Mots de passe : Comment bien sécuriser ses accès (sans trop d’efforts) ?

C’est une problématique universelle, nous devons tous nous connecter quotidiennement à un nombre (de plus en plus) important de services numériques.

Devant cette profusion de mots de passe à gérer, il est extrêmement tentant et très courant de « faire simple » en choisissant des mots de passe peu complexes, faciles à retenir, voire d’utiliser le même mot de passe pour tous ses accès.

Premier problème, l’utilisateur, et potentiellement son entreprise, se retrouvent ainsi directement exposés à des risques d’usurpation d’identité ou de vol de données, capables de faire voler en éclats la sécurité du système informatique.

Et depuis la pandémie, les cybercriminels sont de plus en plus nombreux et particulièrement « déchainés ».

Second problème, nous avons tous conscience de l’enjeu, mais nous préférons miser sur notre bonne étoile en attendant la catastrophe. « 123456 » reste ainsi le mot de passe le plus utilisé (et donc le plus piraté) depuis des années…pour le plus grand bonheur des cybercriminels, ravis de pouvoir passer plus de temps à piller la banque qu’à forcer la porte.

Alors quelles sont les solutions ? Et surtout, devant notre manque d’enthousiasme à prendre le problème au sérieux, comment sécuriser ses comptes sans trop d’efforts ?

Car oui c’est possible, et ça vaut vraiment le coup. Voici comment s’y prendre.

• La double authentification (MFA), une solution puissante activable en 1 clic
• Le gestionnaire de mots de passe, un coffre-fort numérique indispensable
• Faire la chasse aux mauvaises habitudes et adopter les bonnes pratiques
• FIDO2 et la fin programmée des mots de passe

La double authentification (MFA), une solution puissante activable en 1 clic

Également appelée « authentification multifactorielle (AMF) », la double authentification est apparue dans nos quotidiens via nos réseaux sociaux ou nos applications bancaires.

Elle consiste à combiner deux ou trois informations liées à notre compte : mot de passe + appareil utilisé, code PIN + question personnelle + empreinte digitale, mot de passe + clé physique (voir plus bas), etc.

Activables en un clic et très simple à utiliser, notamment grâce aux smartphones, les MFA sont de mieux en mieux conçues pour répondre aux exigences d’expérience utilisateur.

A utiliser sans hésitation dès que l’option vous est proposée.

• Effort demandé : faible. Quelques informations à renseigner une première fois, une case à cocher, puis avoir son smartphone à proximité.
• Efficacité : très forte. Pour trouver votre mot de passe, et en même temps voler votre smartphone ou votre clé physique, les hackers devront être sacrément ingénieux !

Le gestionnaire de mots de passe, un coffre-fort numérique indispensable

De plus en plus utilisés (mais pas encore assez), les gestionnaires de mots de passe remplissent deux rôles complémentaires :

• Celui de coffre-fort numérique qui centralise l’ensemble des identifiants et mots de passe d’un utilisateur ;
• Et celui de générateur de mots de passe complexes et aléatoires. Plus besoin de vous remuer les méninges trouver le mot de passe parfait.

Accessible via un mot de passe unique (le seul à retenir !), ils prennent la forme d’un logiciel ou d’un service en ligne très simple, à l’interface soignée, toujours pour répondre aux exigences d’expérience utilisateur.

Deux avantages non négligeables que l’on retrouve chez la plupart des solutions :

• Le remplissage automatique des formulaires, identifiants et mots de passe (sans trop d’efforts, on vous avait promis) ;
• La synchronisation automatique des données sur tous vos appareils, ordinateur portable, tablette ou smartphone.

Côté sauvegarde, les gestionnaires de mots de passe utilisent des algorithmes de chiffrement qui cryptent vos informations en local, avant de les envoyer sur les serveurs de l’éditeur. Ce dernier ne peut donc pas consulter vos mots de passe.

Et si jamais vous souhaitez exporter le fichier de mots de passe pour doubler sa sauvegarde en interne, la plupart des outils vous proposent des options d’export aux formats natifs ou CSV (donc non sécurisé, à vos risques et périls).

En bref, couplé à l’authentification multifactorielle, le gestionnaire de mot de passe garantit une sécurisation extrêmement élevée de ses accès. Un outil indispensable aujourd’hui.

Des gestionnaires de mots de passe qui ont fait leur preuve : Keepass (certifié par l’ANSSI) et KeePassXC (son évolution communautaire), Dashlane ou Bitwarden.

• Effort demandé : faible. Si la configuration et l’utilisation de certains logiciels demande un peu de concentration, la plupart d’entre eux vous propose simplement d’installer le logiciel, qui se chargera ensuite de prendre le relai (enregistrement des mots de passe dans le coffre-fort, remplissage des formulaires…).
• Efficacité : forte. Le seul point faible du gestionnaire de mots de passe est son mot de passe maître (celui qui vous permet d’accéder à votre coffre-fort). Si ce dernier est suffisamment complexe, changé régulièrement (voir ci-dessous) et qu’il n’est pas noté sur un post-it collé à votre écran, vous pouvez normalement dormir sur vos deux oreilles.

Faire la chasse aux mauvaises habitudes et adopter les bonnes pratiques

S’équiper des bons outils est un très bon choix pour la sécurisation de vos accès, mais cela ne suffit pas. Pas de panique, reste juste quelques bonnes pratiques à adopter (et à faire adopter) et quelques mauvaises habitudes à bannir.

Sécurisez prioritairement le mot de passe de votre messagerie…

Assurez prioritairement la sécurisation du mot de passe de votre messagerie.

Votre adresse email est généralement associée à la plupart de vos comptes en ligne et circule assez facilement sur le Web (elle peut être affichée sur votre page Facebook ou LinkedIn par exemple). Elle constitue donc votre principale vulnérabilité.

Trois étapes : on génère un mot de passe complexe via son générateur, on enregistre ce mot de passe dans notre coffre-fort et on active la double authentification.

…ainsi que celui de votre gestionnaire de mot de passe

Négligez le mot de passe de son gestionnaire de mots de passe reviendrait à fermer le coffre-fort d’une banque avec une porte en mousse, absurde non ?

Assurez-vous de sa complexité et changez-le « régulièrement ».

Changez régulièrement vos mots de passe les plus importants

Globalement, pensez à changer régulièrement vos mots de passe les plus importants (comme celui de votre coffre-fort de mot de passe par exemple).

Une fois par mois c’est l’idéal, une fois par an c’est le strict minimum, à vous de trouver le juste milieu en fonction du contexte et de la valeur des informations à protéger.

En entreprise, votre statut d’utilisateur « à risque » (direction, service financier/comptabilité, personnel nomade, etc.) doit également influencer la régularité de ces changements.

Dans tous les cas, grâce à votre gestionnaire de mots de passe, l’opération est très simple et très rapide à réaliser.

N’enregistrez jamais vos mots de passe sur votre navigateur Internet

Cette option vous est généralement proposée à chaque formulaire rempli, pourtant n’acceptez jamais l’enregistrement d’un mot de passe sur votre navigateur Internet.

Qu’il s’agisse de Chrome, Firefox, Edge ou Safari, ils offrent une très faible protection à vos données et sont la cible régulière des hackers.

Utilisez un mot de passe différent pour chaque plateforme

Cela peut vous paraître évident, pourtant, rebutés par l’idée de devoir retenir plusieurs mots de passe, la facilité nous conduit souvent à réutiliser le même…et « Michel1970 » se retrouve ainsi utilisé pour protéger tous nos accès, peu importe leur importance.

Chacun de vos comptes doit donc avoir son propre mot de passe, et avec un gestionnaire de mot de passe, rien de plus simple ! Générez, enregistrez.

• Effort demandé : raisonnable. Nous aimons rarement changer nos habitudes, mais il n’y a vraiment rien d’insurmontable ici.
• Efficacité : relative. Appliquer ces mesures, sans activer la MFA (lorsque c’est possible) et sans s’équiper d’un gestionnaire de mots de passe, n’apportera qu’une protection de « premier niveau » à vos accès… Mais l’inverse marche aussi : utiliser MFA et gestionnaire de mots de passe, sans appliquer ces règles, diminuera drastiquement votre niveau de sécurité.
  

FIDO2 et la fin programmée des mots de passe

Le meilleur mot de passe…est celui que vous ne connaissez pas.

C’est en partant de ce postulat que la communauté technologique mondiale s’est réunie il y a quelques années, afin d’élaborer une alternative crédible aux mots de passe, plus sécurisée : le standard d’authentification FIDO2.

L’objectif est de permettre aux utilisateurs de se connecter plus facilement à leurs services et applications Web via la biométrie, les appareils mobiles et / ou les clés physiques, avec une sécurité bien supérieure à celle des seuls mots de passe.

Les géants du numérique projettent d’ailleurs (conjointement) d’en finir avec les mots de passe, puisque la mise en place de ce nouveau système d’authentification devrait intervenir à horizon 2023 chez Apple, Google et Microsoft. Dans un premier temps sous forme d’option… jusqu’au jour ou l’utilisation d’un mot de passe ne sera plus proposé.

« Il faudrait vraiment que je change mes mots de passe » est une pensée qui nous revient tous régulièrement en tête. Mais il est extrêmement rare que l’on prenne le temps de le faire, jusqu’au jour où…un piratage nous met en difficulté, voire met en difficulté notre entreprise. Le risque zéro n’existe pas, mais il est possible de décourager les cybercriminels avec un minimum d’efforts. Pas plus bêtes que nous, ils n’aiment pas perdre de temps et préfèreront toujours s’en prendre aux organisations vulnérables, faciles et rapides à attaquer. Prenez donc la mesure des enjeux et ne lésinez pas sur la sécurisation des accès à vos comptes. C’est aujourd’hui devenu tellement facile que nous n’avons plus d’excuses pour nous protéger efficacement.

Et si vous souhaitez vous faire accompagner dans cette démarche, n’hésitez pas à nous contacter.