• Temps de lecture :11 min de lecture

Dans un précédent article, vous avez découvert comment former un bon mot de passe.

Malheureusement, ce n’est qu’une première étape dans la sécurisation de vos comptes Internet et l’accès à vos appareils, réseaux.

Un compte, un mot de passe ?

Conséquences égales d'un piratage ?

Une des premières règles préconisées par les experts en cybersécurité est de créer un mot de passe unique par service utilisé.

Je dirai que cette règle est à respecter jusqu’à une certaine mesure.

Petite question : est-il aussi important d’avoir un mot de passe robuste pour votre compte chez votre banque et un compte sur un site d’actualités gratuit ou un réseau social ?

Pour moi, la priorité n’est pas la même car le risque est différent :

  • un pirate qui accède à mon compte chez mon assureur pourrait avoir accès à mes données personnelles voire bancaires
  • un pirate qui accède à un site d’actualités gratuit pourra connaître mon adresse mail (sans pour autant s’en servir) ou quelques informations personnelles non sensibles
  • un pirate qui accède à mon compte sur un site e-commerce pourrait commander des produits avec mes coordonnées bancaires si je les ai enregistré sur le site (évidemment c’est quelque chose qu’il ne faut jamais faire pour éviter ce risque).
  • un pirate a accès à votre compte dans le réseau de votre entreprise et pourrait détruire les données de votre employeur ou demander une rançon en cas de vol.
  • seule exception pour un service qui semble non prioritaire au 1er abord mais dont on peut négliger la sécurité : votre messagerie. Il est important de mettre un mot de passe fort car certains sites vous envoient par mail le mot de passe pour accéder à leur service. C’est le cas pour les hébergements Web.

Hiérarchisation des priorités

Ma 1ère recommandation : mot de passe personnalisés uniquement pour certains services

Risque Préconisation minimale Exemples
récupération de données non sensibles (adresse mail)
même mot de passe minimal pour chaque service
sites gratuits : actualités, outils en ligne, blogs...
récupération de données sensibles (n° tél, adresse postale, identité...)
robustesse forte à maximale du mot de passe + 1 mot de passe nique par service.
sécurité sociale, réseaux sociaux...
Récupération des données bancaires
robustesse maximale du mot de passe + 1 mot de passe unique par service.
Tous vos contrats : banque, fournisseur énergie, téléphonie/Internet, assurance...
Accès au réseau et applications de son employeur
robustesse maximale du mot de passe + mot de passe unique par accès si possible
Intranet, messagerie instantanée...
Messagerie
robustesse maximale du mot de passe + 1 mot de passe unique par service utilisé

Cette 1ère recommandation est personnelle. Vous pouvez renforcer le niveau de sécurité pour le premier cas en créant un mot de passe par service.
En ce qui concerne le niveau de robustesse, je conseille :

  • minimal : au moins 12 caractères
  • fort : minimum 16 caractères
  • maximale : minimum 20 caractères

Sauvegarde des mots de passe

Pour ce second point, on va se poser la question suivante : l’endroit où est stocké/enregistré mon mot de passe est-il sûr ?

Passons en revue les différentes possibilités :

Support Risques Sécurité
Feuille de papier / Post-it
Vol ou perte facile du document, détérioration du document (oups ! j'ai renversé mon café)
Aucune
Fichier sur ordinateur / brouillon ou note sur messagerie
Piratage de votre appareil, fichier/mail lisible en clair à tout moment
Aucune
Supports physques externes (clef USB, disque dur, CD/DVD)
Vol ou perte du support, données en clair
Aucune
Navigateur Internet
Vol de l'appareil, données en clair
Aucune
Gestionnaire de mot de passe
Aucun : données cryptées, accès par mot de passe voire multifacteurs
Forte

Précédemment, je vous disais de créer des mots de passe robustes mais comment se rappeler de :

mot de passe service 1 : #KkXBM!Rs4RHTd%1u@k#

mot de passe service 2 : T5V49mrKWt4x1Xmmn*8A

mot de passe service 3 : c!86XabafuXSYrm$!P6&
….
mot de passe service 30 : 2BG8w3raZjR3g6TLw%91

Ma 2de recommandation : utiliser un gestionnaire de mots de passe !

C’est la méthode que j’utilise depuis plusieurs années. 

Ce sont des coffres-forts qui contiennent tous les mots de passe que vous utilisez sur Internet. J’ai pu déjà vous vanter les raisons d’opter pour un gestionnaire.

Ainsi, les accès à tous mes comptes sont bien protégés sans que j’ai besoin de me rappeler de chaque mot de passe. J’ai un seul mot de passe à me rappeler : celui pour accéder à mon gestionnaire de mots de passe.

Mot de passe sur ordinateur public

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel.

Aujourd’hui, la technologie permet de consulter vos comptes via votre smartphone. Privilégiez donc votre appareil. Et si vous utilisez un VPN, c’est encore mieux car votre connexion est cryptée, même une personne ayant accès à la box Internet où vous êtes connectés ne peut voir ce que vous faites.

Si votre dernier recours est d’utiliser un ordinateur partagé ou qui n’est pas le vôtre :

  • Utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques
  • Veillez à bien fermer vos sessions après utilisation
  • N’enregistrez jamais vos mots de passe dans le navigateur (vérifiez dans les paramètres après navigation si un mot de passe a été enregistré à votre insu).

Ma 3e recommandation : utilisez en priorité votre appareil, sinon restez très vigilants !

Renouveler votre mot de passe ?

Un des conseils donnés est de renouveler périodiquement vos mots de passe.

En théorie, c’est très bien. En pratique, non.

D’après des études, les personnes ont tendance à simplifier au fil des renouvellements les mots de passe afin de s’en rappeler :

  • soit en réduisant la longueur

passer de « mojito23jean » à « whisky54 »

  • soit en ajoutant 1/2 caractères à l’ancien mot de passe.

passer de « pwd391eml » à « pwd391eml3 »

Cela s’applique uniquement aux mots de passe que vous créez vous-même en essayant de le rendre mémorisable.

Quant aux mots de passe générés aléatoirement par votre gestionnaire de mot de passe, il n’y a aucun problème à le changer tant que vous gardez le même niveau de robustesse.

Ma 4e recommandation : si vous créez personnellement vos mots de passe, éviter un renouvellement régulier qui abaissera le niveau de sécurité de vos identifiants.

Ajouter une couche supplémentaire

Aujourd’hui, de plus en plus de services proposent une solution de double authentification en option. Si elle vous est proposée, activez la !

double authentification

On va faire une analogie avec une visite médicale.

Renseigner votre identifiant et votre mot de passe vous ouvre la porte du cabinet médical.
Vous êtes dans la salle d’attente.

Le service va vous demander de vous identifier à par un des moyens suivants :

  • code de validation SMS/Mail
  • notification sur smartphone
  • application d’authentification (ex : Google/Microsoft Authentificator)
  • clef U2F (norme FIDO)

C’est comme la secrétaire médicale qui vérifie que vous avez bien pris rendez-vous.

Ainsi, même si un pirate récupère votre mot de passe, il ne pourra pas accéder à l’intérieur de votre compte sans qu’il doive pirater en plus votre messagerie (pour récupérer votre code de validation), votre téléphone (pour la notification/sms/appli d’authentification).

Ma 5e recommandation : activer l’authentification deux facteurs si elle est disponible.

Contact téléphonique ou par mail

Dans le pire des cas, s’il veut arriver à ses fins, le hacker essaiera de vous contacter en se faisant passer pour le dit service en prétextant un problème de sécurité :

  • par mail : demande de cliquer sur un lien. Évidemment, c’est une tentative d’hameçonnage (phishing en anglais)
  • par téléphone : demande des renseignements au téléphone. Vous êtes en droit de refuser d’y répondre, un professionnel n’a légalement pas le droit de vous demander par téléphone vos coordonnées bancaires ou mot de passe)

Quand c’est trop compliqué, c’est pas rentable pour lui et laisse tomber. Si cela vous arrive, ne lâchez pas le morceau et restez ferme !

Contactez-vous même le service concerné en recherchant le n° de téléphone sur leur site Internet ou votre contrat/facture pour vérifier la situation de votre compte.

Ma dernière recommandation : ne faites pas confiance aux contacts par téléphone/mail. Ne donnez aucune information. Contactez le service concerné vous-même.

Avec toutes mes recommandations, vous aurez fait abandonner 99% des pirates !

youtube_channel_may6

Nos guides en vidéo

Vous en avez marre des longs articles ?
Apprenez grâce à nos vidéos tutoriels