Bien sûr, il est tentant de vouloir tout mettre sur le dos de la victime. En mai, un hacker français a réussi à pirater les boîtes mail de plusieurs employés de Twitter et ainsi pu avoir accès à des documents de stratégies, des compte-rendus de réunions, et tout un tas d'autres pièces classées confidentielles. Le pirate a finalement balancé le tout à TechCrunch [2] qui a depuis publié certains PV de réunions dans lesquels des cadres de Twitter parlent de leurs objectifs un poil grandiloquents [3] (par exemple, être le premier service Web à atteindre le milliard d'utilisateurs).
Comment ce hacker a-t-il pu avoir accès à tout cela ? Comme de nombreuses startups Twitter a complètement abandonné le papier, et la plupart des discussions se font ainsi par e-mail et autres documents partagés via Google Docs. La barrière de sécurité qui protège ces secrets d'entreprise est très mince: ce sont les mots de passe des employés. Après s'être rendu compte que quelques personnes chez Twitter utilisaient le même mot de passe pour des dizaines de sites différents, il fût facile pour le pirate de le deviner. En d'autres termes, on peut dire que Twitter l'a bien mérité. Le problème, c'est que nous aussi.
Vos mots de passe ne sont pas très fiables. Et même si vous pensez qu'ils le sont, ce n'est probablement pas le cas. Utilisez-vous le même mot de passe pour différents sites importants? Si la réponse est non, bravo, félicitations; si c'est oui, vous n'êtes pas le seul, un récent sondage [4]a montré que la moitié des internautes utilisent le même mot de passe pour tous les sites qu'ils visitent.
Changez-vous régulièrement vos mots de passe? Probablement que non, comme 90% des internautes. Si l'un de vos comptes tombe entre les mains d'un hacker, y trouvera-t-il de quoi pirater les autres ? Pour vous faire une petite frayeur, essayez ceci: allez dans votre boîte mail et cherchez-y quelques uns de vos mots de passe. Vous en trouverez certainement un paquet; soit parce que vous vous les êtes envoyés, soit parce que certains sites vous les transmettent automatiquement par e-mail une fois votre inscription terminée, ou parce qu'ils vous les renvoient directement si vous les avez oubliés. Si un intrus réussit à pénétrer dans votre boîte mail, il lui sera alors facile d'accéder à votre compte en banque, vos sites de réseaux sociaux, ou la feuille de match de vos rêves. C'est exactement ce qui s'est passé dans l'affaire Twitter. (Voici d'ailleurs une explication détaillée [5] de cette histoire)
Tout le monde sait qu'il ne faut pas utiliser un même mot de passe pour différents sites, mais tout le monde le fait quand même parce que se souvenir de plusieurs mots de passe, c'est casse-pieds. Encore plus s'il s'agit de mots de passe compliqués. Eric Thompson, le fondateur d'AccessData [6], une société qui édite des logiciels capables de craquer des mots de passe, affirme que la plupart d'entre eux suivent tous le même modèle. D'abord, les gens choisissent un mot comme «base» - pas forcément un mot du dictionnaire, mais un mot prononçable dans leur langue. Ensuite, si on les oblige à rajouter un chiffre ou un symbole pour rendre leur mot de passe plus fiable, la plupart choisissent 1 ou ! et le mettent à la fin du mot.
Les logiciels Thompson, en utilisant une technique de «force brutale» qui consiste à essayer des milliers de mots de passe jusqu'à trouver le bon, devinent extrêment facilement ce genre de mots de passe. En incorporant votre historique Web à son algorithme - et donc toutes ces heures que vous passez sur Twitter, Facebook etc. - le logiciel vous donne une liste de mots de passe potentiels, parmi lesquels le vôtre, probablement. (Ce genre de logiciel n'est jamais utilisé de façon malveillante, mais uniquement sur ordonnance judiciaire, à des fins militaires ou si des sociétés se retrouvent par exemple sans aucun moyen de rentrer dans leur propre système - «si l'administrateur système se fait percuter par un bus en allant au travail, par exemple» explique Thompson)
Bruce Schneier, expert en sécurité, écrit régulièrement sur ce sujet et donne quelques règles élémentaires [7] inspirées par l'utilisation des logiciels Thompson: choisissez un mot de passe sans aucun mot «lisible». Mélangez minuscules et majuscules. Insérez un symbole ou un nombre au milieu du mot de passe; pas à la fin. Utilisez autre chose que 1 ou !, ou des symboles qui peuvent remplacer des lettres, comme @ pour un A minuscule - les logiciels spécialisés devinent ce genre d'astuce très facilement. Et bien sûr, créez un mot de passe unique pour chaque site que vous visitez.
Oui, ça a l'air long et compliqué, mais pas nécéssairement. Dans les commentaires du blog de Schneier, j'ai trouvé une technique infaillible [8] pour créer des mots de passe presque impossible à craquer, et néanmoins faciles à retenir. Encore mieux, ça ne vous prend que cinq minutes. Prêt?
Choisissez d'abord une phrase assez originale mais facile à se rappeler. Ici, on utilisera par exemple les deux phrases suivantes: J'aime manger des bagels à l'aéroport et Ma première Cadillac était vraiment pourrie donc j'ai acheté une Toyota. Cette phrase peut être une vraie anecdote ou simplement une suite de mots complètement hasardeuse - faites simplement en sorte de vous en souvenir. Là intervient la mnémotechnie: si c'est facile à retenir, pas besoin de l'écrire (si vous n'arrivez pas à vous en rappeler et que vous avez besoin de la noter, trouvez autre chose). Un hacker qui aura déjà pénétré dans votre ordinateur ou votre boîte mail aura plus de difficulté à identifier qu'il s'agit de votre mot de passe. Qui plus est une phrase de ce genre, assez simple, peut se transformer en un mot de passe diablement complexe.
Tout cela nous amène à l'étape 2 : transformez votre phrase en acronyme. Utilisez bien des chiffres, des symboles et des majuscules. J'aime manger des bagels à l'aéroport devient donc Jamdb@la et Ma première Cadillac était vraiment pourrie donc j'ai acheté une Toyota: M1eCevpdja1T.
Et voilà, le tour est joué. Ces mots de passe qui utilisent des procédés mnémotechniques ne sont pas facilement oubliables et ne contiennent aucun «vrai» mot. Vous pouvez même imaginer des phrases pour des sites spécifiques, avec un indice pour vous aider. Par exemple, vous pouvez chaque mois modifier légérèment une phrase comme Il fait 20 degrés en février, donc j'utilise Gmail sans jamais l'oublier: pour septembre, ce sera If90desdjuG, pour mars If30demdjuG, etc... (Ce ne sont évidemment pas des températures réalistes, simplement le chiffre attribué au mois multiplié par 10).
De combien de mots de passe différents avez-vous besoin? Quatre ou cinq maximum. Inutile de créer un mot de passe unique pour chacun des sites sur lesquels vous surfez; selon Thompson il est parfaitement acceptable d'utiliser le même mot de passe sur plusieurs sites si ceux-ci ne sont pas très importants. Je peux donc sans crainte continuer avec le même mot de passe sur le New York Times, le New Republic, The New Yorker et tous ces autres magazines online que je consulte régulièrement, puisque finalement, peu importe si quelqu'un réussit à hacker un de ces comptes. (Ma phrase perso c'est I like to read snooty publications quite often «J'aime lire des magazines prétentieux»)
En ce qui concerne les réseaux sociaux, il vaut mieux utiliser un mot de passe différent pour chacun de vos comptes - si quelqu'un réussissait à hacker votre Facebook ou votre Twitter, bonjour les dégâts, alors ne choisissez pas le même - mais vous pouvez toujours imaginer un procédé mnémotechnique unique mais déclinable, comme Twitter est mon deuxième site de réseau social préféré, MySpace est mon troisième site de réseau social préféré... Réservez les mots de passe les plus compliqués aux services qu'il serait extrêmement dommageable de voir craqués, comme votre compte en banque, ou même votre ordinateur, ou pire, votre boîte mail, qui contient à peu près tous les accès au reste - et plus encore.
Alors oui, c'est sûr, ça demande un peu plus de temps et de réflexion que ce
dont vous avez l'habitude pour créer vos mots de passe, mais c'est le minimum si
vous voulez échapper au retour de bâton. On laisse traîner tellement
d'informations personnelles sur le Net et on pense encore que notre mot de passe
est carrément introuvable... Grâce à Facebook on sait que vous êtes un énorme
fan de U2 et que vous avez passé votre bac en 2000. Au hasard, Achtung2000 ?
Prenez quelques minutes et allez tout de suite changer vos mots de passe.
Croyez-moi, vous vous sentirez mieux après.
Farhad Manjoo,
chroniqueur spécialiste de la technologie de Slate.com
Traduit par Nora Bouazzouni
Image de Une: Reuters
A lire du même auteur: Chérie, j'ai rétréci l'URL!; [9]
Spotify, le meilleur service de streaming au monde [10];
Les nouveaux noms de domaine, cestpour.lespigeons [11];
La censure du futur modélisée par Amazon [12].
Liens:
[1]
http://www.slate.fr/source/farhad-manjoo
[2]
http://www.techcrunch.com/2009/07/14/in-our-inbox-hundreds-of-confidential-twitter-documents/
[3]
http://www.techcrunch.com/2009/07/16/twitters-internal-strategy-laid-bare-to-be-the-pulse-of-the-planet/
[4]
http://www.msnbc.msn.com/id/24162478/
[5]
http://www.slate.com/id/2223478/sidebar/2223540/
[6]
http://www.accessdata.com/index.html
[7]
http://www.schneier.com/essay-148.html
[8]
http://www.schneier.com/blog/archives/2009/07/strong_web_pass.html#c385123
[9]
http://www.slate.fr/story/8461/cherie-jai-retreci-lurl
[10]
http://www.slate.fr/story/8405/spotify-le-meilleur-service-de-streaming-au-monde
[11]
http://www.slate.fr/story/7975/n-achetez-pas-un-nouveau-nom-de-domaine
[12]
http://www.slate.fr/story/8459/1984-leffacement-des-livres-electronique-par-amazon-sur-kindle-prefigure-la-censure-du-fu