Entre 2001 et 2002, un pirate informatique britannique du nom Gary McKinnon (alias « Solo ») pénétra dans les réseaux informatiques de la NASA, du Pentagone et de la NSA pour y rechercher des preuves sur l’existence d’OVNIS et de technologies extraterrestres acquises par les américains. Il était littéralement obsédé par cette question au point d’y consacrer toute son énergie, perdant toute vie sociale ainsi que la notion du temps. Dans un article de 2008 consacré à ce pirate peu commun, le Figaro décrit un homme qui « ne se lave plus, vit en peignoir dans son appartement, perd son emploi et sa petite amie ».
Pour s’introduire dans ces réseaux, Gary McKinnon utilisait une technique appelée « exploitation de relation de confiance » qui consistait à infiltrer un site militaire mal protégé puis à progresser à partir de là vers des réseaux mieux protégés. Arrêté en 2005, il s’est lancé dans un long combat judiciaire pour éviter son extradition aux Etats-Unis où il risque jusqu’à 70 ans de détention. En 2012, la ministre Teresa May déclara finalement que McKinnon ne serait pas extradé pour raisons de santé.
Vos mots de passe sont votre première ligne de défense
Le point intéressant dans cette histoire est que McKinnon déclara que dans certains cas, il n’utilisait pas des techniques d’intrusion élaborées mais se contentait de casser les mots de passe de sites mal protégés. Il déclara ainsi que certains sites fédéraux étaient tellement mal sécurisés qu’il pouvait voir passer des adresses IP d’autres pirates qui se connectaient en même temps que lui !
Comme j’ai déjà eu l’occasion de l’évoquer dans un précédent article, votre sécurité informatique repose en grande partie sur la solidité de vos mots de passe. Le problème est que nombre d’entre nous se contentent d’utiliser le même mot de passe pour protéger l’accès de leurs différents sites web. Pendant longtemps il était difficile de faire autrement car retenir des dizaines de mots de passe compliqués n’était pas humainement faisable.
Cependant, le résultat peut être catastrophique : une fois que vos données de connexion, login et mot de passe, ont été piratées sur un site mal sécurisé, elles sont ensuite testées par les pirates sur d’autres sites populaires, par exemple votre messagerie préférée ou votre compte Facebook, pour obtenir l’accès à vos données. Le pirate modifie ensuite le mot de passe de votre compte et, ainsi, vous avez non seulement perdu le contrôle de vos données mais également celui de votre compte.
Un programme indispensable pour votre sécurité
En réponse à ce problème sont apparus des programmes informatiques appelés « gestionnaires de mot de passe ». Leur principe est simple : ils enregistrent tous vos mots de passe et, lorsque que vous vous connectez sur un site, ils vous demandent un « mot de passe maître » (toujours le même) puis renseignent automatiquement les champs de connexion (login et mot de passe). Vous n’avez donc plus à vous soucier de créer et retenir des mots de passe compliqués, le gestionnaire de mot de passe le fait pour vous !
Un des gestionnaires de mot de passe le plus réputé est français et s’appelle Dashlane. Il est payant (environ 3€ par mois) mais il est très bien conçu et apporte des fonctionnalités bien pratiques, par exemple la synchronisation des comptes qui permet de retrouver toutes vos données de connexion sur tous vos terminaux.
Il existe d’autres gestionnaires tels que EnPass, LastPass ou 1Password et surtout KeePass qui est une alternative libre, gratuite, pas franchement ergonomique mais très sécurisée.
La principale réserve qu’on entend souvent sur l’utilisation de gestionnaires de mot de passe est que confier ses mots de passe à un tiers (en l’occurrence le gestionnaire de mot de passe) créé un risque supplémentaire. Cette inquiétude est compréhensible mais elle n’a pas lieu d’être : ces programmes utilisent en effet une technique de chiffrement à « clé perdue » : ils chiffrent les mots de passe qui leur sont confiés mais n’enregistrent pas la clé de chiffrement et sont donc incapables d’accéder à vos données. Seul le propriétaire du « mot de passe maître » (c’est-à-dire vous) peut déchiffrer ces données, ce qui veut dire aussi qu’elles seront définitivement perdues si vous perdez ce mot de passe !
Comment savoir si votre mot de passe a été compromis ?
Si vous avez un mot de passe qui est utilisé sur plusieurs sites et que vous souhaitez savoir s’il a été compromis (il a pu être par exemple percé mais pas encore utilisé), je vous recommande cet excellent article du blog du Hacker qui propose d’utiliser le site haveibeenpwned de Troy Hunt.
L’article une vraie mine d’or ! Suivez bien les instructions car Michel, l’auteur du blog, vous fournit un moyen de tester votre mot de passe sans avoir à l’envoyer en clair vers le site, ce qui serait pour le moins imprudent ! Personnellement, j’ai été moyennement surpris de constater qu’un mot de passe pourtant assez costaud que j’utilisais depuis des années sur certains sites peu sensibles avait bien été piraté ! Grrrrr !
Vous l’avez compris, je vous recommande vraiment de franchir le pas et d’installer un gestionnaire de mot de passe pour améliorer votre sécurité informatique. Ils ne sont pas compliqués à utiliser et sont encore trop largement sous-employés par les particuliers. Si vous faites preuve d’un minimum d’hygiène cybernétique, par exemple en évitant d’installer des programme douteux sur votre ordinateur, vous devriez être à peu près tranquille pour la sécurité de vos données.
Pour finir sur Gary McKinnon, sachez qu’il a prétendu avoir déniché sur le site de la NASA la photo d’un grand vaisseau en lévitation sans aucune soudure ni rivet en forme de cigare aux extrémités légèrement aplaties avec des dômes sphériques sur la surface. Il a également admis que « 99% du temps, on ne trouve rien » sur les sites qu’il a passé son temps à pirater. Un peu décevant !
Be the first to comment on "Un outil hyper-pratique pour résoudre le casse-tête des mots de passe"