• ACTU

Tips pour mieux sécuriser nos données personnelles

Création de mots de passes robustes

Thibault, Directeur Technique WeSense Lab nous donne ses tips pour mieux sécuriser nos données personnelles.

 

À la suite du « casse du siècle » qui a permis de récupérer plus de 15 milliards de comptes (Gmail, Hotmail et Netflix entre autres) et la vente de la liste des mots de passe associés, il est plus que temps de changer vos mots de passe. Vérifiez si vous avez été touchés par cette attaque.

Très souvent, créer un mot de passe robuste et facile à retenir devient la croix et la bannière… Et pourtant ce n’est pas si difficile !

En effet, si l’on sait comment font les attaquants pour essayer de retrouver votre mot de passe, il devient plus facile de créer une phrase vraiment robuste.

 

Comment s’y prennent les attaquants pour trouver vos mots de passe ? 

 

Parfois, ils le trouvent inscrit quelque part : c’est le cas des évènements survenus récemment, durant lesquels les mots de passe étaient inscrits dans une base de données. Les attaquants pourront l’avoir trouvé dans l’un de vos fichiers ou directement écrit sur le post-it collé à votre écran…

La plupart du temps, ils feront plutôt travailler la puissance de calcul de leurs machines pour essayer de deviner ce mot de passe.

La première de ces méthodes est le bruteforce. L’attaquant va bêtement essayer toutes les combinaisons possibles de lettres (majuscules et minuscules), chiffres, caractères spéciaux, emojis (oui, les emojis sont des caractères valides pour les mots de passe), etc… Comme vous pouvez vous en douter, c’est extrêmement long, mais avec la puissance de calcul des machines actuelles, un mot de passe de 8 caractères ou moins reste trouvable dans un timing raisonnable.

En revanche, la méthode que je préfère et que j’utilise le plus moi-même quand il s’agit de casser des mots de passe pendant un audit, c’est le dictionnaire.

Cette technique est simple :

  • Créer une liste de mots (ex : le dictionnaire Français)
  • Modifier ensuite les mots de cette liste avec des règles. Par exemple, nous ajouterons tous les nombres entre 1900 et 2100 à la fin des mots, parce qu’il est courant d’ajouter une date à son mot de passe. De même, il est possible d’ajouter tous les nombres entre 0 et 100. Nous pouvons également modifier la liste en remplaçant la première lettre par une lettre majuscule ou même toutes les lettres en majuscules (exceptée la première), etc…De nombreuses combinaisons sont possibles ! Aussi, nous pouvons faire précéder ou succéder les mots par un caractère spécial et même changer certaines lettres en caractères spéciaux ou en chiffres (les a en @, les i en 1, etc…).

Cette méthode du dictionnaire est encore plus puissante lorsque l’on a un contexte !

Imaginons que je suis un attaquant et que je souhaite trouver le mot de passe d’une personne chez WeSense. Je vais d’abord créer une liste avec le mot « wesense » et je vais travailler de cette base pour :

  • Ajouter les nombres entre 1900 et 2100, car le mot de passe pourrait y contenir la date de création ou la date de l’anniversaire du président
  • Ajouter les nombres entre 00 et 100
  • Ajouter un caractère spécial
  • Tester chaque caractère en majuscule
  • Tester deux caractères en majuscules
  • Changer certaines lettres par des caractères spéciaux ou des chiffres (les “e” en “3”, les “s” en “$”, etc…)

 

Comment créer un mot de passe robuste ?

 

Lorsque l’on crée son mot de passe, il faut penser à tous ces aspects. Il n’y a pas besoin pour autant de créer une phrase complètement aléatoire !

Prenons deux mots, Cheval et Blanc. Ainsi que notre date de naissance, dans mon cas 1992. Je peux créer une phrase suffisamment robuste avec ces trois éléments, le tout étant de jouer avec ce que l’on a vu précédemment. Le premier réflexe à avoir est d’éviter de mettre la date au début ou à la fin. Eventuellement, la couper en deux pourrait être une bonne idée :

19cheval92blanc

Maintenant, ajoutons des majuscules, en évitant les premières et dernières lettres des mots qui seront sans doute les plus à même d’être modifiées dans les dictionnaires :

19cHeval92blaNc

Ajoutons maintenant des caractères spéciaux et des chiffres en modifiant la phrase de base :

19cH3v@l92b14N¢

Il est beaucoup plus simple de se souvenir de ce genre de mot de passe parce qu’il suffit de retenir les trois éléments que l’on a tiré au début et de la méthode de transformation !

Sinon, il existe de nombreux trousseaux de clés, certains gratuits (keepass par exemple), d’autres payants (dashlane, lastpass, etc…) qui gèreront à la fois la création et la sauvegarde de vos mots de passe.

Aussi, pour apporter une protection supplémentaire à vos comptes, il n’y a rien de mieux que d’activer la double authentification dès que possible ! Ainsi, même si votre mot de passe vient à fuiter, vous aurez tout le temps nécessaire pour le modifier avant que votre compte ne soit compromis !