Des mots de passe que l’on utilise au quotidien...
Régulièrement (environ tous les 3 mois), sur mon PC professionnel, je suis amené à changer de mot de passe, car tel est la politique de sécurité qui a été défini. Le mot de passe doit être de 8 caractères minimum, avec des majuscules et minuscules, et des chiffres. Comme c’est un mot de passe que je dois taper tous les jours, plusieurs fois par jour (l’écran de veille verrouille la session quand je quitte mon poste), je mets un mot de passe que je qualifierai de simple. Comprendre par là un mot de passe qui est facile à taper, que je retiens et dont j’ai l’habitude...
Le problème est là : l’habitude. J’utilise un mot de passe qui n’est pas unique, que j’utilise à d’autres endroits, en particuliers sur des sites webs.
Je sais que ce n’est pas bien. Peu à peu, je change tous les mots de passes des comptes que j’utilise au quotidien (réseaux sociaux, mails), en adoptant un mot de passe unique pour chacun. Mais tous sont construits selon la même logique. J’ai trouvé une méthode pour m’en rappeler mais même si le mot de passe en lui-même est complexe, la méthode est simple et si on la trouve, on peut deviner une bonne partie de mes mots de passe. Pour illustrer ça imaginons que la racine des mots de passe est toto. On peut faire FacebookToto1234%, LinkedinToto1234%, TwitterToto1234%. Cela constitue des mots de passe solides. Mais si quelqu’un trouve le motif et la logique derrière la construction du mot de passe, il a tous les mots de passe... Dans la réalité, c’est plus complexe, mais l’idée est là.
Pour en revenir au PC professionnel, si je ressaisis un mot de passe déjà utilisé précédemment, j’ai un message qui me demande d’en choisir un autre. Il y a donc un enregistrement de ces mots de passe et je n’ai aucune idée ni aucune confiance sur la façon dont stockés ces mots de passes (en clair ? ou chiffré/hashé avec un peu de sel par dessus ?).
Ajouter à ça le fait que, passant par un proxy, si le proxy de l’entreprise fait du man in the middle/homme du milieu en remplaçant les certificats SSL, il peut très bien voir les mots de passe des connexions https et les enregistrer. Ce n’est pas le cas, j’ai vérifié les certificats, mais dans le principe, c’est un risque en plus...
Autre problème avec les mots de passe, il y a le fait que pour qu’elle soit facile à retenir (mais néanmoins complexe), ma clef Wifi est composée/est la concaténation de différents mots de passe que j’utilise de façon habituelle. Dans un certain ordre. Donc à chaque fois que je saisis la clef Wifi sur appareil mobile et que je l’autorise à se connecter, je répands un peu plus des mots de passe dans la nature...
De même, Mme Genma connait mes mots de passe "par défaut" (Pour le cas où, pour une raison ou une autre, elle a besoin d’avoir accès à un compte, dans le cas de la gestion de mon testament numérique par exemple) et les utilise elle-même pour ces comptes. Avec le même mot de passe pour différents comptes. Nous partageons le même réseau et la même IP, donc cela présente un risque supplémentaire.
Je dois sérieusement me pencher sur toute cette problématique, revoir tous mes mots de passe et faire en sorte qu’il y ait un mot de passe différent par compte, que ce soit pour les comptes Internets, pour les comptes utilisateurs de mes différents PC, pour mes clefs de chiffrements, mes conteneurs TrueCrypt.
Une solution que j’envisage ? Keepass pour stocker tout ça. Avec une passphrase assez longue pour sécuriser le tout. Rien n’est parfait, la problématique est complexe et j’ai pas mal de travail. Ce projet de gestion des mots de passe en est donc un à part entière...