L’enfer des mots de passe qu’on oublie, qu’on répète, qu’on invente. Personne n’y échappe. Notre reporter est allé taper à la porte de la CNIL pour avoir des conseils et peut-être réussir à s’alléger la vie numérique.

Texte Karollyne Videira Hubert

On est samedi, je prévois d’aller au cinéma avec les copines. Cette fois-ci, c’est à moi de réserver nos places. Je trouve une séance au cinéma le plus proche de chez moi, j’ajoute mes trois tickets dans le panier, mais au moment du règlement, le site me propose de me connecter ou de créer un nouvel identifiant. Je tente bêtement de me connecter une ou deux fois, sans succès, je n’ai pas l’habitude d’aller sur ce site. Par magie, Google me propose de me connecter avec mon compte. Et vous savez, parfois cela marche et parfois cela nous fait perdre un temps fou. Il y a une semaine, j’avais déjà modifié mon mot de passe, car la semaine précédente, j’avais déjà oublié ce que j’avais mis le mois d’avant. Devinez quoi, aujourd’hui aussi.

C’est fatigant. Je me dis «  mais pourquoi est-ce que je ne garde pas qu’un seul mot de passe unique, vu que finalement, je laisse mon portable ou mon ordinateur mémoriser à ma place  ?  »

Mot de passe : la chance de l’anonymat

Sans doute, parce qu’autour de moi, on me dit de faire attention, il y a trop de voyous sur internet. Je pense alors à cet enseignant que j’ai eu en classe préparatoire, qui disait que nous étions en «  sécurité numérique  » grâce à notre insignifiante existence, grâce à notre manque d’argent ou bien grâce à notre manque de célébrité dans la société.
«  Néanmoins, faites attention à vos proches, c’est eux qui voudront savoir ce que vous cachez et c’est eux qui tenteront de vous piéger. À part cela, vous n’êtes qu’un insignifiant algorithme perdu dans toute cette masse de données. Les chances que quelqu’un tombe sur vous sont nulles ou bien, cela serait le fruit d’un hasard digitalisé.  »

Lire Aussi | Monter en compétence grâce à la transition digitale 

La décennie du hacking

Un hasard en forte augmentation à en croire l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui, en 2020, déclarait que «  les attaques ransomware (ou rançongiciel) à l’encontre des entreprises françaises avaient été multipliées par trois  ». Le Ministre délégué chargé du Numérique, Jean-Noël Barrot ajoute que 9 Français sur 10 avaient été victimes de cyberattaques cette année.

Alors, la question se pose, comment protéger mon entreprise ? Mon foyer ? Mes comptes bancaires  ? Mes réseaux sociaux  ? Si nous ne pouvons pas vraiment faire confiance à nos mots de passe, existe-t-il de vraies solutions pour le commun des mortels  ?

C’est en discutant avec Florent Della Valle et Christophe Vivent, respectivement chef du service de l’expertise technologique et ingénieur en cybersécurité à la CNIL (Commission nationale de l’informatique et des libertés) que je retrouve enfin le chemin de la quasi-sérénité virtuelle. Selon lui, certains gestionnaires de mots de passe à installer sur son ordinateur (comme Keepass) peuvent être très utiles.
« Comme tout outil, ce dernier doit être maîtrisé par l’utilisateur et répondre à un besoin en fonction du niveau de sécurité devant être atteint », met-il en garde.

Lire Aussi | Alix Bicep : réussir sa transformation digitale

Protégez vos mots de passe : l’histoire de la proie et des prédateurs

Face à nous, les pirates peuvent être comparés à des sortes de prédateurs : opportunistes, ils s’attaquent aux cibles les moins protégées. « Il est important que les entreprises se protègent et des mesures techniques très simples suffisent à se prémunir des menaces les plus courantes. » La CNIL publie un guide bleu de la sécurité, avec des fiches très simples qui rappellent ces mesures élémentaires. Mais l’élément central du dispositif demeure la vigilance des personnes : nul besoin d’être paranoïaque, mais il faut savoir s’interroger devant des événements anormaux, par exemple des mails de phishing qui demandent en urgence à connaître vos coordonnées bancaires, et adopter les bons réflexes : ne pas cliquer, ni répondre aux demandes de codes, etc. Concrètement, comment je fais dans la vie de tous les jours avec des applications sensibles : boîte mail, banque, impôts… ? « Il reste préférable de mémoriser un mot de passe solide et spécifique à chacune de ces applications. » Pas de miracle en vue même quand on travaille à la CNIL.

Question à Florent Della Valle, Chef du service de l’expertise technologique et Christophe Vivent, ingénieur en cybersécurité à la CNIL.
Qu’est-ce qu’un “bon” mot de passe ?
Pour qu’un mot de passe vous protège, il faut qu’il soit difficile à deviner (que ce soit par un être humain ou un algorithme). Un bon mot de passe est secret : il n’est pas écrit quelque part où quelqu’un d’autre pourrait le lire. De plus, on peut jouer sur sa complexité et sa longueur et la variété des caractères utilisés pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute). Techniquement, on considère qu’un mot de passe d’une complexité de 80 bits est le minimum pour un mot de passe sans mesure complémentaire. Ce qu’on entend par mesures complémentaires, c’est par exemple le fait de limiter la saisie du mot de passe à trois essais. Dans ce cas, sa longueur peut être plus réduite. Idéalement, il ne contient aucune information reliée à son propriétaire : la date de naissance, le nom d’un proche ou d’un animal, etc. ni une information courante : nom d’une célébrité, mot du dictionnaire… »
Les trois exemples suivants sont équivalents en termes de solidité des mots de passe et répondent tous aux préconisations de la CNIL :
– Au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.
– Au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
– S’il s’agit d’une phrase, elle doit être composée d’au minimum 7 mots