Faille "Heartbleed" : comment sécuriser mes mots de passe ?

Si vous souhaitez changer de mot de passe après la faille "Heartbleed", c'est le moment de lire cet article.

En matière de mot de passe, votre premier ennemi est votre entourage.
En matière de mot de passe, votre premier ennemi est votre entourage. (PETROVICH9 / GETTY IMAGES)
France Télévisions

Mis à jour le
publié le

C'est le moment de faire le ménage sur vos comptes internet. Après la découverte, lundi 7 avril, d'une importante faille de sécurité dans un logiciel de cryptage utilisé par la moitié des sites, il est grandement conseillé de changer les mots de passe de vos boîtes mails, comptes Facebook et autres services en ligne.

Baptisée "Heartbleed" ("cœur qui saigne"), cette faille touche certaines versions d'OpenSSL, un logiciel libre très utilisé pour les connexions sécurisées sur internet. Après vous avoir expliqué comment réagir à la faille "Heartbleed", francetv info vous explique la meilleure manière de sécuriser vos mots de passe.

Dans quels cas un mot de passe est-il compromis ?

En matière de mot de passe, votre premier ennemi est votre premier cercle. Cette petite amie jalouse, ce collègue d'open space qui ne peut s'abstenir de se pencher par-dessus votre épaule quand vous tapez au clavier. Ils pourraient même en savoir déjà assez sur vous pour accéder en toute impunité à vos mails, sans même avoir besoin d'un quelconque mot de passe. Tout simplement en répondant à votre place à la fameuse "question de sécurité". Ce champ qui vous permet (ainsi qu'à n'importe qui), en répondant à une question personnelle, de récupérer un mot de passe oublié. "Quel est le nom de votre animal de compagnie ? Quelle est la commune de naissance de votre mère ?" Étrangement, les formulaires d'inscription en ligne ne posent jamais la seule question qui vaille : combien sont-ils autour de vous à pouvoir répondre à cette question anodine ? Vous êtes sûr de la moralité de vos proches. Dont acte.

Vous êtes encore à la merci d'une faille de sécurité, du genre qui a touché Sony en 2011. Un pirate accède à la base de données d'un serveur dans lequel sont stockés les couples "identifiant/mot de passe" des utilisateurs, et parfois même leurs coordonnées bancaires. Le cas est rare, mais ne vous pouvez rien y faire.

Enfin, il y a le pirate isolé et la méthode dite d'attaque "par force brute". Elle consiste à briser votre code à l'aide d'un logiciel, en essayant successivement toutes les combinaisons possibles, jusqu'à tomber sur le sésame. Là encore, vous êtes assez démuni. Tout ce que vous pouvez faire, c'est rendre l'opération aussi longue et fastidieuse que possible.

Comment mesurer la force de votre mot de passe ?

Vous êtes-vous déjà demandé combien de temps il faudrait à un hacker amateur équipé d'un PC standard pour déjouer votre mot de passe ? Il existe toute une série d'outils en ligne pour le mesurer, à commencer par le bien nommé How secure is my password ? (en anglais). A titre d'exemple, si votre mot de passe est "12345" – le plus populaire lors des jeunes années du web – son espérance de vie est de quelques secondes seulement. Si vous optez pour "kimdotcom", soit 9 caractères alphanumériques, il ne faut pas plus de 22 minutes à un pirate amateur pour s'en affranchir. En revanche, si vous aviez opté pour "k1mD0T©0m", en remplaçant certaines lettres par des chiffres et des caractères spéciaux,  et en alternant minuscules et majuscules, vous auriez pu ajouter 433 ans d'espérance de vie aux 22 minutes d'origine.

Comment choisir le bon mot de passe ?

On peut déduire de cette expérience une règle simple. Plus votre mot de passe est compliqué, plus il est délicat de le trouver. Les vrais geeks mesurent la force d'un mot de passe en terme de "bits". Un mot de passe contenant 4 caractères numériques, comme votre code PIN, présente une force de 13 bits. Un mot de 8 caractères est évalué à 38 bits. Mais les experts en informatique considèrent qu'en dessous de 100 bits, votre mot de passe est d'une faiblesse affligeante.

Vos mots de passe doivent donc être longs. La plupart des sites recommandent un minimum de 8 caractères, mais comptez-en au moins 14 pour être tranquille. Ils doivent contenir aussi bien des chiffres que des lettres, des caractères spéciaux et des espaces, des majuscules et des minuscules. Et surtout, évitez les mots du dictionnaire. A ce titre, les fautes d'orthographe et une grammaire incertaine, une fois n'est pas coutume, sont chaudement recommandées. Si vous manquez d'imagination, il existe plusieurs générateurs de mots de passe aléatoires, de WolframAlpha (en anglais), un moteur de recherche spécialisé dans les questions mathématiques complexes, au plus ludique Password Bird (en anglais). Mais combien d'entre nous sont capables de retenir une suite de 14 caractères en tous genres ?

Portables et smartphones, ces deux talons d'Achille

Si nous sommes nombreux à utiliser les mots de passe les plus compliqués pour nos accès en ligne, dès lors qu'il s'agit de notre ordinateur portable, notre date de naissance jouit encore d'une popularité difficile à expliquer. C'est encore pire s'agissant de nos smartphones, trop souvent protégés par un simple code PIN (13 bits). La plupart des mobiles vous proposent aujourd'hui bien d'autres options de verrouillage, du mot de passe le plus complexe au motif à dessiner sur son écran tactile, en passant par la reconnaissance faciale pour les modèles les plus récents. En abandonnant pour de bon le code PIN, vous pourrez même mettre en échec le FBI (en anglais). Il en va de même pour votre laptop. Ces outils sont cruciaux dans notre sécurité, dans la mesure où ils offrent un accès libre à nos comptes email et, par rebond, à la plupart de nos services web.

Comment retenir efficacement ses mots de passe ?

La première approche consiste à écrire sur un bout de papier ou dans un fichier texte la liste de vos mots de passe. C'est sans doute la plus mauvaise solution. Quiconque y accède peut s'approprier votre vie toute entière. Mais cela reste moins risqué que d'utiliser le même mot de passe pour tous vos services web. Si vous devez absolument en passer par-là, commencez par vous inventer une "clé de cryptage" maison, par exemple "-2". C'est elle que vous devrez retenir pour décrypter, le moment venu, vos propres mots de passe. Au moment de coucher sur papier vos codes d'accès, vous leur appliquerez ce facteur -2. Ainsi, le mot de passe "Kim2529dOtCom", deviendra "Igk0307bMrAmk". Ou, pour faire plus simple, "12345" deviendrait "90123".

La seconde option passe par un logiciel de type gestionnaire de mots de passe. Il stockent pour vous, généralement en ligne ou sur une clé USB, tous les mots de passe que vous utilisez au quotidien et soulagent d'autant votre mémoire. Le risque évident, c'est déjà arrivé, est que les serveurs de votre gestionnaire soient à leur tour compromis.

LastPass, un logiciel gestionnaire de mots de passe.
LastPass, un logiciel gestionnaire de mots de passe. (LASTPASS)

La dernière option, la plus sûre, est de ne faire confiance qu'à votre seul cerveau. Une façon de procéder consiste à n'utiliser que des dérivés d'un mot de passe "maître", en utilisant une clé différente pour chaque service web consulté. Partez d'une phrase toute faite, qui, on le répète, martyrise idéalement la grammaire et l'orthographe en alternant majuscules et minuscules : "mOnmOdpAssèsUpAIrE" (une espérance de vie proche de celle du soleil) et remplacez la première et la dernière lettre ou chiffre par les initiales du service concerné. Par exemple GM pour Gmail, ou FB pour Facebook.

Derniers conseils avant de vous lancer

Veillez à changer régulièrement vos mots de passe, même si c'est fastidieux. Les experts les plus méticuleux, l'Agence nationale de la sécurité des systèmes d’information (PDF) en tête, recommandent de le faire tous les 90 jours. Une fois par an serait déjà une excellente résolution. Evitez à tout prix de cocher les cases "se souvenir de moi" ou "connexion automatique" dans vos formulaires d'identification en ligne. Après avoir utilisé un ordinateur public, pensez toujours à vider le cache du navigateur internet.

Pensez à supprimer vos données de navigation si vous avez utilisé un ordinateur public.
Pensez à supprimer vos données de navigation si vous avez utilisé un ordinateur public. (FRANCETV INFO)

Enfin, n'envoyez jamais de mot de passe par mail, chat ou SMS. Et lorsque vous recevez un mail de la part d'un des services web que vous utilisez, préférez toujours renseigner manuellement leur URL dans votre navigateur plutôt que de suivre le lien qui vous est proposé. C'est la seule façon efficace de se préserver du phishing, qui consiste pour les pirates à se faire passer pour d'autres en vous renvoyant vers un site fictif, dont le seul but est de vous inviter à entrer vos identifiants pour mieux vous en délester. C'est d'ailleurs le cas le plus courant de vol d'identité.