Recommandations sur la gestion des mots de passe

Précisons d’emblée que la méthode proposée s’applique uniquement à un usage de l’ordinateur, en rapport avec le cadre de nos activités et avec le public concerné par ces activités : un usage à caractère privé, dans un cadre non-professionnel.

Ces conseils ne doivent pas être généralisés à un contexte professionnel, notamment dans une entreprise ou une administration en réseau. Le contexte professionnel implique des règles d’usage quant à la gestion des mots de passe de l’utilisateur qui ne sont du tout du même ressort que celles que l’on doit mettre en œuvre sur son propre ordinateur, pour un usage non-professionnel.

Première difficulté : il est de plus en plus fréquent que la frontière entre l’utilisation privée et l’utilisation professionnelle de son ordinateur (et de son smartphone) s’estompe, voire, disparaisse complètement. La crise sanitaire a empiré le phénomène.

Empiré, disons-le clairement.

Il se trouvera probablement quelques bons apôtres de l’art de « concilier la vie privée et la vie professionnelle à l’aide du télétravail » pour décréter que l’embarquement des missions professionnelles dans l’intimité privée représente une innovation mais je considère que, du point de vue de la sécurité - pour le moins - cette affaire là représente de sérieux problèmes, qu’on aurait tord de sous-estimer.

Donc, concrètement, s’il arrive que l’on doive utiliser le même ordinateur, pour effectuer régulièrement à la fois des tâches professionnelles et des tâches non-professionnelles, je recommande de créer des comptes d’utilisateurs distincts, afin de compartimenter les activités.

Deux dispositifs

De façon générale, je propose une méthode de gestion de mots de passe reposant sur deux dispositifs associés :

– la mémorisation humaine d’un nombre limité de mots de passe (que j’appellerai plus loin « mot de passe à mémoire humaine »),

– et le traitement d’un nombre illimité de mots de passe, à l’aide d’un dispositif logiciel.

Le principe étant le suivant :

– D’une part, pour quelques comptes, seulement, vous aurez l’obligation de connaître des mots de passe forts et mnémotechniques. C’est à dire, qu’il s’agira de mots de passe composé d’une douzaine de caractères, sans aucun sens apparent, comportant une suite de majuscules, minuscules, signes de ponctuation et chiffres mais que vous pourrez retrouver facilement parce que ces caractères correspondent à quelque chose qui n’a de sens que pour vous-même : chouette, un secret !

– D’autre part, tous vos autres comptes - messagerie, administratifs, commerciaux, réseau sociaux, associatifs, etc. - seront gérés par un dispositif logiciel. Par contre, pour accéder à ce trousseau numérique il faudra vous identifier et c’est là qu’il faudra sortir à chaque fois que ce sera nécessaire, l’un des « mots de passe à mémoire humaine », préalablement créé à cet effet.

« Mots de passe à mémoire humaine »

Les « mots de passe à mémoire humaine » concernent donc un nombre extrêmement limité de comptes :

– votre connexion au(x) comptes utilisateur(s) de votre ordinateur : utilisateur standard, administrateur, compte professionnel (si besoin),
– la connexion à votre compte bancaire (lire l’article de Numerama sur le sujet),
– la connexion au logiciel de mots de passe, lequel vous donnera accès au trousseau de tous vos autres mots de passe (voir plus loin).

J’ai bien indiqué qu’il s’agissait de créer des mots de passe forts. Cela exclu donc d’emblée les indications personnelles trop simples, telles que les noms de ses proches, des dates de naissance ou autres passions personnelles facilement identifiables (animal de compagnie, chanteur, actrice, présentateur TV, animateur d’informations, agitateur de vérités incontournables, dénonciateurs de faux sceptiques, personnel politique ou célébrité apolitique, obscur anonyme faisant néanmoins l’objet d’une insistante notoriété, etc.)

Autre conditions requise indispensable : tous ces « mots de passe à mémoire humaine » doivent être à usage unique, donc vous vous interdisez la réutilisation du même mot de passe pour quelque autre usage ou autre appareil que ce soit.

Pour créer ce type de « mots de passe à mémoire humaine », vous pouvez, par exemple, vous aider de cette page de la CNIL : Générer un mot de passe solide.

Une fois que vos quelques « mots de passe à mémoire humaine » sont créés, rien n’empêche de s’aider de quelques pense-bêtes, tels qu’un carnet intime, un recueil de poésies ou de recettes de cuisine, boîte à chaussures, plan de tableau de bord électrique, que sais-je... Ainsi, il vous sera possible de retrouver facilement vos secrets et donc, vos mots de passe, si justement, votre mémoire fait défaut.

Car, nous avons vu, me prenant pour exemple, que la réalité n’est pas toujours celle qui est si soigneusement décrite dans les manuels et autres leçons de choses informatiques. Personne n’est à l’abri de cet insupportable harangue du mot de passe erroné, dont la grotesque interactivité n’a d’égale que la rage de vous maudire vous-même de vous être laissé prendre à cette abominable dépendance.

Dans le cas, donc, où votre mémoire humaine vous trahit au moment ou vous êtes censé en avoir le plus besoin, il peut s’avérer indispensable de pouvoir reposer sur quelques vieux colifichets personnels permettant, par contrainte ou par plaisir, de retrouver la voie de la civilisation.

Mais attention : évitez de laisser des indices trop grossiers. Effectivement, chez soi comme au boulot : il ne faut pas inscrire ses mots de passe de connexion sur un Post-it, collé sur l’écran, l’imprimante ou le frigo...

Gestionnaire de mots de passe

Une fois que vous avez bien compris que la logique de traitement de vos différents mots de passe reposait sur la création préalable d’un nombre limité de mots de passe forts à mémoire humaine, dont l’un d’entre eux aurait le rôle de servir de clé d’accès au trousseau de tous vos autres mots de passe, on peut considérer que l’essentiel est fait.

Il ne reste, après, qu’à trouver quel dispositif logiciel sera utilisé pour traiter tous vos autres mots de passe.

J’en proposerais trois types :

– Un gestionnaire de mots de passe intégré dans une suite de sécurité. Pour cela vous pouvez vous référer à un comparatif actualisé (c’est la raison pour laquelle je ne propose aucun lien ici) des suites de sécurité que votre moteur de recherche vous retournera si vous lui envoyez les mots-clés suivants : suite de sécurité gestionnaire mot de passe

– Un gestionnaire de mot de passe dédié. C’est à dire, un logiciel spécialisé dans la gestion des mots de passe et non, comme nous venons de le voir, un composant intégré dans une suite de sécurité. Ce pourra être soit un programme classique à installer sur l’ordinateur, soit une extension à ajouter au navigateur. Là encore vous pouvez trouver votre bonheur en interrogeant votre moteur à l’aide des mots-clés : gestionnaire de mots de passe ou, ici, si vous souhaitez trouver une extension de Firefox.

– Enfin, la dernière solution pour gérer vos mots de passe, peut vous être donnée par le navigateur, lui-même. C’est le cas de Firefox. Le navigateur de Mozilla propose de traiter la mémorisation des informations de connexion - identifiants et mots de passe - à vos différents comptes, avec la possibilité d’exclure certains accès (par exemple votre banque). Attention, si vous optez pour la solution du navigateur, je vous recommande de créer un mot de passe principal (voir point suivant). Voici le support en ligne de Firefox, qui vous explique comment fonctionne son gestionnaire intégré de mot de passe.

Pourquoi faut-il créer un mot de passe principal sur Firefox ?

Comme nous l’avons vu, quelle que soit la solution parmi les trois proposées ci-dessus, il sera nécessaire de taper un « mot de passe à mémoire humaine » pour déverrouiller l’accès à votre trousseau numérique de mots de passe.

Sur Firefox, cette fonctionnalité s’appelle « mot de passe principal. »

Concrètement, le navigateur vous demandera d’indiquer ce mot de passe principal à chaque ouverture du programme et il faudra encore taper ce sésame, par exemple, pour modifier vos informations de connexion sur tel ou tel compte.

Par contre, toujours sur Firefox, si vous ne demandez pas de créer un mot de passe principal, toutes les informations de connexion seront accessibles à partir de votre session, ce qui, d’un point de vue de sécurité, me semble très problématique.

C’est la raison pour laquelle je vous conseille de n’accorder à Firefox la mémorisation des vos informations de connexion à vos différents comptes qu’à condition d’avoir activé cette option de création d’un mot de passe principal.

Pour tout dire, j’avoue que je ne comprends pas pourquoi Firefox n’impose pas la création d’un mot de passe principal comme condition requise à l’utilisation de son gestionnaire de mots de passe.

Je vous recommande vivement de lire le support de Firefox concernant le mot de passe principal.

Générer des mots de passe forts

Tous les mots de passe mémorisés par votre gestionnaire, doivent impérativement être forts, avec un nombre élevé de caractères (par exemple 12), composés de lettres majuscules, de lettres minuscules, de caractères spéciaux et de chiffres.

Contrairement aux « mots de passe à mémoire humaine », il n’est pas nécessaire que cette suite de caractères ait un sens pour vous, puisque vous n’aurez jamais l’obligation de les taper et donc de les retenir. alors, inutile de vous priver pour donner à tous vos comptes le maximum de protection : créez des mots de passe les plus tordus possibles !

Voici un exemple de mot de passe fort : Nm7t[B6w>N9 ?

Pour vérifier la force de vos mots de passe, vous pouvez utiliser un service tel que celui de Kaspersky

Beaucoup de gestionnaires de mots de passe intègrent leur propre générateur de mots de passe.

Si tel n’est pas le cas, par exemple, alors vous trouverez sur le web des gestionnaires aléatoires de mots de passe, tel que celui-ci : https://www.motdepasse.xyz/

Précision importante : contrairement à ce que j’avais écrit lors de la mise en ligne de ce support, Mozilla permet bien de générer des mots de passe forts aléatoires, au moment de la création des comptes. Il en est de même lorsque vous demandez de modifier un mot de passe sur un compte.

Par contre il ne vous permet pas de créer automatiquement un mot de passe principal ; pour ce dernier vous devrez donc, comme nous l’avons vu plus haut, préalablement créer un mot de passe mnémotechnique (ce que j’appelle « mot de passe à mémoire humaine ») que vous aurez à taper à chaque fois que vous aurez besoin de passer par le gestionnaire de mot de passe du navigateur.

Changer régulièrement les mots de passe

Venons-en, pour terminer le sujet, à la question de la fréquence de modification de mot de passe.

Il me semble que cette question doit être traitée avec discernement.

Dans le monde professionnel on impose parfois le changement de mot de passe à intervalle très fréquent, par exemple, tous les mois. Cela peut se justifier, notamment par rapport au fait que les salariés sont reliés à des réseaux d’entreprise représentant des enjeux stratégiques et vitaux et que la plupart de intrusions sont le fait de négligences d’accès aux comptes utilisateurs et de messagerie (à commencer par les fameux post-it collés à l’écran).

Pour le cadre d’usage qui nous concerne - je le rappelle, un usage personnel privé, reposant sur un double dispositif : « mot de passe à mémoire humaine » sur un nombre limité et gestionnaire logiciel pour le reste - il nous faudra peut être revoir la fameuse consigne du changement de mots de passe « fréquemment », lequel, tant qu’il n’indique pas de fréquence exacte, s’avère, en fait, assez peu rigoureux.

Voici ce que je propose de façon très pragmatique :

– Pour les « mots de passe à mémoire humaine », s’ils sont vraiment forts, je pense qu’il n’est peut-être pas nécessaire de les changer plus d’une fois l’année. Je sais que je vais me faire pourrir par les vrais pros, mais pensez que vous aurez à taper ces mots de passe tous les jours, voire plusieurs fois par jours. C’est à vous de voir mais mieux vaut se donner des objectifs réalisables, plutôt que de s’imposer des règles théoriques qui risquent tout bonnement d’être ignorées car elles sont vécues comme des contraintes insupportables.

Quoi qu’il en soit, quand vous changez ces « mots de passe à mémoire humaine », vérifiez que vous êtes bien en mesure de pouvoir retrouver facilement ces nouveaux mots de passe. J’insiste là dessus car l’affaire s’avère être un peu plus compliquée qu’il n’en parait au premier abord : j’ai vu trop de fois des personnes en rade à ce sujet - y compris de grand gourous de l’informatique - pour évacuer la question d’un simple revers de manche.

À titre d’information, voici le support de Microsoft (pas vraiment excitant) qui vous indique la marche à suivre pour réinitialiser la mot de passe d’accès à votre compte utilisateur sur Windows 10 version 1803 et ultérieures : Réinitialiser le mot de passe du compte local Windows 10.

– Pour le gestionnaire de mots de passe, par contre, il n’y a aucune restriction à se donner sur la fréquence de changement des mots de passe : puisque vous n’avez rien à retenir, changez vos mots de passe le plus souvent possible. Changez, par exemple, vos accès à vos messageries tous les mois.

Sauvegardez vos données !

Pour conclure ce support, il me semble indispensable de rappeler que vous devez effectuer des sauvegardes de vos données personnelles, sur un, voire sur deux disque durs externes.

À quoi bon adopter une stratégie de gestion de mots de passe vachement agile si, au moment où le disque dur de votre ordinateur rend lames et rondelles, vous vous rendez compte que vous avez tout perdu car vous n’aviez fait aucune sauvegarde ?

Alors répétons-le encore : faites vos sauvegardes. C’est à vous de fixer la fréquence de sauvegarde en fonction de la fréquence de stockage de nouvelles données sur votre ordi.

Pour ce que nous venons de voir, retenez ceci : la sauvegarde devra être effectuée, immédiatement après modification d’un ou plusieurs mots de passe de votre gestionnaire.

Cela ne se discute même pas !

Un support maison concernant la procédure spécifique de sauvegarde et de restauration du profil Firefox est en cours de réalisation. En attendant, voici deux liens qui devraient vous permettre de dégrossir la question :

– Profils – là où Firefox conserve vos marque-pages, mots de passe et d’autres données utilisateur (support Mozilla)

– Sauvegarder et restaurer les informations dans les profils de Firefox (support Mozilla)