Un compte ou syst\u00e8me informatique peut \u00eatre pirat\u00e9 de diff\u00e9rentes mani\u00e8res.<\/p>\n
Tout d’abord, il peut s’agir d’une intrusion permise via l’exploitation d’une faille de s\u00e9curit\u00e9 non corrig\u00e9e<\/strong>. Quand il s’agit de services web, ce type de failles est d\u00e9sormais assez vite corrig\u00e9 et la plupart des entreprises responsables de ces services vous pr\u00e9viendront d’un risque de s\u00e9curit\u00e9 et vous demanderont de rapidement modifier vos mots de passe. S’il s’agit de services sur vos serveurs ou logiciels pr\u00e9sents sur vos ordinateurs, ces failles sont corrig\u00e9es avec les mises \u00e0 jour<\/strong> propos\u00e9es par les \u00e9diteurs, d’o\u00f9 l’importance des mises \u00e0 jour r\u00e9guli\u00e8res.<\/p>\n Il peut \u00e9galement s’agir d’une intrusion sur votre r\u00e9seau.<\/strong> Soit une intrusion physique<\/strong> si les pirates se sont introduits dans vos locaux et ont branch\u00e9 des \u00e9quipements directement sur votre r\u00e9seau. Soit une intrusion \u00e0 distance si vous avez une configuration d’acc\u00e8s \u00e0 votre r\u00e9seau peu s\u00e9curis\u00e9e<\/strong> (clef Wifi, routeur, pare-feu mal configur\u00e9s).<\/p>\n Enfin, la plupart des piratages exploitent la na\u00efvet\u00e9 ou l’imprudence de nous, utilisateurs humains. Dans cette premi\u00e8re partie, nous vous d\u00e9taillons comment \u00e9viter la premi\u00e8re de ces imprudences : l’utilisation de mots de passe simples ou uniques<\/strong>.<\/p>\n Le m\u00e9canisme permettant de s’assurer qu’un acc\u00e8s est effectu\u00e9 par une entit\u00e9 l\u00e9gitime est appel\u00e9 authentification<\/strong>. Pour acc\u00e9der \u00e0 un compte sur un site internet, un webmail, votre ordinateur…, vous devez vous authentifier.<\/p>\n En informatique, il existe plusieurs moyens de s’authentifier. On peut parler d’authentification biom\u00e9trique<\/strong> (utilisation de vos donn\u00e9es biom\u00e9triques telle que empreintes digitales, palmaires ou r\u00e9tiniennes), mais aussi d’authentification \u00e0 deux facteurs<\/strong> (2FA<\/strong> : Two Factors Authentification) qui vient doubler une premi\u00e8re authentification avec une m\u00e9thode d’authentification compl\u00e9mentaire.<\/p>\n Toutefois, la m\u00e9thode d’authentification la plus courante est encore celle du mot de passe<\/strong> en authentification unique<\/strong>. C’est pourquoi beaucoup de comptes peuvent se faire pirater si les mots de passe ne sont pas assez robustes.<\/p>\n Cette technique consiste \u00e0 tester toutes les combinaisons possibles de mots de passe<\/strong> jusqu’\u00e0 trouver le bon. Automatis\u00e9e gr\u00e2ce \u00e0 des programmes informatiques, elle est tr\u00e8s r\u00e9pandue chez les pirates et prend plus ou moins de temps en fonction de la longueur et de la complexit\u00e9 du mot de passe. Plus il est simple, plus il est facile \u00e0 trouver. Aussi, les mots de passe courts ou d\u00e9pourvus de caract\u00e8res sp\u00e9ciaux sont particuli\u00e8rement vuln\u00e9rables.<\/p>\n On appelle attaque par dictionnaire<\/strong> une tentative de crackage de mot de passe (ou de leur hash) en testant tous les mots issus d’une base de donn\u00e9es. Ces bases repr\u00e9sentent de bons lexiques regroupant les mots de passe statistiquement les plus utilis\u00e9s. Ainsi, un programme malveillant<\/strong> qui testerait tous ces mots de passe (ou d\u00e9riv\u00e9 des hash) aura une chance de p\u00e9n\u00e9trer votre compte.<\/p>\n Vous pouvez tester si votre email ou mot de passe fait partie des informations connues par les pirates sur le site fourni en fin d’article.<\/em><\/p>\n Encore une fois ici, plus le mot de passe est simple, plus il est facile \u00e0 trouver. Il est courant de consid\u00e9rer qu\u2019en rajoutant un caract\u00e8re sp\u00e9cial et un chiffre \u00e0 un mot qu\u2019il vous est facile de retenir, ou bien en rempla\u00e7ant quelques lettres par des chiffres selon le mode \u00ab leet speak<\/strong> \u00bb (par exemple : P455w0rd o\u00f9 le a est remplac\u00e9 par un 4, le s par un cinq et le o par z\u00e9ro), que le mot de passe sera alors assez robuste pour ne pas \u00eatre trouv\u00e9. Il n\u2019en est rien, et au contraire les programmes malveillants connaissent ces astuces et testent les mots de passe avec leur variantes (minuscules, majuscules, caract\u00e8res leet speak, ajout d\u2019un caract\u00e8re sp\u00e9cial).<\/p>\n Par ailleurs, le lexique peut \u00eatre d\u00e9fini manuellement si le pirate vous cible particuli\u00e8rement et qu\u2019il a acc\u00e8s \u00e0 quelques unes de vos informations personnelles : adresse, date de naissance de vous ou vos proches, nom d\u2019animaux\u2026\u00a0g\u00e9n\u00e9ralement accessibles depuis les r\u00e9seaux sociaux.<\/p>\n Vous pouvez \u00e9galement donner l’acc\u00e8s \u00e0 votre compte en donnant \u00e0 votre insu vos identifiants de connexion. C\u2019est ce qui arrive avec des techniques de piratage appel\u00e9es hame\u00e7onnage<\/strong> ou phishing<\/strong>.<\/p>\n Tr\u00e8s fr\u00e9quent, ce type d\u2019attaque est bas\u00e9 sur le “leurre<\/strong>“.Vous recevez un sms ou un mail d’un exp\u00e9diteur connu (votre banque, la s\u00e9curit\u00e9 sociale, les imp\u00f4ts…) vous demandant de cliquer sur un lien. Ces messages d’apparence officielle sont en fait des messages frauduleux<\/strong> qui n’ont qu’un seul objectif : vous inciter \u00e0 donner vos identifiants ou m\u00eame vos coordonn\u00e9es bancaires pour vous voler vos donn\u00e9es personnelles ou de l\u2019argent.<\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=”2_5,3_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”2_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.6.6″ _module_preset=”default” custom_padding=”||0px|||” global_colors_info=”{}”] Vous recevez un sms ou un mail d’un exp\u00e9diteur connu (votre banque, la s\u00e9curit\u00e9 sociale, les imp\u00f4ts…) vous demandant de cliquer sur un lien.<\/p>\n <\/p>[\/et_pb_text][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”] Retrouvez ici notre pr\u00e9c\u00e9dent article “<\/a>J\u2019ai re\u00e7u un SMS, comment savoir si je peux cliquer sur le lien<\/a><\/em>“<\/a> qui d\u00e9taille ce type d’attaque. Nous reviendrons par ailleurs sur les bonnes pratiques \u00e0 adopter dans ce cas dans un prochain article.<\/p>[\/et_pb_text][\/et_pb_column][et_pb_column type=”3_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_image src=”https:\/\/www.digital-eyes.fr\/wp-content\/uploads\/2020\/12\/123688068_660763877975184_3741343074822631061_n.jpg” title_text=”sms-frauduleux” _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” custom_padding=”||0px|||” global_colors_info=”{}”] Si un pirate acc\u00e8de \u00e0 votre compte de messagerie, il lui sera tr\u00e8s facile de prendre la main sur d’autres comptes. Comment ?<\/p>\n En effet, la plupart des sites vous propose en cas de mot de passe oubli\u00e9 de vous envoyer par email un lien comme moyen de r\u00e9initialisation du mot de passe. En ayant acc\u00e8s \u00e0 votre email, et en utilisant cette m\u00e9thode, le pirate peut alors r\u00e9initialiser tous les mots de passe de tous vos comptes pour lesquels vous avez utilis\u00e9 votre email. C\u2019est une des m\u00e9thodes employ\u00e9es pour pirater facilement votre compte Facebook, quand c\u2019est d\u2019abord votre mail qui a \u00e9t\u00e9 pirat\u00e9.<\/p>\n Les bonnes vieilles habitudes peuvent parfois avoir des cons\u00e9quences dramatiques…<\/p>\n Il vous arrive peut-\u00eatre de noter vos mots de passe sur des post-it coll\u00e9s sur le bureau ou de les r\u00e9unir dans un carnet. Peut-\u00eatre utilisez-vous votre messagerie, un fichier texte ou un tableur enregistr\u00e9 sur votre poste informatique.<\/p>\n Mais, sans compter le fait que sans le support sous la main impossible d’acc\u00e9der \u00e0 vos comptes, ces documents physiques ou num\u00e9riques peuvent \u00eatre expos\u00e9s aux risques si l’acc\u00e8s n’est pas s\u00e9curis\u00e9. Le carnet ou le post-it peut \u00eatre perdu ou vol\u00e9, la messagerie ou l’ordinateur \u00eatre pirat\u00e9.<\/p>\n Vous avez tous eu \u00e9cho de la r\u00e8gle vous demandant de saisir un mot de passe de 8 caract\u00e8res avec au moins une minuscule, une majuscule, un caract\u00e8re sp\u00e9cial, un chiffre… La raison de cette r\u00e8gle est pour rendre plus difficile la d\u00e9couverte d’un mot de passe par essai de toutes les combinaisons possibles (attaque par force brute par exemple, cf.ci-dessus).<\/p>\n En effet, un code PIN compos\u00e9 de 4 chiffres peut \u00eatre d\u00e9couvert en 10 000 essais maximum. C’est pourquoi vous n\u2019avez g\u00e9n\u00e9ralement droit qu’\u00e0 3 essais. Mais pour les mots de passe, on ne peut pas toujours mettre en place de blocage par nombre d’essais. Il est donc demand\u00e9 des mots de passe plus robustes.<\/p>\n Avec un mot de passe contenant 8 caract\u00e8res dont des majuscules, minuscules, chiffres, il faut 62 combinaisons par caract\u00e8re, soit 200 000 milliards de combinaisons. Alors suffisant ? En fait, non ! Avec la puissance de calcul des ordinateurs, ou m\u00eame en utilisant celle de plusieurs ordinateurs faisant fonctionner le m\u00eame programme d’attaque, il est possible de casser ce type de mot de passe en seulement 3 heures, 1 jour si vous rajoutez un caract\u00e8re sp\u00e9cial.<\/p>\n <\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=”1_3,2_3″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”1_3″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_testimonial _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”] 3 heures pour craquer un mot de passe de 8 caract\u00e8res, 1 jour si vous rajoutez un caract\u00e8re sp\u00e9cial<\/em><\/em><\/p>[\/et_pb_testimonial][\/et_pb_column][et_pb_column type=”2_3″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”] Avec un mot de passe contenant 8 caract\u00e8res dont des majuscules, minuscules, chiffres, il faut 62 combinaisons par caract\u00e8re, soit 200 000 milliards de combinaisons. Alors suffisant ? En fait, non ! Avec la puissance de calcul des ordinateurs, ou m\u00eame en utilisant celle de plusieurs ordinateurs faisant fonctionner le m\u00eame programme d’attaque, il est possible de casser ce type de mot de passe en seulement 3 heures, 1 jour si vous rajoutez un caract\u00e8re sp\u00e9cial.<\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”] Bref, cette fa\u00e7on de g\u00e9n\u00e9rer des mots de passe n’est finalement plus la meilleure fa\u00e7on de produire un mot de passe. Par ailleurs, ces mots de passe sont difficiles \u00e0 produire et \u00e0 m\u00e9moriser pour nous humain.<\/p>\n Un pirate qui aurait envie de rentrer sur votre compte va tenter votre nom\/pr\u00e9nom, celui des enfants, de papa, maman, votre nom de jeune fille si vous \u00eates une femme, de votre animal de compagnie… associ\u00e9 \u00e0 votre date de naissance, votre num\u00e9ro de d\u00e9partement. Tout cela est en effet devinable, en consultant par exemple vos r\u00e9seaux sociaux.<\/p>\n N\u2019utilisez donc pas un mot de passe qui vous caract\u00e9rise facilement, il doit \u00eatre d\u00e9personnalis\u00e9<\/strong>.<\/p>\n Le mot de passe ne doit pas \u00eatre “lisible”, et au plus il est long, au plus il est difficile \u00e0 craquer.<\/p>\n La CNIL<\/a><\/strong> (Commission Nationale de l’Informatique et des Libert\u00e9s) et l’ANSSI<\/a><\/strong> (Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d’Information) pr\u00e9conisent un mot de passe avec au moins douze caract\u00e8res<\/strong> et quatre types diff\u00e9rents<\/strong> : minuscules, majuscules, chiffres et caract\u00e8res sp\u00e9ciaux. Mais, un tel mot de passe, c’est compliqu\u00e9 \u00e0 retenir ? Pour vous aider, il existe deux m\u00e9thodes, voici deux exemples donn\u00e9s par l’ANSSI :<\/p>\n M\u00e9thode phon\u00e9tique*<\/em><\/strong> : “J\u2019ai achet\u00e9 huit cd pour cent euros cet apr\u00e8s-midi” donnera ght8CD%E7am<\/em><\/p>\n<\/li>\n M\u00e9thode des premi\u00e8res lettres*<\/em><\/strong> : “un tien vaut mieux que deux tu l\u2019auras” donnera 1tvmQ2tl\u2019A.<\/em><\/p>\n<\/li>\n<\/ul>\n Ce format permet de g\u00e9n\u00e9rer des mots de passe de robustesse consid\u00e9r\u00e9 comme bonne, mais on peut mieux faire…<\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=”3_5,2_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”3_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”] Plus robuste, et plus facile \u00e0 retenir, la passphrase<\/strong> (phrase secr\u00e8te ou phrase de passe en fran\u00e7ais)\u00a0est une succession de 3 \u00e0 4 mots. Il faut choisir des mots de taille suffisante (minima 5 lettres pour une passphrase \u00e0 3 mots), ind\u00e9pendants les uns des autres, pris au hasard dans un dictionnaire (ce n\u2019est pas une phrase qui a un sens verbal). On s\u00e9pare ces mots avec un caract\u00e8re, g\u00e9n\u00e9ralement le signe moins, mais ce peut \u00eatre un autre caract\u00e8re. On peut choisir d\u2019\u00e9crire tous les mots en minuscule ou avec quelques lettres en majuscules. De cette fa\u00e7on \u00e0 titre de comparaison, une passphrase de 3 mots n\u00e9cessite des si\u00e8cles pour \u00eatre craqu\u00e9e.<\/p>[\/et_pb_text][\/et_pb_column][et_pb_column type=”2_5″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_testimonial _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”] Une passphrase est un mot de passe constitu\u00e9 de 3 ou 4 mots ind\u00e9pendants, \u00e9ventuellement s\u00e9par\u00e9s par un symbole. Elle est facile \u00e0 retenir et \u00e0 taper, mais difficile \u00e0 deviner. Il faudrait des si\u00e8cles pour casser cette phrase secr\u00e8te.<\/em><\/p>\n exemple* : <\/em>courgette-voiture-ch\u00eane<\/em><\/strong><\/p>\n Pour aller plus loin dans la s\u00e9curisation, notamment de vos comptes les plus sensibles, vous pouvez renouveler vos mots de passe r\u00e9guli\u00e8rement. Tous les 90 jours \/ 3 mois est une fr\u00e9quence raisonnable. En effet, cette pr\u00e9caution permet de rendre invalide l’authentification \u00e0 un compte au cas o\u00f9 une faille de s\u00e9curit\u00e9 ou un vol de donn\u00e9es aurait permis la r\u00e9cup\u00e9ration de votre mot de passe sans que vous ne vous en soyez rendu compte.<\/p>\n N’utilisez pas un unique mot de passe (ou variante d’un m\u00eame mot de passe). Certes, c’est plus facile \u00e0 retenir, mais si un pirate met la main dessus, c’est le pactole pour lui. En effet, la plupart des comptes pirat\u00e9s le sont par la propagation d’une intrusion sur un compte, par exemple un compte de webmail peu s\u00e9curis\u00e9 (orange.fr, wanadoo.fr, yahoo.fr, msn.com…) et ou le piratage de compte gmail.com ou facebook par l’utilisation d’un mot de passe trop faible. Si le pirate d\u00e9couvre l\u2019un de vos mots de passe, il tentera tr\u00e8s vite de tester ce mot de passe et ses variantes sur d’autres comptes, en priorit\u00e9 votre compte mail.<\/p>\n Notez que toutes les manipulations faites par des pirates d\u00e9crites ci-dessus sont rarement effectu\u00e9es manuellement. Ce sont des petits programmes, si simples \u00e0 utiliser et si facilement accessibles qu’ils sont parfois utilis\u00e9s par des adolescents qui s’exercent au piratage informatique…<\/em><\/p>\n Vous connaissez \u00e0 pr\u00e9sent les r\u00e8gles pour cr\u00e9er des mots de passe robustes et vous savez qu’il faut les stocker dans un lieu s\u00fbr ; au revoir le carnet, les post-it ou encore le tableur excel. Mais comment cr\u00e9er, retenir, g\u00e9rer les mots de passe pour chacun de vos comptes web (et il y en a !) en suivant les bonnes pratiques, sans ce que ce soit une contrainte ? La solution : utiliser un gestionnaire de mots de passe<\/strong>.<\/p>\n Si l’on devait faire une comparaison simple, un gestionnaire de mots de passe est comme un coffre-fort num\u00e9rique<\/strong>. Il peut se pr\u00e9senter sous la forme d’un logiciel \u00e0 installer ou d’un service en ligne. Son r\u00f4le principal est de stocker<\/strong> tous les identifiants (login\/mot de passe)<\/strong> de vos comptes (acc\u00e8s \u00e0 des sites internet, \u00e0 des applications…).<\/p>\n Les gestionnaires de mots de passe vous garantissent la s\u00e9curisation de vos identifiants<\/strong> par des m\u00e9canismes de chiffrement<\/strong>. Il en existent plusieurs qui offrent des fonctionnalit\u00e9s plus ou moins compl\u00e8tes, gratuites ou payantes.<\/p>\n En fonctionnalit\u00e9 de base, les gestionnaires de mots de passe centralisent les identifiants – login et mot de passe. Ils peuvent aussi proposer plusieurs services, dont notamment :<\/p>\n le remplissage automatique des formulaires<\/strong> de connexion avec votre login et mot de passe, ou de formulaires de cr\u00e9ation de compte web avec des informations \u00e9largies (adresse, t\u00e9l\u00e9phone…)<\/p>\n<\/li>\n la cr\u00e9ation de notes s\u00e9curis\u00e9es<\/strong> avec des informations que vous voulez garder accessibles mais stock\u00e9es en s\u00e9curit\u00e9<\/p>\n<\/li>\n l’enregistrement de vos cartes de paiement<\/strong> pour faciliter vos achats sans saisir les num\u00e9ros de CB<\/p>\n<\/li>\n un g\u00e9n\u00e9rateur de mots de passe<\/strong> pour cr\u00e9er des mots de passe robustes, avec les caract\u00e8res n\u00e9cessaires, en nombre suffisant, parfois sous forme de passphrase<\/p>\n<\/li>\n la synchronisation<\/strong> des mots de passe entre diff\u00e9rents supports – ordinateur, smartphone, tablette<\/p>\n<\/li>\n<\/ul>\n la protection contre le hame\u00e7onnage (phishing)<\/strong> avec l’enregistrement et l’utilisation des adresses correctes des sites internet associ\u00e9es \u00e0 vos comptes<\/p>\n<\/li>\n<\/ul>\n le partage de mots de passe<\/strong> avec vos collaborateurs, votre famille.<\/p>\n<\/li>\n<\/ul>\n Tous les gestionnaires de mots de passe utilisent le m\u00eame principe pour ouvrir votre coffre : il vous sera demand\u00e9 de vous authentifier. Cette authentification pourra \u00eatre un mot de passe tr\u00e8s robuste, appel\u00e9 mot de passe ma\u00eetre<\/strong> ; ce sera le seul \u00e0 retenir. Il sert de clef pour ouvrir votre coffre \u00e0 mots de passe. D\u00e8s lors, vous acc\u00e9dez \u00e0 vos identifiants enregistr\u00e9s, vous pouvez les consulter, en ajouter ou les supprimer.<\/p>\n Les gestionnaires qui ont une extension \u00e0 installer sur votre(vos) navigateur(s) pr\u00e9f\u00e9r\u00e9(s) permettent le remplissage automatique des formulaires (identifiants, mots de passe…).<\/p>\n Certains gestionnaires savent reconna\u00eetre la page sur laquelle vous naviguez. Si un identifiant\/mot de passe est enregistr\u00e9 pour cette page, le bon identifiant vous est propos\u00e9, vous n’avez plus qu’\u00e0 le s\u00e9lectionner et vous \u00eates connect\u00e9. Ceci est un avantage en terme de s\u00e9curit\u00e9 informatique et peut vous alerter sur des tentatives d’attaque par phishing (cf encadr\u00e9).<\/p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.10.5″ _module_preset=”default” background_color=”#F89838″ width=”70%” module_alignment=”center” custom_padding=”8px|37px|8px|37px|true|true” border_radii=”on|12px|12px|12px|12px” box_shadow_style=”preset1″ box_shadow_color=”#6C6C6C” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_image src=”https:\/\/www.digital-eyes.fr\/wp-content\/uploads\/2021\/08\/icone-cybermenace2.svg” title_text=”icone-cybermenace2″ align=”center” _builder_version=”4.10.5″ _module_preset=”default” width=”95%” module_alignment=”center” max_height=”150px” global_colors_info=”{}”][\/et_pb_image][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” background_layout=”dark” global_colors_info=”{}”] Vous recevez un email vous invitant \u00e0 vous rendre sur le site de votre banque. Vous avez cliqu\u00e9 sur le lien du mail et vous arrivez sur une page ressemblant \u00e0 la page de connexion de votre banque. Votre gestionnaire de mots de passe ne vous propose aucun identifiant alors que vous savez avoir enregistr\u00e9 votre mot de passe pour ce compte !!<\/p>\n Et bien, l’absence de proposition par votre gestionnaire doit vous alerter. Manifestement, l’adresse du site sur lequel vous \u00eates n’est pas l’adresse de votre banque. Vous \u00eates certainement en train de vous faire pi\u00e9ger. Quittez la page, et si besoin, rendez-vous sur le site de votre banque en utilisant l’adresse enregistr\u00e9e dans votre gestionnaire.<\/strong>\u00a0<\/p>\n Note : l’adresse enregistr\u00e9e d’un site peut avoir \u00e9t\u00e9 modifi\u00e9e de fa\u00e7on normale et l\u00e9gitime et dans ce cas votre gestionnaire ne reconna\u00eetra pas non plus la nouvelle adresse. Ce sera tr\u00e8s rarement le cas pour un site institutionnel (services publics, banques…). Si vous \u00eates certain de la l\u00e9gitimit\u00e9 de la nouvelle adresse, vous pourrez mettre \u00e0 jour votre gestionnaire avec celle-ci.<\/p>\n Il existe plusieurs gestionnaires de mots de passe que nous avons pass\u00e9s en revue.<\/p>\n En solution avec abonnement payant, les plus connus sont Lastpass, 1Password<\/strong> et Dashlane<\/strong>. Ils sont\u00a0utilisables depuis n\u2019importe quel navigateur, ordinateur ou smartphone, tout est synchronis\u00e9. Mais vous devez souscrire \u00e0 un abonnement et vous ne ma\u00eetrisez pas vraiment o\u00f9 et comment sont stock\u00e9es vos donn\u00e9es.<\/p>\n En gratuit, on peut citer Keepass<\/strong> dont le code source a \u00e9t\u00e9 audit\u00e9 et valid\u00e9 par l\u2019ANSSI. C\u2019est un gage de s\u00e9curit\u00e9 mais Keepass ne fonctionne pas en mode connect\u00e9 et vous ne pourrez y acc\u00e9der que depuis l\u2019ordinateur sur lequel vous l\u2019avez install\u00e9. C\u2019est un peu comme le carnet papier sur lequel vous notez vos mots de passe, mais en version num\u00e9rique s\u00e9curis\u00e9e. A noter qu’il existe des variantes de Keepass permettant d\u2019\u00e9tendre les capacit\u00e9s, mais au-del\u00e0 du fait de perdre la validation par l\u2019ANSSI, aucune de ces solutions ne nous a convaincus.<\/p>\n Et les gestionnaires de mots de passe int\u00e9gr\u00e9s \u00e0 votre navigateur ou syst\u00e8me d\u2019exploitation ?<\/p>\n Tous les navigateurs Internet modernes – Chrome et d\u00e9riv\u00e9s (dont Brave et Edge), Safari, Firefox… Opera – mais \u00e9galement les syst\u00e8mes d\u2019exploitation Microsoft Windows, ChromeOS, Linux (dont ZorinOS que nous recommandons) et Apple vous donnent un moyen de stockage de vos identifiants. Soit ces donn\u00e9es sont stock\u00e9es localement, et uniquement accessibles sur votre ordinateur, soit elles sont li\u00e9es \u00e0 un compte (Google, Microsoft, Apple\u2026.). Dans tous les cas, ces comptes vous lient au navigateur et vos identifiants ne sont accessibles que via ce compte. Autrement dit, si vous avez choisi de mettre vos mots de passe sur votre compte Google, vous ne pourrez les utiliser que sur un navigateur Chrome. Si vous basculez vers Safari ou Firefox, il vous faudra proc\u00e9der \u00e0 une exportation et importation d’identifiants, des proc\u00e9dures pas toujours \u00e9videntes \u00e0 faire.<\/p>\n Lequel choisir alors ?\u00a0<\/p>\nL’authentification<\/h2>\n
Les techniques de vol de mot de passe<\/h2>\n
Les attaques par force brute ou bruteforce attack<\/h3>\n
Les attaques par dictionnaire<\/h3>\n
Le hame\u00e7onnage<\/strong> ou phishing<\/strong><\/h3>\n
R\u00e9initialisation du mot de passe : quand votre compte mail devient le maillon faible<\/h3>\n
Le post-it, le carnet, le fichier excel… les gestionnaires de mots de passe non prot\u00e9g\u00e9s<\/h3>\n
Comment faire un mot de passe robuste ?<\/h2>\n
Pourquoi faut-il renforcer ses mots de passe ?<\/h3>\n
Les r\u00e8gles \u00e0 suivre pour la cr\u00e9ation de vos mots de passe<\/h3>\n
Rien de personnel ou pr\u00e9dictible<\/h4>\n
Un mot de passe compliqu\u00e9 et long<\/h4>\n
\n
La passphrase ou phrase secr\u00e8te<\/h4>\n
<\/h4>[\/et_pb_testimonial][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”]
Changez r\u00e9guli\u00e8rement vos mots de passe<\/h4>\n
Un compte, un mot de passe<\/h4>\n
Comment g\u00e9rer tous mes mots de passe ?<\/h3>\n
C’est quoi un gestionnaire de mots de passe ?<\/h4>\n
Les possibilit\u00e9s du gestionnaire de mot de passe<\/h4>\n
\n
\n
\n
Comment s’utilise un gestionnaire mot de passe ?<\/h4>\n
<\/blockquote>\n
<\/blockquote>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”]
<\/blockquote>\n
Quel gestionnaire de mots de passe choisir ?<\/h4>\n
<\/blockquote>[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=”1_2,1_2″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”1_2″ _builder_version=”4.9.6″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.10.5″ _module_preset=”default” global_colors_info=”{}”]