Sécuriser ces comptes sur Internet

Attention, je préfère préciser que, dans cet article, je fais un peu d’humour par moment. Mais, je ne voudrais pas qu’il y ait un malentendu. Je ne fais pas de sarcasme, aucune question n’est idiote. Certaines réponses commencent avec humour pour simplement rendre la lecture de cet article plus sympathique. Et aussi parce que ça le rendait plus amusant à rédiger 🙂

Il y a peu, un de mes comptes sur un site d’achat en ligne a été piraté. J’ai pu faire le nécessaire, mais malgré ma formation sur le sujet, j’ai fais une erreur que beaucoup de gens font et qui a permis ce résultat. Mon mot de passe était trop facile à trouver. Même si il était composé d’au moins un caractère spécial et de chiffres, de lettres minuscules et majuscules, il s’est retrouvé dans une liste de piratage sur Internet. Il est donc temps d’aborder ce sujet crucial de la sécurité des comptes sur Internet, en particulier lorsque votre argent peut être utilisé à votre insu sur ce dernier. Alors, dites-moi, selon vous, comment faut-il choisir un mot de passe ?

Et bien, il faut un mot de passe qu’on arrivera à se souvenir ?

C’est exactement … la première erreur, et celle qui pourtant est répétée même dans des formations à l’informatique hors université et faculté (A ma connaissance. N’hésitez pas à me contredire en commentaire). Plus un mot de passe est facile à retenir, plus ça signifie qu’il est d’abord facile à deviner, pas assez long et complexe pour déjouer la stratégie la plus élémentaire de piratage, et enfin qu’il est très probablement utilisé partout. Je vais entrer dans les détails sur le piratage, et le reste, pour bien comprendre comment un pirate peut trouver votre mot de passe et s’amuser avec votre compte, vos données personnelles et votre argent. Mais d’abord, réfléchissons un instant sur les premières raisons élémentaires qui ne nécessitent pas de connaissances techniques pour comprendre pourquoi ce conseil est forcément très mauvais. Si il fallait retenir tous ses mots de passe, on finirait par en oublier ou s’embrouiller dans les comptes. Tout le monde n’a pas une mémoire infaillible, et à vrai dire, c’est même plus tôt rare. Ce conseil semble partir du principe que la majorité des cerveaux humains sont parfaits. Penser cela est la meilleure façon de se faire escroquer. C’est une vision naïve de l’humanité. Ne pensez jamais que vous êtes infaillible, aussi grand soit l’amour que vous avez de vous-même x)
Ce qui n’arrange pas la mémorisation, c’est la nécessité de changer régulièrement de mot de passe. Si vous ne le faites pas, vous le verrez tout à l’heure avec un peu de mathématiques, vous augmenter les probabilités que le mot de passe soit trouvé par hasard par un ordinateur. Un mot de passe aura beau être complexe et long, il reste une combinaison de caractères. Dites-vous bien que malgré le nombre gigantesque de combinaisons possibles de situations permettant la vie, notre monde existe. C’est d’ailleurs ce fait probabiliste qui, mal compris, amène des gens à préférer la version d’un dieu créateur. Bien que rien ne prouve que ce soit faux, mais ce n’est pas le sujet. Retenez que même 0,00000001 % de chance que quelque chose arrive, est une chance que ça arrive vraiment, et non que c’est impossible.
Bien, une fois ces bases de réflexion posées, voyons les raisons techniques d’opter pour un mot de passe complexe, voir très complexe, mais aussi d’en changer régulièrement. Et donc d’utiliser un carnet en papier, ou en pierre, c’est comme vous voulez. Oui même à l’ère du numérique, c’est toujours utile :p

Est-ce qu’il y a une façon ultime de se protéger sur Internet ?

Oui, il y en a une. Ne pas y aller, et ne posséder aucun compte. Voilà, c’est la fin de cet article. Pensez à le partager, ça peut être très utile. …
Quoi ? Vous êtes encore là ? Ah, oui j’avoue que ne pas utiliser Internet c’est un peu dommage. Mais, comme pour votre vie, la meilleure façon de ne pas être victime d’un risque est de ne pas en prendre. Bon, je ne vous promets pas de ne pas mourir de faim, d’une maladie liée au vieillissement, etc… Le mieux c’est quand même d’éviter d’être vivant. Non ? xD
En général, rechercher l’absolue est une perte de temps. Donc, tout ce que vous pouvez espérer faire, c’est essayer de gagner du temps avant que votre mot de passe soit trouvé et utilisé. Car oui, il faut que vous sachiez que tôt ou tard, il sera trouvé et finira dans une liste publique sur Internet, sur des sites douteux avec votre pseudonyme, votre adresse e-mail ou votre nom. C’est pourquoi, il faut en changer régulièrement. Le changement régulier, à raison de tous les mois, ou tous les 6 mois à la limite fait parti de l’arsenal contre le piratage. Nous allons parler de probabilité et vous comprendrez pourquoi la longueur, la complexité et le changement dans un temps relativement court réduit fort considérablement les chances de voir votre compte entre les mains de quelqu’un d’autre. Parmi les stratégies utilisées pour de trouver votre mot de passe il y en a une qui s’appelle la « Force brute ». C’est la plus basique. Il y en a d’autres comme le social engineering. Ce dernier consiste à suivre vos comptes sur les réseaux sociaux et observer vos centres d’intérêt, les informations personnelles que vous laissez traîner sur le net pour en déduire votre mot de passe. Cette stratégie peut être efficace si votre mot de passe est facile à mémoriser parce que vous avez choisis un mot que vous connaissez, ou une date de naissance par exemple. En général, on aura tendance à choisir le prénom de notre chien, ou le nom d’un roman qu’on adore particulièrement, ou un plat préféré. C’est pourquoi, il faut d’une part faire un peu attention à ce que vous dites publiquement sur Internet, entre autres raisons, mais surtout ne pas choisir ce type de mot de passe. Il y a une autre raison mathématique et c’est en étudiant de plus près le principe de la force brute que vous allez comprendre.

La Force brute, qu’est-ce que c’est ?

La « Force brute » consiste à forcer le mot de passe d’une manière qui n’est pas la plus efficace, mais qui est la méthode minimale à laquelle on pense pour trouver un mot de passe. Pour qu’un pirate trouve votre mot de passe, sans vous connaître, et sans avoir la moindre information vous concernant, il va devoir entrer toutes les combinaisons de caractères possibles pour arriver à ouvrir votre compte. Si vous êtes imprudents et choisissez un mot de passe peu complexe, voir facile à mémoriser, il peut être facile pour un ordinateur de trouver votre mot de passe. Tout d’abord, si il s’agit d’un mot se trouvant dans le dictionnaire, il suffit de faire la liste de tous les mots du dictionnaire pour passer. Pour accélérer le processus, on commencera par chercher 1 caractère. Si il s’agit uniquement de lettres de l’alphabet sans majuscule, il ne faudra que 26 essaies maximum pour entrer. Comme il y a plus de chances que vous ayez choisi une lettre qui ne soit pas parmi les dernières, il en faudra moins. Comme nous savons à quoi sert un mot de passe, on ne va pas se contenter d’une seule lettre. On peut en mettre deux, ou trois, etc… La formule probabiliste pour trouver le mot de passe sera donc de 26 puissance N. N est le nombre de caractères dans votre mot de passe. Cela donnera ce résultat :

  • 26¹ = 26 essais maximum
  • 26² = 676 essais maximum
  • 26³ = 17 576 essais maximum
  • 26¹⁰ = 1,411670957×10¹⁴ soit plus de 141 167 milliards d’essais maximum

On voit que plus le nombre de caractères est grand, plus il devient compliqué de trouver le mot de passe en un temps court. Mais, on pourrait peut-être rendre votre mot de passe plus difficile à trouver sans pour autant devoir le rendre trop long. Non ? … Hum pas sûr en fait. Selon la puissance de l’ordinateur, ça ne prendrait pas nécessairement tant de temps qu’on l’imaginerait à première vue. N’oubliez pas qu’un pirate ne va pas entrer chaque mot de passe à la main. C’est un logiciel qui se chargera de ça. Prenons la fréquence du processeur de mon ordinateur portable qui est de 2,60 GHz et en turbo maxi il peut aller jusqu’à 3,50 GHz. Il y a des chances qu’un pirate choisisse de l’utiliser en turbo maxi, on va calculer à partir de 3,50 GHz. Cela signifie donc que mon processeur peut réaliser 3 milliards 500 millions d’opérations par seconde. Voici donc le temps qu’il me faudrait pour trouver toutes les combinaisons du mot de passe de 26 lettres minuscules sur une longueur maximum de 10 caractères.

  • 141 167/3,5 = un peu plus de 40 333,43 qu’on va arrondir à 40 334 secondes.

Et 40 334 secondes équivalent à environs un peu moins de 673 minutes, soit 11h13. Voilà, sachant que le mot de passe ne se trouve pas nécessairement à la fin de la liste, et donc il est fort probable de le trouver en moins de 10 heures. Alors bien sûr vous pouvez faire un mot de passe à plus de 10 caractères et puis, il faut aussi compter le temps de transmission des données aux serveurs du compte et validation ou non. Mais, il vaut mieux ne pas compter sur la lenteur d’un service et du réseau pour protéger son compte. Les technologies dans ce domaine s’améliorent et on ne peut pas prévoir ce qu’il sera possible de faire à l’avenir. En tout cas, avant d’augmenter la longueur du mot de passe, on peut aussi ajouter plus que des lettres alphabétiques en minuscule. Par exemple ajouter les majuscules, ce qui donnerait 2×26 = 52 caractères. Et à cela, on va ajouter les chiffres, ce qui donnerait 52+10 = 62 caractères. Le mot de passe devient très difficile à trouver. Voici ce que cela donne :

  • 62¹ = 62 essais maximum
  • 62² = 3844 essais maximum
  • 62³ = 238 328 essais maximum
  • 62¹⁰ = 8,392993659×10¹⁷ soit moins de 840 millions de milliards d’essais maximum

Ah oui, c’est tout de suite bien mieux. Mais vérifions ensemble si c’est si bien que ça. Reprenons notre mot de passe à 10 caractères de long avec cette configuration, et mon processeur en turbo maxi.

  • 840 000 000/3,5 = 240 000 000 secondes

Ce qui fait à peu près 7 ans, 7 mois et une dizaine de jours. Ça vous donne le temps de changer votre mot de passe me direz-vous ? Et bien c’est plus subtile que ça. Le pirate est très très malin. Déjà, il utilise des machines bien plus puissantes que mon ordinateur, et surtout il se débrouillera pour associer plusieurs processeurs ensembles. Enfin, comme je le disais tout à l’heure, certaines combinaisons sont des mots connus, et pareil pour les dates de naissance. Le pirate peut commencer par chercher tous les mots d’un dictionnaire au cas où vous seriez imprudent. De même, il cherchera des dates de naissances qui seront généralement écrites avec 8 chiffres, c’est à dire le jour, le mois et l’année. Du coup, si votre mot de passe est un ensemble de chiffres, il n’y aura que 10 caractères différents étalés sur une longueur de 8 caractères. Même mon ordinateur trouve ça et pas besoin de le mettre en turbo. Une fois que ces combinaisons ne donnent rien, on peut les éliminer des combinaisons possibles, ce qui réduit les possibilités. Il vaut donc mieux ajouter des caractères non-alphanumériques pour rendre le mot de passe très très très difficile à trouver. Aussi en changer dans un temps limité à quelques mois réduit aussi considérablement les chances d’être découvert du fait du temps nécessaire en théorie.

Avant de finir sur un plus haut niveau de sécurité disponible sur les sites de e-commerce et aussi les sites d’échanges de cryptomonnaie, parlons un peu du code pin du téléphone portable. Pour la suite, sécuriser sont téléphone portable est très important. Le code pin d’un téléphone portable est composé de 4 chiffres uniquement. Je n’ai pas besoin de vous en faire la démonstration, c’est un niveau de complexité très très faible, si ce n’est inexistante. C’est pourquoi on ne peut pas entrer plus d’un certain nombre réduit de combinaisons avant que ce dernier ne se verrouille totalement.

Et si on a très peur de qu’en-même se faire pirater son compte ?

Des stratégies pour trouver votre mot de passe, il en existe d’autres. De plus, il faut garder à l’esprit que quand un pirate veut voler votre compte ou des données sensibles comme votre carte bleue, votre compte bancaire, vos cryptomonnaies, etc… il trouvera une manière ou une autre de passer ce premier verrou. Imaginons que vous possédiez un coffre fort et que vous êtes très prudent et préférez protéger le coffre fort, et non pas seulement son contenu. Et bien, vous aller enfermer ce coffre derrière une porte verrouillée elle aussi. C’est ainsi que les sites sérieux proposent la vérification à deux facteurs. On part du principe que votre compte passe entre les mains d’un pirate. Par exemple, l’erreur à ne pas faire, vous êtes chez quelqu’un, ou dans un cybercafé et vous oubliez de fermer votre session. Et oui, c’est un exemple parmi d’autres qui rend votre mot de passe inutile. La personne qui passe derrière vous va donc pouvoir faire des achats à votre place par exemple.

Pour éviter ça, vous pouvez demander à recevoir un sms sur votre portable qui contient un code supplémentaire et valable quelques minutes seulement. Si la personne n’a pas votre téléphone allumé avec elle, elle ne pourra pas aller jusqu’au bout de l’opération, et vous saurez que quelqu’un d’autre utilise votre compte. Au sms, vous pouvez ajouter un autre verrou. Sur les sites d’échange de cryptomonnaies par exemple, on peut utiliser une application qui génère des codes aléatoirement pendant quelques secondes. Lorsque vous voulez faire un transfert d’argent, mais aussi pourquoi pas faire un ordre de d’achat ou de vente, ou vous connecter tout simplement, vous pouvez recevoir un code sur sms, puis entrer un autre code venant du générateur. Le service est relié à un serveur à qui transmettre votre code et donc lui dire que c’est bon, vous pouvez valider l’opération. Si vous ne voulez pas risquer de voir le générateur entre de mauvaises mains, vous pouvez séparer les appareils sur lesquels recevoir les deux codes. Le sms sur votre téléphone que vous emportez avec vous, et le générateur sur une tablette par exemple qui reste chez-vous. Il faudra donc vous passer d’achat sur Internet ou de trading en déplacement par contre. Tel est le prix d’une sécurité maximum.

Enfin, dernière chose importante. J’en est déjà parlé, mais je le rappelle. Évitez d’utiliser le même mot de passe sur les différents comptes que vous avez. Et surtout, écrivez-les dans un carnet ou un autre medium non numérique, à l’abri des regards. Ne comptez pas trop sur votre mémoire. Après c’est vous qui voyez.

Timidouveg
A propos

Je me présente sur Internet sous les noms Timidouveg et Audrey Skye. Depuis le vendredi 2 septembre 2016, je préfère qu'on me genre au féminin car je suis une personne transgenre non-binaire féminine :) Mes activités se regroupent tous dans la qualité d'artiste, principalement numérique. Je suis à la fois développeuse de jeux-vidéo, vidéaste sur la plateforme Youtube, dessinatrice traditionnelle et militante vegan/féministe/etc... sur les réseaux sociaux. Je suis porteuse d'un handicap invisible qui perturbe mes projets, mais je fais avec et c'est pourquoi vous pouvez qu'en-même découvrir ce blog, mes jeux et ma chaîne Youtube :) J'ai un rythme plus lent que ce qu'on pourrait attendre dans ce monde prit de frénésie. C'est totalement assumé, même si il m'a fallu du temps pour ça :D Je crois avoir dit l'essentiel. Bonne découverte :)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*