Comment choisir un bon mot de passe ? - l'équipe Rat-DIO
Chère lectrice, cher lecteur, Vous nous demandez régulièrement ce qu'est un bon mot de passe, combien de caractères ? 8 ? 10 ? 15 ? une passphrase ? pas facile de s'y retrouver.
L'antenne RAT-DIO vous propose de faire le point sur ce sujet.
L'Agence Nationnale de la Sécurité des Systèmes d'Information évalue un mot de passe dans son guide datant de 2021 [1]: - Faible à moyen : entre 9 et 11 caractères --> un compte sur un site web quelconque sans information personnelle - Moyen à fort : entre 12 et 14 caractères --> un site web contenant des informations peu sensibles - Fort à très fort : au moins 15 caractères --> Votre boite mél, les sites de e-commerce, la banque, votre PC, etc.
Et bien entendu composé de majuscules, minuscules, chiffres et caractères spéciaux.
Ce à quoi, il faut rajouter les bonnes pratiques générales : - Chaque mot de passe doit être unique. - Il doit être changé régulierement. - Il ne doit pas contenir de mot du dictionnaire, le subterfuge du mot dont on remplace le a par @ le i par ! n'est pas non plus une recommandé. - Ne pas utiliser d'information personnelle comme sa date de naissance, le prénom de ses proches, son département, etc. - Il ne doit pas être noté et encore moins traîner sur le bureau. - Il ne doit pas être communiqué. - Toujours changer le mot de passe par défaut !
Pfff! c'est facile à dire, mais difficilement réalisable !!! Nous avons peut être une solution à vous proposer (voir chapitre Solution), mais avant analysons plus en détail l'origine de ces bonnes pratiques.
Le nombre de caractères et leur variété
Ce point est simple, plus il y a de caractères plus il devient compliqué de trouver le bon mot de passe. Si on augmente la variété, soit minuscule, majuscules, chiffres et caractères spéciaux, on multiplie bien entendu le nombre de possibilités. D'où les contraintes souvent imposées lors de la création d'un mot de passe.
ex. de calcul pour 3 caractères : - uniquement de chiffres soit 10 caratères possibles (de 0 à 9) exposant 3 caractères, 103 = 1000 possibilités - uniquement 26 lettres minuscules de l'alphabet, 263 = 17576 possibilités - lettres minuscules + majuscules, soit 26 * 2 caractères (26 + 26)3 = 140 608 possibilités - minuscules + majuscules + chiffres, (26+26+10)3 = 238 328 possibilités - minuscules + majuscules + chiffres et 32 caractères spéciaux les plus utilisés, (26+26+10+32)3 = 830 584 possibilités
Les caractères spéciaux étant : !"#$%&'()*+,-./:;<=>?@[]^_{|}~
En s'imposant de piocher dans le plus grand ensemble de caractères pour un mot de passe de 3 caractères, on obtient 830 584 possibilités, soit bien plus que les 10 000 possibilités de votre PIN de carte bancaire, ou les 1 000 du pictogramme de cette même carte.
Pour un mot de passe LDAP, celui utilisé à l'Observatoire de Paris pour se connecter aux boites de courriels, chiffré avec la norme Linux SSHA, on teste par force brute entre 10 et 500 millions de possibilités par seconde. Ceci sur un ordinateur standard, sans recourir aux grappes de calcul ni aux GPU. On peut donc trouver un mot de passe de 6 caractères en quelques minutes. Vivement l'arrivée de la grappe GPU pour affiner les chiffres ! Nous serons probablement en mesure de trouver un mot de passe de 8 caractères en moins d'un jour contre 140 jours actuellement.
Conclusion : 8 caractères c'est insuffisant ; 9 et 10 trop faible si on possède du bon matériel ; 12 et plus sont les valeurs à atteindre.
Pour aller plus loin, une calculette est disponnible ici : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
Pourquoi bannir les mots du dictionnaire ?
Si les bonnes pratiques sont appliquées, alors il devient difficile voire impossible dans un temps court de trouver le mot de passe par force brute. Il devient compliqué voire impossible de trouver les mots de passe de 10, 12 caractères et plus, mais les personnes mal intentionnées se sont adaptées ! Plutôt que de tester toutes les possibilités, elles vont tenter les plus utilisées, autrement dit un mot du dictionnaire. Entre le français et l'anglais, avec environ 100 000 mots on couvre une large partie du dictionnaire. C'est donc plus facile de trouver un mot du dictionnaire, même le fameux "anticonstitutionnellement" qu'un mot de passe de 3 caractères aléatoires. Les outils des pirates se sont adaptés pour tester tous les mots du dictionnaire.
Il existe des listes complètes avec toutes les langues, villes (y compris celles du nord-est de la France particulièrement appréciées dans les mots de passe !), noms de personnes célèbres, prénoms et cerise sur le gateau, les mots de passe les plus utilisés, le tout pour environ 5 millions de possibilités. Les outils permettent aussi la jointure de plusieurs dictionnaires, donc 2 mots du dictionnaire ne résolvent pas le problème, p. ex. le classique "beausoleil".
5 000 000 de possibilités ? Pour vous aidez à imaginer la puissance de calcul nécessaire pour le trouver, c'est 1 seconde de calcul sur un téléphone Poco X3 à 200€ neuf en 2021...
Vous avez toujours envie d'utiliser un simple mot du dictionnaire ?
Pourquoi éviter les dérivés des mots du dictionnaire ?
Ne fuyez pas, on ne va pas faire de maths ! Dériver un mot du dictionnaire consiste à remplacer les lettres d'un mot en incorporant des caractères spéciaux. Ex : "mygale" peut être dérivé en "M!g@le"
C'est simple à retenir et c'est plus efficace qu'un mot du dictionnaire. Mais... là aussi les personnes mal intentionnées se sont adaptées. Comme il est presque impossible de retenir de nombreux mots de passe aléatoires, on se doute que les dérivés sont utilisés.
Et là aussi les outils ont progressé, ils vont tester les dérivés des mots du dictionnaire. Ils vont aussi tester ce même dictionnaire avec la première lettre du mot en majuscule. Les phrases commencent par des majuscules, naturellement les mots de passe aussi !
Pourquoi éviter les informations personnelles ?
Si les techniques précédentes n'ont pas fonctionné, la personne mal intentionnée va s'adapter, encore... Elle va attaquer le problème différemment. Elle va chercher qui vous êtes, car naturellement on aime bien mettre dans son mot de passe le nom d'une ville magnifique qu'on a visité, ou le nom des ses enfants ou de son conjoint, c'est tellement plus facile à retenir.
Il existe des outils pour créer un dictionnaire de mots à partir d'informations collectées automatiquement sur le web, ensuite on dérive comme on l'a vu un peu plus haut et on teste facilement beaucoup de possibilités.
Ex : pour une personne de l'Observatoire, puisque je sais où elle travaille, puisque je sais qu'il s'agit d'un établissement qui rayonne dans le domaine des sciences de l'univers, je vais tester les planètes, les mots classiques comme éclipse et je vais dériver en ajoutant les départements, des dates : pluton75! Pluton75! Observatoire2023! observatoire2023! Observ@toire2023 eclipse1999! bellelune66% (Pluton n'est certes plus une planète, mais le mot de passe n'est pas recommandé pour autant !)
Le grand classique, c'est un mot du dictionnaire avec la première lettre en majuscule suivi de 2 chiffres (ou 4 pour une date) et un caractère spécial à la fin, majoritairement le point d'exclamation. Si vous êtes dans ce cas que ce soit pour les mots de passe professionnels comme personnels, il est temps d'envisager son remplacement.
Évitez donc les prénoms des proches, les dates, les villes, les termes des sciences de l'univers, les mots contenus dans vos publications qui sont extrêmements simples à collecter pour un robot informatique malveillant etc. Eh oui, on peut aussi créer un dictionnaire de mots à partir de Wikipédia ou de certains sites. Dans ce cas, pourquoi ne pas exploiter les publications des scientifiques dont les abstracts sont publics et accessibles gratuitement ? Si vous êtes adepte des réseaux sociaux, que vous partagez vos passions, ne les utilisez pas dans vos mots de passe !
Chaque mot de passe doit être différent
C'est une recommandation assez peu respectée car il est impossible de retenir des dizaines de mots de passe différents. Mettez des mots de passe différents a minima sur les comptes importants qu'ils soient professionnels ou personnels tel que votre session d'ordinateur, vos boites de courriels, les sites de e-commerce surtout si vous êtes joueur au point de laisser votre carte bancaire enregistrée sur le site commerçant, etc.
Pourquoi ? Si un jour votre mot de passe est compromis, il sera compliqué de le changer partout et accessoirement vous aurez donné l'accés à tous vos comptes. Là aussi une personne mal intentionnée, si elle le récupére suite à un phishing ou autre, va rapidement tester Amazon, CDiscount, Netflix, webmail.obspm.fr, etc. etc.
Et plus vous le ré-utilisez, plus il a de risque d'être compromis.
Le piège classique, c'est le mot de passe récupéré sur un site web qui s'est fait compromettre, souvent parce que le site n'est pas maintenu à jour. On absorbe la base de données et on déchiffre ; si les mots de passe sont stockés en clair, c'est encore plus facile. Ne pensez pas qu'en 2023, il n'existe plus de sites qui stockent les mots de passe en clair... D'ailleurs c'est souvent ces mêmes sites qui ne sont pas à jour non plus.
Imaginons qu'un jour l'Observatoire de Paris soit compromis, que l'annuaire qui contient les mots de passe des comptes (appelé LDAP) soit subtilisé. Les donnés sont chiffrées, certes, mais il est quand même possible d'utiliser des outils de force brute, comme vu précédemment, à raison de plusieurs millions de tests par seconde.
Nous avons réalisé un test en juillet afin d'évaluer ce risque, nous sommes en mesure de déchiffrer en moins d'une minute sur un simple portable Mac M1 50 mots de passe. Si votre informaticien de proximité vous a contacté récement pour vous demander de durcir votre mot de passe, vous savez désormais pourquoi 
L'hygiène des mots de passe
On recommande également de considérer les mots de passe comme des sous-vêtements et de respecter la même hygiène (pour ceux qui en ont, of course :
- On les change régulièrement (tous les jours ?)
- On ne les prête pas
- On ne les laisse pas traîner surtout au bureau (à noter qu'en télétravail cette pratique est également déconseillée)
Changer le mot de passe par défaut
Un mot de passe par défaut n'est pas toujours aléatoire, il est régulièrement connu d'une ou plusieurs personnes, il convient donc de le changer le plus rapidement possible. À l'Observatoire de Paris, 10 % des mots de passe ne sont pas changés par l'utilisateur après la création du compte informatique. C'est pourquoi la DIO vient de fournir un outil aux informaticien de proximité, afin qu'ils puissent détecter ces comptes. Dans la pratique, ce sont principalement les CDD, les stagiaires et les comptes extérieurs qui sont concernés. Soyez vigilants si vous êtes responsable d'un agent. La sécurité informatique est l'affaire de tous, We need YOU !
Les Solutions
La passphrase
Pour générer un très bon mot de passe d'apparence aléatoire, la dérivation à partir d'une phrase facile à retenir est une excellente technique.
Imaginons la phrase suivante :
De plus, c’est un bon mot de passe pour l’observatoire.
Ne gardez que les premiers caractères, soupoudrez d'une pointe d'imagination et vous pouvez obtenir :
2+,71bm2pPlOBS.
Et vous obtenez un très bon mot de passe qui est facile à retenir.
Attention toutefois, cette technique existe depuis de nombreuses années, éviter donc les répliques célèbres des films.
Comment retenir les mots de passe?
Comme le RSSI de l'Observatoire est un vrai poisson rouge, il nous a donné une astuce qui fonctionne pour lui, donc à n'en pas douter, elle fonctionnera pour tout le monde. Il suffit d'installer un coffre-fort comme l'application KeePass qui est recommandée par l'ANSSI (KeePassXC sous linux/MAC). Il vous suffit dès lors de retenir uniquement le mot de passe de cette application (la combinaison du coffre-fort dans l'analogie) dans laquelle seront stockés tous vos mots de passe. Les mots de passe sont alors écrits dans un fichier chiffré sur votre disque dur ce qui est bien mieux qu'un fichier Excel. Si vous changez d'ordinateur, il vous suffit récupérer ce fichier et vous retrouverez tous vos mots de passe. Cette application est aussi capable de vous générer des mots de passe aléatoires dont vous pouvez vous-même définir la force, alors autant en profiter ! Il existe également des plugins pour interfacer votre navigateur tel que firefox/brave/chrome avec votre base KeePass, afin de l'utiliser plus facilement (plugin KeePassXC-Browser). Attention toutefois : l'utilisation de ce type de plugin peut introduire des failles de sécurité si les applications concernées ne sont pas à jour (plugin, navigateur principalement).
N'hésitez pas à en parler avec votre service informatique !
L'antenne “Rédaction d’Article Technophile de la DIO” (RAT-DIO) vous souhaite une bonne reprise.
[1] https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf Longueur des mot de passe page 28 Coffre fort numérique type KeePass page 34 Recommandation utilisateur pages 35 et 36