Micromut

Association d'échanges et d'entraide informatique
en Charente Limousine

Comment protéger ses mots de passe


La question des mots de passe sur Internet est importante, il ne faut pas la traiter à la légère. Au fil du temps le nombre de mots de passe à gérer s'allonge : inscriptions sur différents sites et forums, messageries multiples, compte ouvert dans des boutiques en ligne et identifiants pour accéder aux services de sa banque, caisse de retraite ou sécurité sociale....

Bref vous allez vite vous retrouver avec une douzaine (ou plusieurs douzaines le cas échéant) d'identifiants et mots de passe. Bien-sûr tous n'ont peut-être pas la même importance, essayons de faire trois catégories :

  • les mots de passe pour accéder aux sites ne contenant pas de données sensibles vous concernant : forum où vous échangez des recettes de cuisine par exemple...
  • les mots de passe de messageries qui contiennent des données personnelles mais peu sensibles vous concernant : n'oubliez pas qu'un message électronique envoyé sur le net est comme une carte postale sans enveloppe et que l'on peut usurper votre identité.
  • les mots de passe des sites de commerce en ligne, banques, sécurité sociale, etc, permettent d'accéder à données confidentielles très sensibles : ceux-ci nécessitent un maximum de précautions.

A vous de définir dans quelle catégorie vous placez tel ou tel mot de passe.

Comment choisir un mot de passe et comment s'en souvenir ?

Voici l'erreur à ne pas commettre : un mot de passe unique et simple à se rappeler qui servira dans toutes les situations.

Vous voulez des exemples ?

  • le prénom de votre fille
  • votre date de naissance
  • votre numéro de téléphone
  • votre mot de passe de messagerie principale
  • pire : 123456 ou admin ou password.....

Bien-sûr me direz vous :
"je n'ai aucune chance de me rappeler d'une multitude de mots de passe complexes !"...

Mais d'abord qu'est-ce qu'un bon mot de passe ? C'est un mot de passe qui ne veut rien dire du tout et qui contient au moins huit caractères alphanumériques. Si vous manquez d'imagination vous pouvez utiliser un service en ligne qui générera un mot de passe à votre place, par exemple : Générateur de mot de passe
Dans ces conditions il est impossible de faire appel à sa mémoire pour s'en souvenir, aussi bonne soit-elle. Alors que faire ?

  1. Utiliser la "mémoire" du navigateur . Firefox peut retenir les identifiants et mots de passe à votre place et c'est bien pratique... mais risqué ! Perte ou vol de l'ordinateur, destruction du disque dur et bien-sûr piratage (je ne vous épargne rien !).
    Réservez cette technique aux seuls mots de passe qui ne donnent pas accès à des données sensibles et trop personnelles.
  2. Notez les précisément sur un carnet. Ne le perdez pas ou ne vous le faites pas voler avec l'ordinateur ou votre sac à main. Technique qui n'est pas sans risque et surtout pas très pratique. Je vous conseil de conserver votre carnet en lieu sûr, à l'abri des regards indiscrets.
  3. Utiliser un mot de passe principal dans Firefox : c'est une variante du premier point. Les mots de passe sont enregistrés dans le navigateur mais l'accès est protégé par un mot de passe principal (voir plus bas).
  4. Utilisez un "coffre fort numérique". La technique consiste à stocker identifiants et mots de passe dans un fichier unique protégé par une phrase secrète que vous choisirez.... c'est le seul élément dont il faudra vous souvenir ! C'est ce que nous allons développer.


Une phrase secrète pour cacher vos mots de passe.

Notons pour commencer que Firefox propose quelque chose de similaire comme indiqué ci-dessus : un mot de passe général qui bloque l'accès à tous les autres.
Mais je ne trouve pas que ce soit parfaitement adapté car cela masque tous les mots de passe sans distinction et d'autre part une fois entré le mot de passe général le "coffre" reste ouvert jusqu'à la fermeture du navigateur. Enfin il n'est pas aisé d'exporter la liste complète sur une clé USB par exemple.
Toutefois cela se passe dans le menu "options" onglet "Sécurité"...

password


fSekrit : le bloc-note chiffré et sécurisé (ou mini coffre fort).

Nous allons utiliser un minuscule outil qui s'apparente à un vulgaire bloc-note : fSekrit . Une fois recopiée vos identifiants et mots de passe vous "enregistrez sous..." (save as... en anglais), fSekrit chiffre la note et vous demande de définir une phrase secrète pour déchiffrage.
Cette phrase sera constituée d'au moins 12 caractères, quelque chose de personnel et pas commun. Ça c'est ce que je vous conseille !

La note deviendra illisible sans la phrase secrète. fSekrit utilise un chiffrement très puissant : la méthode AES 256-bit / Rijndael en mode CBC ( lien Wikipedia pour en savoir plus ).

L'outil est portable et constitué d'un fichier unique . C'est un logiciel libre et gratuit. La note créée est un exécutable (fichier .exe) autonome. Vous pourrez en faire autant de copies que vous souhaitez pour mettre sur une clé USB par exemple et elle peut contenir d'autres informations précieuses si vous le souhaitez (pour partir en voyage) ou faire plusieurs notes...
Je vous conseille également de noter l'adresse précise des services concernés : fSekrit enregistre les adresses comme des liens hypertextes, un clic sur le lien et l'adresse s'ouvrira dans votre navigateur.

Afin que ça soit pratique stockez la note contenant vos mots de passe où vous voulez mais glissez un raccourci dans la barre de lancement rapide pour la gardez sous la main.


fsekrit

Cliquez sur l'image pour téléchargez fSekrit directement du site Micromut.



Bien-sûr vous pouvez modifier votre fichier comme vous voulez et même changer de phrase secrète.
Un clic sur l'icône présente dans la barre de lancement rapide et une fenêtre s'ouvre vous demandant la phrase secrète :
                                 fsekrit

Une fois la note ouverte vous pourrez utiliser le copier-coller et même le glisser-déposer pour compléter identifiant et mot de passe.

Dans le même principe et tout aussi simple vous pouvez également utiliser Locknote disponible  sur micromut
Décompresser l'archive et créé votre fichier secret.

Ce système est le plus simple qui soit, néanmoins il devient inadapté si vous avez plus d'une vingtaine de mots de passe : on se perd vite à fouiller le bloc-note pour trouver ce que l'on cherche....

Personnellement j'utilise un logiciel portable fonctionnant selon le même principe de la phrase secrète et du chiffrage mais qui permet de classer les mots de passe par thème avec un explorateur et un champ de recherche.
Le logiciel s'appelle KeePass. Voir la présentation sur le site de l'éditeur .

Pour les curieux intéressés, voici un tutoriel : tuto_keepass
Ainsi qu'un lien de téléchargement de la version portable que j'utilise : keepass 1.21.zip

La prochaine fois je vous montrerai comment protéger un dossier ou une clé USB avec un mot de passe.


A vous de jouer ! ordi