait en principe également contenir l’origine de la faille, c’est-à-dire le site web sur lequel le mot de passe a été enregistré. Cette information n’est hélas pas systématiquement disponible — si elle ne figure pas dans le courriel reçu, il est inutile de nous contacter à ce sujet. Pour savoir si votre adresse électronique a déjà été l’objet d’une intrusion via de nombreux dépôts publics de mots de passe, vous pouvez consulter le site « have i been pwnd? ».
En 2021, une nouvelle amélioration concernant l’utilisation des mots de passe sera mise en œuvre au CERN. Tout d’abord, le CERN envisage de mettre fin à l’obligation de changer de mot de passe une fois par an. À la place, le système de notification susmentionné vous invitera à modifier votre mot de passe dès que celui-ci apparaîtra comme ayant fait l’objet d’une intrusion. Et, en parallèle, le CERN poursuivra la mise en place de l’authentification à deux facteurs. Ce sujet sera traité dans un prochain article du Bulletin.
*Cette solution pourrait vous permettre de réduire la quantité de comptes qu'il vous faut créer, mais, comme c'est le cas pour la plupart des services en nuage, les avantages pratiques sont généralement neutralisés par des atteintes à la vie privée. Utiliser son compte Facebook ou Google pour se connecter à des services externes fournit à ces deux géants de la technologie des données supplémentaires leur permettant de suivre votre activité en ligne.
_____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.