Comment et pourquoi sécuriser ses mots de passe ?

Comme je le disais en préambule, dans le cadre d’un nouvel accompagnement, j’ai souvent besoin que vous me fournissiez les accès à vos sites Internet ou services utilisés. Rassurez-vous, je ne m’en sers pas autrement que pour travailler sur votre projet. Généralement, les mots de passe que vous me transmettez sont ultra-simples. Ils sont très souvent composés d’une formulation du type : prénom (ou raccourci) avec un nombre. Et à chaque fois, je me dis : « Mais non, ça ne va pas du tout, ça ». D’ailleurs, au passage, lorsque cela est possible, il vaut mieux créer un nouvel utilisateur plutôt que de me communiquer vos propres codes personnels. C’est pourquoi, à l’occasion de la rentrée, j’ai eu envie de vous écrire cet article pour vous aider à comprendre pourquoi il faut absolument utiliser des mots de passe sécurisés, et comment faire !

Ce que je vais vous expliquer dans la suite de cet article est valable pour tous types d’accès, que cela soit pour votre site Internet professionnel, votre outil de paiement en ligne (ex. : PayPal), votre cloud, votre service d’e-mailing, ainsi que des choses plus personnelles comme votre boîte e-mail, vos comptes bancaires, votre comptabilité, etc.

Pourquoi sécuriser ses mots de passe ?

Je vais prendre un exemple très simple, mais qui me semble parlant. Pendant vos vacances, vous vous êtes, du moins je l’espère, absenté(e) de votre logement. A priori, vous avez fermé vos volets, vérifié que toutes les portes étaient bien fermées à clé, les fenêtres closes, etc. Et vous avez peut-être même, pour les plus rusés, activé une alarme, branché une ampoule – caméra, mis un interrupteur de programmation d’éclairage pour faire croire qu’il y a quelqu’un ou tout autre moyen pour tromper l’ennemi. Tout ceci dans quel but ? Prévenir et éviter d’être cambriolé(e) ! C’est une évidence que de mettre tout cela en place, et de le faire systématiquement à chaque absence. Mais pour vos outils web, vous faites quoi ?

En effet, vous n’êtes pas sans savoir que l’Internet, si génial soit-il, est sujet à de nombreux piratages. Il s’agit de cambriolages, mais sur Internet. Sauf que là, ce ne sont pas des personnes à proximité de chez vous qui s’en chargent, mais cela peut être des gens du monde entier, soit des millions de personnes (pas des milliards, car il y a quand même des gens bien sur Terre 😉 !). Le piratage informatique fait régulièrement la Une, on peut notamment citer l’énorme cyberattaque de mai dernier qui a touché des dizaines de pays, et notamment Renault pour la France.
Vous pourriez vous dire qu’à votre niveau, vous n’avez rien d’intéressant pour les « hackeurs » (cambrioleurs du web). Mais non ! Ces pirates cherchent simplement à embêter le monde. Et je parle en connaissance de cause puisque mon blog personnel Tests en cuisine a été piraté il y a 2 ans de cela. Le pirate a injecté un méchant fichier dedans, par un commentaire dans un article. Après cela, j’ai dû tenter de retrouver tous mes fichiers non infectés, reconstruire mon blog, etc. Et pendant ce temps-là, l’accès était limité, voire nul. Les dégâts n’ont pas engendré de perte financière puisqu’il s’agissait d’un blog personnel qui ne me rapporte rien, mais imaginez qu’il vous arrive la même chose sur votre site professionnel ! Vous pourriez perdre du chiffre d’affaires et beaucoup d’énergie à tout remettre d’aplomb. Imaginez aussi que votre boîte e-mail soit attaquée, et que le pirate récupère tous vos contacts, qu’il leur envoie une grosse quantité de spams. Qu’adviendrait-il de votre crédibilité ?

Bref, j’ai beaucoup parlé, mais il me paraissait important de passer du temps sur ces exemples, pour que vous compreniez bien l’enjeu de la sécurisation de ses mots de passe !

Comment sécuriser ses mots de passe ?

Je vais vous présenter deux solutions, les plus connues et fiables, pour vous aider à bien vous protéger. A vous de choisir ensuite quel outil vous convient le mieux en fonction de votre usage.

LastPass est un petit outil qui s’installe directement sur votre navigateur Internet. C’est ce que l’on appelle une extension. Pas besoin de télécharger un logiciel. Cela ajoutera une petite icône dans votre barre de navigation.
Pour l’utiliser, il faut vous créer un compte en ligne sur le site de LastPass, afin d’enregistrer au fur et à mesure tous vos mots de passe. Évidemment, choisissez un mot de passe compliqué, avec des majuscules/minuscules, des chiffres, des caractères spéciaux. Attention, le mot ne doit pas être évident non plus. D’ailleurs, je vous invite à lire cet article concernant une croyance sur la complexité des mots de passe. Vu que vous n’aurez plus que celui-ci à retenir par la suite, vous pouvez vous permettre de faire compliqué. Ici, ces derniers sont stockés sur le principe du cloud. Si bien que sur n’importe quel ordinateur où vous vous connecterez, vous pourrez retrouver tous vos mots de passe. Pratique !

Une fois installé, LastPass vous permettra, et c’est là que c’est intéressant, de générer des mots de passe sécurisés. Ils ne veulent absolument rien dire, mais puisque vous n’aurez plus besoin de les retenir, cela n’a pas d’importance 😉 . Il y a d’ailleurs un petit outil pour auditer vos mots de passe actuels, et vous dire s’il est nécessaire de les renforcer ou non. Enfin, cerise sur le gâteau, lorsque vous voudrez vous connecter à un site, LastPass remplira automatiquement vos identifiants !

→ Pour les ultra-connectés, ceux en recherche de simplicité, LastPass est l’outil à utiliser. À noter qu’une application mobile est également disponible sur toutes les plateformes. Pour voir plus en détail le principe et l’interface, je vous invite à découvrir comment fonctionne LastPass sur le site officiel.

KeePass est un logiciel libre gratuit à installer sur votre ordinateur (compatible Windows et Mac). Il existe également en version portable. C’est-à-dire que vous pouvez « l’installer » sur une clé USB, par exemple, de manière à pouvoir l’utiliser partout. Pour le paramétrer, il suffit de vous laisser guider pour créer votre mot de passe « maître », celui qui vous servira à ouvrir le logiciel. Comme dit précédemment, il devra être complexe, en évitant les mots du type « P@ssw0rd123! ». Ceci va générer un petit fichier (extension kdbx), où seront enregistrés tous vos mots de passe. Vous pourrez l’enregistrer dans le dossier de votre ordinateur qui vous convient.
Par défaut, ce logiciel est en anglais, mais vous pouvez télécharger un fichier de langue pour l’avoir en français.

À la différence de LastPass, KeePass fonctionne uniquement en local, sans cloud. C’est à dire que si vous vous connectez depuis un autre ordinateur, vous ne pourrez pas retrouver vos mots de passe, à moins d’avoir une copie sur celui-ci, ou d’avoir la version portable dans votre poche. C’est un inconvénient, certes, mais au moins vos accès ne sont pas sauvegardés sur le web, et il n’y a vraiment que vous à y avoir accès.
Avec KeePass, vous pouvez classer vos mots de passe par thématique, y mettre les icônes que vous voulez. Et puis bien sûr, il intègre également un générateur de mot de passe ultra-sophistiqué. Encore une fois, s’il ne vous parle pas, ce n’est pas grave puisque vous n’aurez que le « maître » à retenir. D’un point de vue pratique, KeePass permet aussi de remplir automatiquement vos identifiants de connexion.

→ KeePass est à plutôt à réserver aux utilisateurs avancés, qui connaissent un peu l’anglais (le site de téléchargement est en anglais). L’interface n’est pas extrêmement belle, mais ce logiciel a le mérite de ne pas utiliser de cloud, ce qui renforce la sécurité de vos données. Vous pourrez télécharger KeePass ici (préférer la version professionnelle, qui permet notamment le multi-utilisateurs).

Sécuriser vos mots de passe est le point crucial pour sécuriser vos données. Mais concernant votre site Internet, il est aussi possible de fermer encore plus les portes d’accès, en utilisant d’autres stratagèmes. Vous vous souvenez des ampoule-caméra, interrupteur et alarme vus au début ? Pour les sites Internet, on peut également installer des modules complémentaires, qui vont protéger votre site.

Pour un site WordPress, par exemple, il est important de changer l’url de connexion à l’administration. Par défaut, c’est www.monsite.com/wp-admin qu’il convient de changer pour que les hackers ne trouvent pas votre porte d’entrée. Vous pouvez aussi faire que les adresses IP tentant trop de fois de se connecter soient bloquées, être averti si un fichier de votre site est modifié, etc. C’est un peu technique, je sais, mais vraiment primordial pour avoir un site protégé du mieux possible. Le 0 faille n’existe pas, mais si on peut s’en rapprocher, autant le faire 😉 .

Conclusion :

Voilà deux solutions, qui j’espère, vous aideront à sécuriser vos mots de passe. Gare à la première qui m’en envoie un trop simple 😀 ! Personnellement, j’ai fait le choix d’utiliser KeePass, car je n’ai pas envie que mes mots de passe traînent sur Internet, même dans un cloud sécurisé. On ne sait jamais, s’il y a une faille… Il est vrai que c’est moins pratique lorsque l’on se connecte sur des ordinateurs différents. Cependant, j’ai installé KeePass sur mon ordinateur fixe et sur mon ordinateur portable. Cela me demande de faire une petite vérification entre mes deux versions, pour m’assurer d’avoir la même chose des deux côtés. Mais je ne le fais que de manière très occasionnelle, et cela ne me prend pas plus de 10 min. Et je peux compter sur les doigts d’une demi-main les fois où j’ai vraiment été bloquée parce que je ne connaissais pas mon mot de passe.
C’est donc à vous de voir, en fonction de ce que vous privilégiez, l’accessibilité ou la sécurité accrue, quel outil est mieux pour vous. Vous me direz ce que vous choisissez 😉 ?

Vous souhaitez protéger votre site Internet ?