Se protéger contre les pirates ? Yes we can
publié Le 21 Avril 2010
Avoir un seul mot de passe pour accéder à tous ses sites est dangereux. L’annonce du piratage du compte Twitter du président américain Barak Obama en est une spectaculaire illustration. Web Patron! vous propose une méthode de gestion de mot de passe simple et efficace afin d’éviter de vous faire voler votre mot de passe, et éventuellement beaucoup d’autres données…
Le français âgé de 25 ans auteur du piratage du compte Twitter de Barak Obama- et qui vient d’être arrêté- n’est pas un génie du hacking. Pour trouver le mot de passe du compte Twitter du président américain, il a “simplement” découvert la réponse à la question secrète de son compte Yahoo!. La question secrète est cette question que vous choisissez au moment de créer votre compte email, dont vous seul êtes sensé connaître la réponse, et qui permet de vous identifier en cas de perte de votre mot de passe. Par exemple : “Quel était le nom de votre animal domestique quand vous étiez enfant?”. Je ne sais pas quelle était la question secrète choisie par Barak Obama, toujours est-il que le jeune pirate a réussi à la découvrir à force de patience et de recherches sur la vie du président américain.
A partir de cette découverte, le hacker a pu prendre le contrôle du compte Yahoo! de Barak Obama, et découvrir son mot de passe. Or ce mot de passe était LE MEME que le mot de passe utilisé par le président américain pour son compte Twitter, et probablement aussi le même mot de passe pour accéder à d’autres services.
Ce piratage, forcément très médiatisé, rappelle un autre piratage, beaucoup plus important en nombre, et probablement plus inquiétant : la diffusion publique en 2009, de dizaines de milliers de mots de passe Gmail et Yahoo. Un événement qui avait déjà fait la preuve que les géants du net eux-mêmes ne pouvaient nous garantir une sécurité parfaite.
Ces pillages avaient également mis en évidence le risque énorme de ne posséder qu’un seul et unique mot de passe pour accéder aux différents services du web : un de vos comptes piraté et c’est la totalité de votre vie numérique qui ouvre ses portes au grand public.
Une clé pour chaque placard, voilà donc une solution -qui à défaut d’être idéale- est tout de même beaucoup plus sûre.
Problème : difficile de se souvenir de chaque mot de passe si vous possédez plusieurs dizaines de comptes sur internet. Des services existent, sur le net et sur les smart phones (Iphone etc.), pour stocker vos mots de passe. Je vous déconseille de les utiliser. Ils ne font que reporter le problème, et d’une certaine façon, augmentent le risque dans la mesure où ils rassemblent en un seul lieu la totalité de vos clés numériques.
La solution Web-Patron : l’algorithme. Une seule “formule” à appliquer à chacun des sites, pour obtenir un mot de passe unique pour chaque site.
Exemple 1
Deux choses à retenir : votre date de naissance, et la façon dont vous aller mélanger les chiffres au nom du service que vous utilisez.
Vous êtes né en 1968. Vous utilisez Gmail.
Prenez les 4 premières lettres du site concerné G.M.A.I, et faites suivre chacune de ces lettres par la série de chiffre de votre date de naissance 1.9.6.8
Résultat : G1M9A6I8, un mot de passe de 8 caractères (composé de lettres et de chiffres, donc plus difficile à casser par un hacker).
Le MEME algorithme appliqué à VIADEO, donne V1I9A6D8.
Avec YAHOO, le mot de passe devient Y1A9H6O8
Etc.
Exemple 2
Mélanger par paire, les lettres d’un nom familier (le vôtre, celui de votre enfant, etc) au nom du site. Votre fille s’appelle Suzon?
Avec Gmail, on trouve GmSuaizoln
Le même algorithme donne LiSunkzoedn avec LinkedIn
Vous pouvez également adjoindre des préfixes ou des suffixes, pour rallonger les mots de passe.
A vous de faire appel à votre imagination pour trouver la combinaison facile à retenir.
Rappelons qu’un mot de passe est plus “fort”, c’est à dire plus difficile à violer par des méthodes informatiques automatisées, s’il contient des caractères spéciaux (&@!ù$€), ainsi que des minuscules et des majuscules. Je renvoie à ce sujet sur cet article du Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques Informatiques, le CERTA.
