Ces satanés mots de passe ! Découvrez les recommandations d’un RSSI

Ils doivent être longs, ils doivent être complexes, ils doivent être changés régulièrement et ils doivent être différents d’un contexte à l’autre… Ils doivent avoir été créés par le diable en personne pour nous casser les pieds !

Les mots de passe sont familiers de toute personne ayant la nécessité d’utiliser l’outil informatique : déverrouiller son smartphone, accéder à sa boîte Gmail, accéder à sa page Facebook, accéder à son compte PayPal…

Les exemples quotidiens nécessitant l’utilisation d’un mot de passe sont légion. Nous avons probablement tous plus de mots de passe à retenir que de clefs accrochées à notre porte clefs. Mais comme nos clefs, nos mots de passe servent à protéger l’accès à des ressources qui nous sont précieuses. Et comme pour nos ressources matérielles (domicile, véhicule, boîte aux lettres, valise, etc.), il devrait nous paraître normal de ne pas laisser sans protection nos ressources immatérielles (finances, mails, réseaux sociaux, boutiques en ligne, etc.).

Très bien, mais ne nous répète-t-on pas qu’un mot de passe trop faible revient à ne pas en avoir ? Et n’est-il pas vrai qu’à vouloir respecter les règles contraignantes de la création de mots de passe robustes, nous en venons à les oublier, et donc à être bloqués dans nos actions ? J’ai beau être un professionnel de la sécurité informatique, je n’en reste pas moins humain, et comme vous, retenir une multitude de mots de passe compliqués m’est impossible. Alors que faire ?

Premièrement, il est important de connaître les recommandations minimales en matière de mots de passe (voir le lien en bas d’article). A minima, la CNIL (Commission Nationale de l’Informatique et des Libertés) conseille d’adopter des mots de passe de 12 caractères incluant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Ces critères peuvent être revus à la baisse lorsque l’on introduit un mécanisme d’authentification complémentaire (c’est le principe utilisé par vos banques lors de vos achats en ligne lorsque vous recevez un code par SMS afin de confirmer votre achat).

Deuxièmement, il est nécessaire d’utiliser un gestionnaire de mots de passe sécurisé (encore le lien en bas d’article). Quésaco ? Un gestionnaire de mots de passe sécurisé est un logiciel permettant de stocker de façon inviolable vos mots de passe, sous la condition unique de retenir le mot de passe maître, celui permettant de déverrouiller votre gestionnaire de mots de passe. En somme, retenez un seul mot de passe robuste, que vous aurez préalablement choisi, et vous aurez accès aux autres étant contenus dans votre gestionnaire de mots de passe.

Sur les 3 outils proposés par la CNIL, je vous conseille Keepass (existe également en version mobile), qui est recommandé par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). Un tutoriel vidéo est disponible sur le site de la CNIL (toujours le lien en bas d’article). Pour retour d’expérience, sachez qu’après plusieurs années d’utilisation, mon Keepass contient 155 mots de passe, tous respectant les bonnes pratiques en la matière. Croyez-moi, l’essayer c’est l’adopter !

https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe