LA technique pour éviter un piratage de mot de passe
Et si je vous disais que vous pouvez éviter un piratage de mot de passe, même si un « virus » est dans votre ordinateur ?
Et cela, sans utiliser de logiciel ?
Dans cet article, on ne va pas se contenter de donner des conseils habituels sur le fait de créer un bon mot de passe avec des chiffres, lettres et caractères spéciaux.
Vous le savez déjà.
Pareillement pour le fait de ne pas taper son mot de passe sur un post-it.
À l’inverse, je vous propose un point de vue plus technique, mais aussi plus réflexif sur notre utilisation quotidienne des mots de passe.
En étudiant les keyloggers et autres logiciels espions, nous pouvons mettre en œuvre une méthode très efficace pour taper nos mots de passe en sécurité sur les divers sites que nous utilisons.
Et cela, même si l’un de ces logiciels espions est présent sur notre PC. On se retrouve donc au cœur du hacking éthique : apprendre l’attaque, la décortiquer et créer des contre-mesures efficaces ensuite.
De façon simple, un keylogger récupère les touches tapées de façon séquentielle et les enregistre sur l’ordinateur, soit en mémoire, soit dans un fichier texte qui peut ensuite être transféré à distance.
Créer un mot de passe « compliqué » ? Mais compliqué pour qui ?
Vous êtes vous déjà posé la question ?
Un piratage de mot de passe commence souvent par un programme qui récupère tout d’abord votre mot de passe.
Ce dernier est ensuite reçu par le pirate évidemment. Mais si l’on s’intéresse de plus près à ces fameux « virus » (ou « keyloggers » ou encore « logiciels espions »), eh bien la notion de « compliqué » change profondément !
Contourner les logiciels espions
Premièrement, si le keylogger est programmé pour cibler un clavier anglais (comme la grande majorité d’entre eux), il ne récupérera potentiellement pas les caractères spéciaux des autres langues.
En effet, les keyloggers ont du mal à récupérer les combinaisons de touches permettant de taper des caractères spéciaux comme « È ». Cela demande de taper sur quatre touches (Alt Gr + 7 + SHIFT + e) pour l’afficher.
Le logiciel espion ne récupérera probablement que certaines de ces touches, et de façon presque certaine, il ne récupérera pas correctement la lettre « È ».
Il verra peut-être « 7e » ou « Alt7 + E ».
Inutile donc de chercher un mot de passe très long, c’est plutôt la rareté des lettres utilisées qui importe dans ce cas!
Deuxièmement, le fait de taper son mot de passe de façon non séquentielle mais correcte donnera un résultat faussé au keylogger.
En effet, le keylogger peut certes récupérer l’appui sur la touche « Retour », et deviner une correction, mais il ne peut détecter un clic de souris entre certains caractères d’un mot.
Imaginons donc que l’on tape « Az2pX » puis que l’on clique entre le « z » et le « 2 » pour y ajouter « N0 », le mot de passe apparaît de la façon suivant à l’écran : « AzN02pX ».
Le keylogger de son côté verra « Az2pXN0 » car nous avons appuyé sur les lettres dans cet ordre.
Impossible de retrouver le vrai mot de passe, même en l’ayant récupéré. Cette technique est directement issue des guides Le Blog Du Hacker.
Mais il faut bien entendu que le mot de passe ne soit pas trop évident pour donner des pistes au pirate et lui permettre de reconstruire le vrai mot de passe. Inutile donc d’utiliser un mot de passe compliqué sans prendre les précautions nécessaires lorsque vous l’entrez.
Nous verrons comment créer un mot de passe compliqué pour un pirate et ces outils tout en étant facile à retenir pour nous dans un instant.
Retenir un faux mot de passe volontairement
Lorsque l’on sauvegarde son mot de passe dans le navigateur, celui-ci le chiffre et le stocke dans un fichier sur l’ordinateur.
On pourrait donc imaginer un pirate récupérer le mot de passe en récupérant et en déchiffrant ce fichier. En réalité ce n’est pas si facile, mais pas non plus impossible.
Pas d’inquiétude, il existe une alternative.
La méthode consiste cette fois à sauvegarder volontairement un mauvais mot de passe dans le navigateur, comme dans notre exemple précèdent où l’on pourrait sauvegarder « Az2pX ».
Une fois sur le site, lorsque l’auto complétion remplit le mot de passe incomplet, il restera à ajouter « N0 » en cliquant au bon endroit, c’est-à-dire après trois caractères en partant de la fin.
Pas évident au début, mais très efficace et sécurisé avec un peu d’habitude car le mot de passe n’est jamais tapé en entier, et il n’est jamais enregistré en entier !
« Sauvegarder volontairement un mot de passe erroné pour mieux se protéger »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInLes méthodes citées précédemment s’appliquent à 99% de vos mots de passe en ligne, et peuvent être utilisées sur smartphones.
Le tout sans gestionnaire de mots de passe.
Créer un mot de passe sécurisé et facile à retenir
Nous avons vu des moyens très efficaces de créer et de taper un mot de passe. Cela dit, il reste d’autres options aux pirates et il ne faut jamais rien prendre pour acquis.
Je vais donc à présent vous donner des pistes pour appliquer la fameuse procédure « lettres, chiffres et caractères spéciaux » de façon simple et facile à retenir.
La méthode de la phrase s’applique très bien dans ce cas, par exemple : « Qu’il fait chaud chez ce cher Serge » devient « Q’ifccccS ». Le mot de passe est long, avec des caractères en majuscules et minuscules ainsi qu’un caractère spécial. La phrase peut être représentative pour vous afin de vous en souvenir facilement.
Le problème du même mot de passe partout
Créer un mot de passe comme on vient de le voir est une bonne idée, mais dans le cas où ce mot de passe venait à être dérobé, le pirate pourra pirater tous vos comptes qui utilisent ce même mot de passe.
L’astuce ici pour se souvenir de vos mots de passe tout en les variant, est de changer un élément typique de votre phrase. Par exemple, pour votre mot de passe Facebook : « Qu’il fait chaud chez ce cher Facebook » : « Q’ifccccF », pour Twitter « Q’ifccccT ». Il reste à vous assurer que le mot de passe ne soit pas non plus trop évident non plus.
Le problème des mots de passe générés automatiquement ou dont le format est différent
Vous avez sans doute déjà connu les deux situations. Parfois des sites web génèrent des mots de passe pour vous. L’idée est de les changer aussitôt et systématiquement. Et cela non seulement car ces mots de passe sont souvent envoyés de façon visible (en clair) par e-mail, mais en plus il est difficile de retenir un (ou plusieurs) mot(s) de passe totalement aléatoire(s)…
Certains sites vous demanderont de fournir un mot de passe plus compliqué que prévu, et cela nous bloque souvent lorsqu’on a l’habitude d’utiliser notre bon vieux mot de passe ! Je connais par exemple un site qui demande un mot de passe d’au moins 8 caractères avec au moins 2 lettres en majuscules, 2 lettres en minuscules et 2 caractères spéciaux.
Dans ce cas, l’idée est d’ajouter un mot ou les lettres manquantes à la fin de votre mot de passe : « Q’ifccccS55′ ». « 5 » car « Serge » est composé de 5 caractères…et « ‘ » car il est déjà utilisé et permet d’atteindre les 2 caractères spéciaux requis…« simple » moyen mnémotechnique…
Si le format attendu est uniquement des chiffres, la méthode de la phrase fonctionne toujours : 22454245. Chaque chiffre correspond aux nombres de caractères de chaque mot de la phrase : Qu : 2, il : 2, fait : 4…etc.
Note : TOUS les mots de passe cités dans cet article (à savoir « AzN02pX », « Q’ifccccS », « 22454245 » et les dérivés) ne sont PLUS sécurisés. Ils viennent d’apparaître publiquement dans cet article, et n’entrent donc plus dans les critères d’un mot de passe sécurisé.
Plus d’informations : Pourquoi Gbt3fC79ZmMEFUFJ est un MAUVAIS mot de passe
Un mot sur les gestionnaires de mots de passe
Impossible de parler de mots de passe sans mentionner les gestionnaires de mots de passe. Ce sont des outils vous permettant de gérer vos mots de passe de façon souple et facile. Vous ne connaissez habituellement pas les mots de passe en question, car ils sont totalement aléatoires (et donc très bien sécurisés), mais vous aurez tout de même un mot de passe « maitre » à définir et à protéger avec les conseils donnés ici. Le gestionnaire de mot de passe pose problème si vous n’avez pas une possibilité de l’utiliser sur plusieurs plateformes…car si un jour vous avez besoin de vous connecter urgemment sur votre smartphone lorsque vous êtes en vacances, et que vous n’avez pas accès au gestionnaire…vous risquez d’avoir des ennuis.
PS : peut-être que certains gestionnaires proposent un moyen de récupération/réinitialisation du mot de passe via leur site ? je vous avoue que je n’ai pas creusé l’idée.
Un mot sur le piratage de mot de passe via le réseau
Tout ce que nous avons vu s’applique très bien à la protection locale de notre mot de passe, c’est-à-dire lorsqu’on le tape sur un périphérique qu’il s’agisse d’un ordinateur ou d’un smartphone. On échappe donc déjà aux logiciels espions et autres « virus » comme on les appellera. C’est une bonne chose de faite.
Seulement, si le site sur lequel vous envoyez votre mot de passe super sécurisé est malveillant…vous risquez tout de même un piratage !
Le fait d’avoir des mots de passe différents pour chaque site vous permettra de limiter les dégâts, mais l’idéal est de faire très attention à chaque fois que vous devez fournir votre mot de passe : le site est-il de confiance ? Est-ce la bonne adresse ? Est-ce un expéditeur de confiance ? etc…Évidemment, ne fournissez pas vos mot de passe à qui que ce soit, même à vos proches. Ne les écrivez pas sur un bout de papier (vous ne devriez pas en avoir besoin) et ne les sauvegardez pas non plus dans des fichiers sur votre ordinateur.
Ensuite, même si le site est bienveillant, lorsque vous avez tapé votre mot de passe avec la super technique proposée ici, votre mot de passe entier et correct est ensuite envoyé « sur le réseau ».
C’est un comportement normal est standard, car il faut bien que le site distant vérifie votre mot de passe. Le problème se pose cette fois lorsqu’un pirate écoute les communications réseau et y trouve votre mot de passe en transit. La solution la plus sûre et directe pour éviter cela est d’utiliser le protocole HTTPS lorsque vous envoyez votre mot de passe ou d’autres données sensibles.
Je vous propose la lecture suivante pour plus de détails :
Le top 5 des erreurs à l’origine d’un piratage
Attention : HTTPS ne signifie pas pour autant qu’il n’y a AUCUN risque. Si le site en lui-même est malveillant, vous serez en sécurité SUR LE RESEAU, mais le pirate recevra les données en clair à la destination….
Pour terminer, il convient de faire attention à l’environnement « physique » lorsque l’on tape un mot de passe : est-ce qu’une personne malveillante ne serait pas simplement en train d’observer ce que l’on tape au clavier ? n’y a-t-il pas une camera cachée ? etc… Le but n’est pas d’être paranoïaque mais de veiller à la sécurité à tous les niveaux. Beaucoup de victimes de piratage me contactent en pensant qu’un pirate s’est infiltré « quelque part dans le réseau ou dans l’ordinateur » alors que bien souvent le mot de passe a été fourni involontairement au pirate, de façon très simpliste.
Il convient également de changer vos mots de passe lorsque vous suspectez un problème. Si c’est le cas, assurez-vous impérativement avant de procéder que l’ordinateur ou le smartphone que vous utilisez soit sain. Si vous avez un doute, profitez de l’achat d’un nouveau matériel pour le faire. Cela vous donnera une bonne raison de changer régulièrement vos mots de passe.
L’authentification en deux étapes
Cette méthode d’authentification permet d’empêcher l’accès à vos comptes par des personnes tierces. Ceci est possible en faisant une « double authentification ». Lorsque vous fournissez le bon mot de passe, le service bloque toujours votre accès et vous envoie un SMS de vérification contenant à coder à fournir au service pour pouvoir concrètement accéder à votre compte. Cette méthode d’authentification est disponible par exemple avec Google mais aussi avec Facebook et avec bien d’autres services. Je vous propose donc de l’activer dès lors qu’elle est proposée.
Voici plus d’informations pour votre compte Google :
https://www.google.fr/intl/fr/landing/2step/
Voici plus d’informations pour votre compte Facebook :
https://www.facebook.com/help/413023562082171?helpref=faq_content
Voici plus d’informations pour votre compte Apple :
https://support.apple.com/fr-fr/HT204152
Cet article n’a pas la prétention d’être un guide exhaustif, n’hésitez pas à proposer vos astuces/remarques dans les commentaires 😉
Et en tant que complément, je vous propose le cours vidéo de Grégory Pouliquen sur la méthode Bill Aronson et la façon de créer tous vos mots de passe efficacement (faciles à retenir mais très difficile à trouver pour un pirate) :
Comment mémoriser tous vos mots de passe.