De l’importance du mot de passe

Valentin Quelquejay
8 min readJun 2, 2020

--

Nous vivons dans un monde de plus en plus digitalisé. Tout communique, tout va vite. Internet est magique : email, cloud, e-commerce, services bancaires, impôts, visioconférences, on ne compte plus le nombre de choses aujourd’hui bien plus faciles grâce à internet.

Tout cela est rendu possible grâce au fait que nous disposons chacun d’une “identité virtuelle”, une identité que l’on se créé continuellement alimentée par l’ensemble des sites que l'on visite. Une simple demande à Facebook ici ou Google ici par exemple vous permettra de télécharger les données associées à votre profil et de vous rendre compte du nombre d’information stockées sur vous. Je prends le pari que vous serez sans voix lorsque vous y auez jeté un oeil. Bref, la préservation de la vie privée est un sujet extrêmement complexe et le but de ce post n’est pas de parler de ça. Non. Le but de ce post est de parler de quelque chose de bien plus simple et pourtant bien trop négligé par 95% de la population : le mot de passe.

En effet, avant même de se préoccuper de la préservation de ses données personnelles, il serait utile de se concentrer sur ces suites de caractères alphanumériques qui hantent votre mémoire, vous font perdre un temps fou, vous créent bien des ennuis quand il s'agit de les créer mais dont vous ne pouvez pourtant pas vous passer : vos mots de passe ou pour certains votre mot de passe. Et là réside l’ensemble du problème. Bien que d’autres moyens d’authentification dits biométriques comme l’empreinte digitale ou l’iris commencent aujourd’hui à être utilisé, le mot de passe reste extrêmement populaire et je suis convaincu qu’il le restera encore longtemps.

Sans entrer dans des considérations trop techniques, lorsque vous vous enregistrez sur un site, ce site associe votre email, votre mot de passe ainsi que vos données personnelles et stocke le tout dans une énorme base de données (une sorte de tableau à double entrées gigantesque avec une ligne par utilisateur). Dès lors, la prochaine fois que vous souhaitez vous connecter, le site vous demande d’entrer à nouveau votre email et mot de passe. Si le couple email/mot de passe est trouvé dans la base de donnée, alors le site sait que c'est bien vous et autorise la connexion. Sinon, il refuse. Seulement plusieurs problèmes peuvent compromettre l’intégrité et la sécurité de ce système.

Vous ne l’imaginez peut-être pas mais tous les jours, des milliers de sites internet font face à des cyber-attaques et des millions de données utilisateurs sont volées. Vous pensez ne jamais avoir été victime d’un vol de données ? Et bien détrompez vous. Il y a de très fortes chances que vous ayez déjà eu affaire à une attaque du genre. Je vous invite à vous rendre sur ce site et entrer votre email. Vous pourrez alors savoir si vous avez déjà été victime d’un vol de données. Il y a fort à parier que cela soit le cas. Sinon, excellent. Mais gardons à l’esprit que seule une faible partie des données volées est référencée. Si des géants du web à l’image de Facebook, Google, Apple, Adobe mettant pourtant en place des protections strictes ont déjà eu affaire à ce genre d’attaques, je ne vous laisse même pas imaginer comme certains sites sont de vraies passoires. Réfléchissez quelques secondes au nombre de comptes en ligne que vous avez créé ces derniers mois. Réfléchissez au nombre de sites sur lesquels vous avez entré votre adresse postale, date de naissance ou encore vos coordonnées bancaires. Ils se comptent par dizaines ou même parfois par centaines. De Facebook à Amazon, de Youtube à l’administration fiscale, tous ont un point commun : il vous ont demandé de vous inscrire à l’aide d’un email et d’un mot de passe. C’est en effet grâce à ce couple magique qu’ils sont capable de vous identifier, de vous authentifier et de sauvegarder tous les renseignements que vous leur fournissez afin que vous puissiez commander en un clic lors de votre prochaine visite.

Une fois qu’un "hacker" réussit à voler la base de données d’un site web, il va tenter de l’exploiter. Pour comprendre comment cela se passe, comprenons déjà rapidement comment est stocké un mot de passe dans une base de donnée. En effet, il existe plusieurs manière de stocker les mots de passe associés aux email des utilisateurs :

  • Première option :

Stocker le mot de passe de ses utilisateurs en clair c’est à dire sans aucune sécurité. Supposons que votre mot de passe soit “securite”, alors le site stockera simplement “securite” dans sa base de donnée. Il pourra ainsi le comparer avec le mot de passe que vous tapez à chaque fois que vous tentez de vous connecter. En 2020, cela ne devrait plus exister et pourtant… Imaginez un hacker qui récupère une telle base de données, c’est de l’or en barre. Rien à faire. Seulement lire les couples email/mot de passe de tous les utilisateurs et c’est parti pour s’amuser.

  • Deuxième option :

Grâce à l’évolution de la technologie et de la cryptographie, on sait aujourd’hui chiffrer puis déchiffrer des données de manière extrêmement efficace ce qui permet de les stocker, les partager ou même les comparer sans en révéler le contenu. C’est grâce à cela que la plupart des sites aujourd’hui stockent fort heureusement votre mot de passe sous forme chiffrée. Pour faire simple, lorsque vous créez votre compte et que vous choisissez votre mot de passe, le site va transformer de manière déterministe votre mot de passe en une chaîne de caractères alphanumérique de longueur fixe (appelée hash) en lui appliquant une transformation mathématique que l’on appelle fonction de hachage. Cette transformation dispose de nombreuses propriétés très intéressantes mais les deux plus intéressantes sont les suivantes : Il n’est pas possible de retrouver simplement votre mot de passe depuis la chaîne cryptée (la transformation n’est pas inversible). De plus, si l’on entre toujours les mêmes paramètres dans l’algorithme, la chaîne générée pour un même mot de passe sera identique. Ainsi, lorsque vous vous connectez une nouvelle fois au site à l’aide de votre email et votre mot de passe, le serveur applique une nouvelle fois cette même fonction de hachage au mot de passe que vous venez d'entrer. Il compare ensuite la chaîne alphanumérique produite à celle stockée dans sa base de données. Si les chaînes correspondent, c'est que le mot de passe entré est le bon.

Un petit schéma pour résumer la situation

Magnifique me direz vous ! C’est parfait, je n’ai pas à me soucier de mettre un mot de passe fort et unique puisqu’il est de toute façon chiffré. Pas si vite..

Dans un monde idéal, tous les sites utiliseraient des algorithmes ultra-sécurisés qui rendraient l’exploitation d’une base de données volée très difficile. Cependant, bien que plus complexe, rien n’est impossible et même dans ce cas, il serait toujours possible de l’exploiter. De plus malheureusement à l’heure actuelle, énormément de plateformes utilisent encore des algorithmes de chiffrement obsolètes ce qui rend la tâche des hackers très facile. L’attaque la plus basique étant simplement de prendre une liste de mots de passe les plus courants, leur appliquer la fonction de hachage et comparer les hash obtenus avec ceux stockés dans la base de données. Il suffit ensuite de s'intéresser aux entrées qui correspondent et de regarder à quel mot de passe elles correspo ndent. On aura alors retrouvé le mot de passe des utilisateurs.

Or, on sait que 90% des utilisateurs utilisent le même mot de passe sur de nombreux sites. Il suffit alors au hacker d’aller essayer de se connecter sur les sites qui l’intéressent avec la liste d’email et de mots de passe récupérée pour être certain de récupérer l’accès à certains comptes. Vous aurez compris le principe : un hacker intelligent va tenter de voler des emails et mots de passe sur des sites très peu sécurisés pour utiliser ensuite ces mêmes mots de passe sur des sites plus intéressants. Et dans 80% des cas c’est bingo.

Ainsi, deux leçons à retenir :

  1. Si vous faites partie de la majorité qui met encore en 2020 le même mot de passe partout alors arrêtez immédiatement ! Cela est bien trop dangereux et il existe aujourd’hui un nombre conséquent de gestionnaires de mot de passe extrêmement simples d’emploi et gratuits qui vous permettent de générer des mots de passe individuels pour chaque site tout en ayant besoin de n’en retenir qu’un seul. Il n'y a aucune raison de ne pas les utiliser. À la limite mais vraiment à la limite des limite, si vous êtes allergique à utiliser un gestionnaire de mot de passe pour une raison que j'ignore, vous pourriez éventuellement vous contenter d’un mot de passe par service. Dans ce cas, les mots de passe ne doivent pas être liés et doivent absolument obéir à l'ensemble des critères de sécurité cités ci-dessous. Il vous faudra alors trouver un bon moyen mnémotechnique pour vous en souvenir. Je ne recommande pas cette solution qui est à mes yeux plus compliquée à mettre en place aujourd'hui qu’utiliser un gestionnaire de mots de passe. Si vous choisissez cette option et que l’un de vos mot de passe est corrompu, pensez à le changer sur l’ensemble des sites où vous l’avez utilisé…
  2. Mettre un mot de passe trop simple et courant est inutile. Cela n’aura de surprise pour personne, le cerveau humain est bien fait et la majorité de nous fonctionnons de la même façon. Nous pensons à la même chose lorsqu'on créé nos mots de passe. Exit donc les “azerty”, “123456”, “maison”, nom, date de naissance etc.. Il ne prendra que quelque secondes à un hacker même débutant pour corrompre ce genre de mot de passe. Un mot de passe fort devrait respecter les critères suivants :
  • Il contient des lettres, des signes de ponctuations, des symboles et des chiffres
  • Il contient au moins huit caractères
  • Il ne mentionne pas d’information personnelle
  • Il ne contient pas de mot entier

Vous avez compris, sauf avec une mémoire de titan, il devient rapidement compliqué de se rappeler ce genre de mot de passe surtout si vous devez en apprendre plusieurs. C'est pour cette raison que la plupart des gens ne respectent pas ces règles. D’où l’utilité du gestionnaire de mot de passe qui permet de n’avoir à se souvenir que d’un unique mot de passe fort que vous ne communiquerez jamais. Ce dernier s’occupera alors de générer des mots de passe indépendants pour chaque site.

Si vous commettez l’un de ces deux écueils ou même les deux, j’espère que vous aurez à présent une vision plus claire de l’importance du problème et que vous changerez immédiatement vos pratiques. Si c’était peut-être encore acceptable de faire comme tel il y a quelques années, cela n’est absolument plus le cas en 2020. Malheureusement, je sais pertinemment que l’humain a la fâcheuse tendance à ne pas faire attention tant qu’il n’est pas directement impacté. Il a fallu attendre un certain temps avant que les gens acceptent de mettre la ceinture de sécurité en voiture et pourtant aujourd'hui, cela paraît impensable de ne pas en avoir une. Je vous garantis que le jour où quelqu’un aura récupéré des données confidentielles à votre sujet ou vos coordonnées bancaires, il sera trop tard pour réagir. À bon entendeur.

Cet article est le premier d’une série dans laquelle je souhaite vulgariser certaines notions de sécurité informatique. J’ai décidé d’écrire cet article car je suis actuellement étudiant en Cybersécurité et c’est avec effroi que je constate le fossé qu’il existe dans la connaissance de ce domaine ainsi que l’appréhension du risque entre la majorité de la population et la faible proportion plus informée. Ces articles n’ont en aucun cas vocation à être scientifiquement exacts mais simplement à passer le message à la majorité que lésiner sur la sécurité informatique aujourd’hui expose à un réel danger.

--

--

Valentin Quelquejay
Valentin Quelquejay

Written by Valentin Quelquejay

Tech, Web3, Cybersecurity. Improving every minute.

No responses yet