Tout sur les mots de passe

De Vulgum Techus
Aller à : Navigation, rechercher

Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres sites spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.

Anatomie d'un mot de passe
Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :

  • Longueur de 1 à N éléments (en pratique rarement plus de 20)
  • Composants d'un mot de passe :
    • Chiffres : de 0 à 9 soit 10 combinaisons par éléments
    • Lettres : de a à z & de A à Z soit 26 combinaisons par éléments si le programme est insensible à la casse (à savoir a=A) ou 52 combinaisons si le programme y est sensible (a<>A)
    • Lettres spéciales : lettres accentuées, ç, ñ soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
    • Signes spéciaux : /-?*+-)%@{] soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte


On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :

  • Chiffres uniquement : 10^N ou N=nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments -> nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
  • Lettres uniquement + casse indifférenciée : 26^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 26^4 soit 456.976
  • Chiffres + lettres + casse indifférenciée : 36^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 36^4 soit 1.679.616
  • Lettres uniquement + casse différenciée : 52^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 52^4 soit 7.311.616
  • Chiffres + lettres + casse différenciée : 62^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 62^4 soit 14.776.336
  • Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 200^4 soit 1.600.000.000


On perçoit dont, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.

Comment un mot de passe est découvert
Les méthodes pour découvrir un mot de passe sont nombreuses et variées. Elles conditionnent la politique que chacun doit avoir dans la gestion de ses mots de passe.

  • Force brute : on tente toutes les combinaisons avec des programmes spécifiques et de préférence sur des systèmes les plus rapides possibles
  • Bibliothèques : on essaye avec des bibliothèques de mots de passe réputés très courant (prénoms, gros mots, séquences simples comme abcd123, etc.)
  • Ingénierie sociale : on récupère les mots de passe par du relationnel où en trouvant là où il pourrait être écrit (post-it, carnets, etc.)
  • Piratage : on l'obtient de manière frauduleuse en utilisant des outils informatiques ou électroniques (phishing, keyloggers, analyse de paquets, etc.)


Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :

  • Emploi de mots de passe différents sur chaque site, compte, email, etc.
  • Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
  • Emploi d'un logiciel de stockage des mots de passe lui-même sécurisé par un mot de passe très sûr
  • Définition d'une fréquence de changement des mots de passe stratégique
  • Mise en place de précaution pour éviter d'être victime du piratage (antimalware, antivirus, précaution avec certains mails, changement des mots de passe après des connexions à risque, etc.)

Liens utiles