Guide des bonnes pratiques

Introduction

Les mots de passe : obligatoires mais détestés par la grande majorité des utilisateurs.

C’est un véritable casse-tête du quotidien. Nous pourrions penser que cela concerne les profils d’un certain âge, mais il n’y a aucun rapport. Que vous soyez jeune ou senior, peut-être vous êtes-vous déjà surpris en train de soupirer à la vue d’une page web vous demandant votre identifiant et votre mot de passe.

Pour simplifier les choses, beaucoup ont des solutions de facilité, comme enregistrer automatiquement leurs mots de passe dans le navigateur, réutiliser le même partout, ou pire encore, conserver une liste dans un fichier Excel ou sur une note mise dans un tiroir ou sur le mur à post-it à côté du bureau.

D’autres pensent être protégés grâce à leur empreinte digitale, la reconnaissance faciale ou le mot de passe de leur session Windows ou Mac. Pourtant, ces outils ne remplacent pas une véritable stratégie de gestion sécurisée des identifiants.

Au moins une fois par semaine, je suis en contact avec un utilisateur en bataille avec ses mots de passe. Je me suis donc juré d’écrire une sorte de "tuto" utile à tous.

Dans cet article, je vais vous expliquer concrètement, sans langue de bois, comment je gère plus de 150 mots de passe au quotidien de manière simple, sécurisée, sans réutilisation risquée ni perte d’accès à mes comptes.

Ainsi, vous pourrez reproduire la même chose l’esprit tranquille tout en étant certain d’user de bonnes pratiques modernes de sécurité.

Excel n’est pas conçu pour stocker vos mots de passe

Cette pratique est encore largement utilisée en entreprise, même dans les grosses structures, et elle est hautement risquée.

Beaucoup pensent qu’ajouter un mot de passe à un fichier Excel suffit à le rendre sûr. Les versions modernes d’Excel proposent certes un mécanisme de chiffrement assez robuste, mais le problème, c’est qu’un fichier Excel n’a jamais été conçu pour servir de "coffre-fort" à mots de passe.

Disons-le clairement : chiffrer un fichier Excel, c’est bien pour protéger votre travail du regard de vos collègues, mais ça s’arrête là.

Deuxièmement, un des problèmes de fond est que votre fichier peut être partagé, transmis par mail, copié sur une clé USB. En somme, il peut être récupéré en un clic. Si cela se produit, vous aurez beau l’avoir chiffré, vous aurez des sueurs froides, et à juste titre.

Il y a également fort à parier que votre fichier soit synchronisé automatiquement via votre compte Microsoft et OneDrive, parfois sans même que vous y prêtiez attention, et c’est très souvent le cas en entreprise avec les politiques de synchronisation mises en place dans les environnements Microsoft 365 (je dis ça en connaissance de cause).

Autrement dit, ce que vous pensiez stocker uniquement sur votre ordinateur peut également exister ailleurs, sur le cloud ou sur d’autres appareils connectés à votre compte.

De ce fait, sans même avoir accès à votre ordinateur ou au serveur de votre entreprise sur lequel se trouve votre fichier Excel, quelqu’un qui parvient à se connecter à votre compte Microsoft a juste à télécharger votre fichier à distance.

Toutes ces problématiques réunies augmentent ce que l’on appelle en cybersécurité la "surface d'exposition". Votre fichier devient une cible de grande valeur.

Vous l’aurez donc compris, et toute la communauté "cyber" vous remercie par avance : arrêtez de stocker vos mots de passe sur un fichier Excel.

Le stockage dans le navigateur

Faut-il stocker les mots de passe dans le navigateur ?

C’est mieux qu’Excel, c’est sûr, mais ce sujet est plus complexe. Un professionnel de la cybersécurité peut l’utiliser, mais il mettra souvent en pratique des mesures de sécurité complémentaires autour.

Le problème du particulier, c’est qu’il enregistre tous ses mots de passe juste pour ne plus ressentir d’effort mental, sans se soucier de protections additionnelles quelconque.

Les navigateurs modernes chiffrent vos mots de passe. Jusque-là, tout va bien. Mais le problème d’un navigateur, c’est que c’est beaucoup de surface exposée, il exécute beaucoup de choses sans que vous le voyez et les angles d’attaque sont divers.

Par exemple, le simple téléchargement d’une extension malveillante pourrait théoriquement compromettre ce qui est stocké dans votre navigateur.

Les solutions "passwordless"

En ces temps modernes, les technologies d’authentification se sont largement démocratisées : reconnaissance faciale, empreinte digitale, clés de sécurité physiques, applications d’authentification, notifications push ou encore passkeys.

Certaines de ces technologies permettent de remplacer totalement le mot de passe traditionnel (solution "passwordless"). D’autres servent surtout à renforcer une authentification déjà existante grâce à un mécanisme de double authentification (2fa), c’est généralement le cas pour les applications d’authentification et les notifications push.

L’objectif ? Fluidifier l’expérience utilisateur tout en renforçant la sécurité des comptes. Il y a à boire et à manger, il y en a pour tous les goûts, et chacun y mettra de son grain de sel pour dire que telle ou telle technologie est meilleure qu’une autre.

Dans tous les cas, ici, nous sommes loin du stockage sur Excel. Bien implémentées, ces technologies peuvent même être plus sûres qu’un mot de passe faible réutilisé sur plusieurs sites.

Le problème, selon moi, est que les solutions remplaçant totalement le mot de passe restent parfois complexes pour des utilisateurs peu à l’aise avec l’informatique.

Elles sont sécurisées, mais aussi plus dépendantes d’un environnement technique précis : téléphone, ordinateur, application dédiée ou "appareil de confiance".

Cela peut paraître être du détail, mais n’importe quel professionnel exerçant des tâches de support IT comprendra le problème suivant :

Nous vivons à une époque où les utilisateurs sont rebutés par les mots de passe (généralement car la personne n’a pas un profil "informatique"), ou ont pour certains déjà du mal à renseigner un couple identifiant / mot de passe, et ces mêmes utilisateurs se mettent alors à utiliser des technologies plus complexes en tant que solution de remplacement au mot de passe.

En pratique, cela signifie que la sécurité devient alors dépendante d’un écosystème technique que beaucoup ne maîtrisent pas réellement.

C’est contre-intuitif, et pourtant une réalité très fréquente.

L’utilisateur finit souvent par appeler le support lorsque son ordinateur ne fonctionne plus ou lorsqu’il est confronté à vouloir configurer la solution de connexion sur un nouvel ordinateur (ici encore, je dis ça en connaissance de cause).

La technologie biométrique

Parlons justement de l'authentification biométrique, très répandue.

Peut-être utilisez-vous votre pouce pour déverrouiller votre portable, ou scannez-vous votre visage pour valider une opération bancaire ? Dans ce cas, vous utilisez un système d’authentification biométrique.

Dans la majorité des systèmes modernes, votre empreinte digitale ou votre visage ne sont pas directement envoyés aux services auxquels vous vous connectez. Ces données biométriques servent généralement à déverrouiller un mécanisme de sécurité stocké localement sur votre appareil, lequel permet ensuite de confirmer votre authentification auprès du service concerné.

Cela reste malgré tout des données hautement sensibles. C’est pourquoi il est important de rester vigilant sur les appareils utilisés, les méthodes d’authentification et les services auxquels vous accordez votre confiance.

De manière générale, je déconseillerais à mon prochain de faire une utilisation systématique et unique de l’empreinte digitale ou de la reconnaissance faciale. Pour les raisons précédemment évoquées, et, contrairement à un mot de passe, elles ne peuvent pas être modifiées facilement.

Le fait qu’une donnée biométrique soit difficile à modifier ne signifie pas qu’elle constitue automatiquement une protection suffisante à elle seule.

Un attaquant n’a pas besoin de modifier votre méthode d’authentification pour poser problème : il lui suffit de parvenir à accéder à votre compte (et la biométrie n’est pas infaillible).

À mes yeux, la biométrie doit être considérée comme une couche de sécurité supplémentaire, et non comme une solution magique. La Cnil insiste d’ailleurs sur cette distinction.

Si on pense sécurité (c’est l’objet de cet article et ce que je cherche à vous transmettre), nous allons chercher à limiter les risques de manière stratégique, ce qui implique généralement de faire l’usage de plusieurs couches d’authentification.

C’est justement ce qui nous amène au sujet suivant : la double authentification.

La double authentification (2FA)

Vous avez certainement déjà entendu parler de "2FA" (Two-Factor Authentication) ou "MFA" (Multi-Factor Authentication). La distinction entre les deux est simple :

• 2FA : double authentification ;
• MFA : double authentification ou plus.

Toute 2FA est une forme de MFA, mais toute MFA n’est pas forcément limitée à deux facteurs.

En définitive, tous les comptes gérant des données plus ou moins sensibles, avec un accès à une carte bancaire (Amazon, Microsoft, Adobe, Edf, France Travail, etc.) devraient être sécurisés avec de la double authentification (2FA).

Les grandes entreprises en sont de plus en plus conscientes, et les plus sérieuses l’imposent (sans surprise). Ce n’est pas pour vous embêter, c’est juste normal. Elles se protègent légalement tout en vous protégeant au mieux.

Par "double authentification", on entend par là que vous saisissiez d’abord votre mot de passe et qu’ensuite vous utilisiez un second mécanisme pour prouver en quelque sorte que c’est bien vous qui êtes à l’origine de l’opération.

Cela apporte une double protection : votre mot de passe est la porte d’entrée. Votre mécanisme de double authentification est votre filet de sécurité au cas où votre mot de passe serait compromis.

Les choix de double authentification les plus courants sont :

• un code reçu par e-mail ;
• un code reçu par SMS.

Il y a d’autres options, mais là c’est déjà plus fastidieux pour les profils non informatiques :

• saisir le code de validité courte qui s’affiche sur une application tierce (Google Authenticator par exemple) ;
• saisir votre code d’accès à votre compte bancaire pour les validations de transaction en ligne ;
• utiliser une clé de sécurité physique reliée à votre ordinateur.

Gardez à l’esprit que le code reçu par e-mail reste généralement considéré comme moins robuste que les applications d’authentification ou les clés physiques (compromission de la boîte mail, interception du code), mais ne vous alarmez pas non plus.

En ce qui me concerne, j’utilise tous ces mécanismes dans mon quotidien personnel comme professionnel. Je vais même jusqu’à utiliser des mécanismes complémentaires d’authentification pour certains outils professionnels.

Sécuriser ses comptes, c’est une question d’habitude : à la longue on n’y réfléchit plus, cela devient un automatisme, et surtout, les risques de piratage sont considérablement réduits.

Par expérience, je peux témoigner du fait que vous aurez toujours des "sensationnalistes" pour vous dire que la double authentification est obsolète, qu’avec certaines stratégies d’attaque un compte peut être piraté.

Aucune solution n’est parfaite, mais dans le monde réel, la double authentification reste aujourd’hui l’un des meilleurs rapports simplicité / sécurité disponibles pour le grand public.

Et surtout, quand il s’agit de faire passer les "sensationnalistes" à l’action, il n’y a plus personne.

Quel mot de passe choisir ?

Justement, un bon mot de passe ne se choisit pas (ou alors vous écrivez une phrase). Il est :

• valable pour un seul compte ;
• suffisamment long ;
• imprédictible ;
• aléatoire.

Dans l’idée, c’est celui que vous ne pouvez pas retenir, sauf après l’avoir tapé plusieurs centaines de fois. Et vous le verrez plus loin dans cet article : vous ne taperez jamais vos mots de passe (sauf rares exceptions).

Vous l’aurez compris : il faut en finir avec les mots de passe de 8 à 10 caractères, constitués du prénom, la date de naissance et du caractère spécial préféré. Ce n’est pas une caricature, c’est ce qui se produit encore de nos jours dans bien des grandes entreprises !

Par expérience, je dirais que les plus belles cibles pour un attaquant sont les utilisateurs avec des mots de passe courts prédictibles, et / ou les comptes partagés entre plusieurs utilisateurs (ce qui augmente le risque que quelqu’un fasse une erreur).

Les piratages de comptes partagés sont plus fréquents qu’on ne le pense, généralement puisque, comme il est partagé, il est plus compliqué d’y imposer une double authentification (car ça gêne les autres utilisateurs du compte), surtout quand l’équipe n’a pas un profil informatique.

Le compte en question utilise en général un mot de passe peu robuste, court et prédictible, et surtout, les utilisateurs se le transmettent par écrit ("en dur" dit dans le jargon) via leurs adresses mail respectives.

Autrement dit : un attaquant parvient à récupérer une boîte mail de l’un des utilisateurs, fouille les mails, et c’est la boîte de Pandore.

Maintenant que nous avons fait le tour de ce qui pose vraiment problème dans la gestion moderne des mots de passe, passons aux bonnes pratiques, réparties en deux étapes.

Etape 1 : Génération d’un mot de passe aléatoire

J’utilise au quotidien le site suivant pour générer mes mots de passe aléatoires :

https://www.dashlane.com/fr/features/password-generator

Vous cochez la case "symbols", vous ajustez la longueur de votre mot de passe, et vous avez un mot de passe valable, quel que soit le site, le logiciel ou l’application.

N’oubliez pas que votre mot de passe ne doit pas être trop court, mais il ne doit pas être trop long non plus pour la raison suivante :

Même si les systèmes modernes acceptent généralement des mots de passe très longs, certains sites ou anciennes applications imposent encore un nombre maximum de caractères autorisés.

En théorie, vous pourriez utiliser un mot de passe de plusieurs centaines de caractères si vous voulez vous amuser, mais dans la pratique cela n’apporte pas grand-chose au quotidien, et peut parfois poser des problèmes de compatibilité selon les services utilisés.

C’est pour cette raison que mes mots de passe font généralement 25 caractères. Ce n’est ni trop, ni trop peu, et totalement réaliste quant aux attentes de sécurité modernes.

Etape 2 : Utilisation d’un gestionnaire de mots de passe

Un gestionnaire de mot de passe sert à retenir tous vos mots de passe pour vous, de manière sécurisée. L’idée est que vous ayez un mot de passe maître pour vous connecter à celui-ci, et il vous donne ensuite accès à tous vos mots de passe renseignés.

Intuitivement, vous vous dites alors que ce n’est pas plus sécurisé que tout ce que nous avons vu précédemment dans cet article. En un sens, le gestionnaire devient effectivement une "cible critique".

C’est le débat central autour des gestionnaires de mots de passe.

Et pourtant, les professionnels de la cybersécurité recommandent l’usage d’un gestionnaire de mots de passe pour les pratiques quotidiennes.

Pourquoi ? Parce qu’il reste énormément plus sécurisé que les pratiques humaines classiques.

Le terme "pratiques humaines" est ici très important, car c’est très généralement l’épicentre des causes de piratages. Le vrai problème dans cette histoire, c’est l’humain.

Sans gestionnaire, la majorité des utilisateurs :

• réutilisent leurs mots de passe ;
• utilisent des mots de passe faibles ;
• stockent leurs mots de passe dans Excel, le navigateur, sur des post-it, des mails, des notes ;
• oublient leurs mots de passe ;
• désactivent la Mfa;
• utilisent des variantes prévisibles.

Et ça, c’est catastrophique à grande échelle.

Le vrai raisonnement cybersécurité n’est pas "est-ce invulnérable ?", car rien ne l’est, mais "est-ce plus sécurisé que les comportements humains habituels ?". Et la réponse est : oui, très largement.

L’utilisation d’un gestionnaire requiert cependant certaines conditions au préalable :

• votre mot de passe maître doit être extrêmement robuste ;
• la Mfa est indispensable ;
• votre poste de travail doit être sécurisé (on oublie les ordinateurs qui n’ont pas eu de mise à jour depuis de longs mois) ;
• vous devez être conscient et rester vigilant vis-à-vis du "phishing" (attaque par ingénierie sociale) ;
• vous devez verrouiller votre session quand vous ne l’utilisez plus.

Gestionnaire "local" ou "cloud" ?

Par "local", ça signifie que le gestionnaire est sur votre ordinateur. Par "cloud", on entend qu’il soit disponible à distance.

Honnêtement, il n’y a pas d’avis tranché à avoir, et libre à vous d’utiliser l’un ou l’autre.

Néanmoins, pour rester aligné avec l’objectif de cet article, qui est d’insuffler une prise de conscience tout public sur la gestion des mots de passe, je parlerai ici du modèle cloud uniquement.

Le modèle local présente certains avantages car jugé un peu plus sécurisé (puisque tout reste en local), mais il demande aussi davantage de compétences techniques à long terme.

Par ailleurs, j’estime qu’un utilisateur capable d’utiliser un gestionnaire de mots de passe en local n’apprendra pas ou peu de choses de cet article.

Bitwarden

Il existe plein de gestionnaires de mots de passe, mais renseignez-vous avant de prendre le premier venu.

Me concernant, j’utilise Bitwarden : moderne, efficace, avec une très bonne réputation. C’est tout ce que l’on recherche en protection des données.

Vous pouvez faire beaucoup de choses avec : créer des mots de passe aléatoires, stocker des données sensibles autres que les mots de passe, stocker des pièces jointes, partager des données avec des contacts ciblés, etc.

Honnêtement, je n’utilise pas tout, libre à vous d’en faire l’usage que vous voudrez par la suite.

Ce qu’il y a de plus important à retenir, c’est que Bitwarden fonctionne sur un modèle dit "zero knowledge" :

• les données sont chiffrées avant d’être envoyées aux serveurs ;
• il ne connaît pas votre mot de passe maître ;

En somme, même Bitwarden ne peut pas lire vos mots de passe.

C’est exactement le type de fonctionnement attendu d’un gestionnaire moderne.

Rendez-vous donc sur le lien suivant et créez-vous un compte :https://bitwarden.com/

Pour votre mot de passe maître, vous pouvez utiliser une phrase longue et robuste contenant de la ponctuation, ce qui permet généralement de mieux la mémoriser.

Une autre approche consiste à générer un mot de passe aléatoire, puis à conserver une copie de secours dans un endroit que vous devez être seul à connaître.

Une fois votre compte créé, sachez que par défaut, Bitwarden vous déconnecte de votre session au bout de 15 minutes sans activité. Selon votre utilisation, il peut être judicieux de modifier le délai.

Dans ce cas, rendez-vous dans la section "paramètres" puis "sécurité", et enfin dans l’onglet "expiration de la session".

Autrement, toujours dans la section "paramètres", la toute première chose que je vous invite vivement à faire est de vous rendre dans l’onglet "authentification à deux facteurs" et de mettre en place le mode de double authentification de votre choix.

Pour les modes de double authentification autre que le mail et le SMS, des codes de récupération vous seront probablement fournis. Surtout, stockez-les bien, sur une clé USB par exemple. Ces codes peuvent vous permettre de récupérer l’accès à votre compte en cas de perte ou de vol de votre appareil.

Ensuite, votre compte est prêt à être utilisé.

Si vous êtes amené à gérer plusieurs dizaines voire centaines de mots de passe, prenez l’habitude de classer vos mots de passe par dossier.

Dans ce cas, rendez-vous dans la section "coffre", puis cliquez sur l’onglet "nouveau" en haut à droite de votre écran, et sélectionnez "dossier" et choisissez son nom.

Puis, pour enregistrer votre premier mot de passe, rendez-vous dans la section "coffre", puis cliquez cette fois-ci sur l’onglet "nouveau", et sélectionnez "identifiant".

Je vous recommande de donner un nom à votre enregistrement, par exemple le nom du site concerné, puis mettez-y l’identifiant (email, pseudo, etc.) que vous utilisez pour le site en question, et enfin, indiquez-y le mot de passe associé.

De cette manière, vous avez vos mots de passe classés par dossier, et vous savez en un coup d’œil comment vous y retrouver dans tous vos enregistrements.

Transmettre un mot de passe de manière sécurisée

Maintenant que vous êtes sensibilisé à la gestion de vos mots de passe, il nous reste à aborder le sujet de la transmission de ceux-ci.

Ici, pas de secret, les professionnels It ou de la cybersécurité procèdent de la même manière : ils utilisent pour beaucoup des "liens à usage unique".

Ils ne peuvent être ouverts qu’une seule fois, ils ont une durée de validité courte, et ils expirent rapidement dans le temps.

Ainsi, très peu de chances pour un attaquant d’ouvrir le contenu d’un lien déjà ouvert, ou d’ouvrir un lien qui traîne quelque part et n’ayant jamais été ouvert.

Il y a toute une panoplie de sites vous permettant de générer ces liens.

Pour l’exemple, je choisis d’en présenter un qui vous permet d’indiquer directement combien de temps vous souhaitez que le lien reste actif.

Rendez-vous sur le site suivant :https://onetimesecret.com/

Le fonctionnement est volontairement très simple : vous renseignez le secret à transmettre, choisissez éventuellement une durée d’expiration, puis partagez le lien généré.

Conclusion

Le sujet de la gestion des mots de passe, qui peut paraître simple ou évident de prime abord, ne l’est en réalité pas du tout.

N’oubliez jamais le plus important derrière tout cela : une excellente gestion des mots de passe restera insuffisante si vous tombez dans le piège d’une attaque d’ingénierie sociale, comme le phishing.

Soyez particulièrement vigilant vis-à-vis des e-mails que vous recevez, car ils sont aujourd’hui l’une des principales portes d’entrée de ce type d’attaque.

Dans le doute, privilégiez toujours l’accès à un service depuis sa source officielle plutôt qu’en cliquant directement sur un lien reçu par mail ou par message.

Ne négligez pas non plus la mise à jour de vos appareils. Sans mise à jour, votre appareil est davantage exposé aux attaques en tous genres.

Enfin, évitez de vous connecter à des comptes sensibles dans des endroits où le Wi-Fi est public.

C’est le constat d’une recrudescence des mauvaises pratiques autour des identifiants et des mots de passe qui m’a poussé à écrire cet article.

J’espère qu’il pourra être utile au plus grand nombre.