On me signale que 16 milliards d’identifiants Google, Facebook, Apple… se baladent en plein air. Je vais vous proposer un challenge pour votre bien. D’abord je vais lister tout ce que vous faites et que vous ne devez pas faire. Puis comment on résout ça.

Je ne vais pas proposer ici ce qui permet d’avoir la plus grosse sécurité du monde : je vais maintenir un équilibre avec la praticité.

Ce qu’il ne faut PAS faire : • Utiliser le même mot de passe pour plusieurs choses. • Utiliser un mot de passe court (< 20 caractères). • Noter ses mots de passe sur un papier. • Noter ses mots de passe sur un fichier texte dans ses documents. • Mémoriser ses mots de passe. • Sauver vos mots de passe dans votre navigateur. • Avoir des mots de passe.

Ça semble tout compliqué et contradictoire, mais on va s’en sortir. En commençant par le plus stupide : ne pas avoir de mot de passe. Vous remarquerez que de plus en plus de sites vous proposent de vous identifier par PassKey. L’implémentation actuelle n’est pas encore parfaite, mais ça vous permet de vous connecter sans transmettre de mot de passe vous-même. Ni même d’identifiant d’ailleurs, mais pour une raison étrange la plupart des sites en demandent quand même un avant.

Pour l’utiliser, il vous faut un logiciel qui permet de stocker ces PassKeys. Apple et Google Password le permettent directement, ainsi que la plupart des gestionnaires de mot de passe de qualité dont on va parler plus bas. C’est la fin des mots de passe. On espère.

Et pour le reste en attendant ? Vous allez aller sur un de ces sites : • bitwarden.comproton.me/pass

Et vous allez vous créer un compte (sur les serveurs EU pour Bitwarden). Je conseille Bitwarden, à cause de la seconde partie : vous allez prendre une formule payante. Oui oui. (Si vous faites tout le reste mais préférez garder un compte gratuit, rassurez-vous, ça ira quand même, mais bon.)

Alors pourquoi ? • Parce que c’est un prix ridicule pour Bitwarden (12 € par an), moins pour Proton (36 € par an). • Parce que ça vous permet de les utiliser aussi pour le 2FA. • Parce qu’ils proposent de vérifier les leaks connus de vos mots de passe.

En créant votre compte, on vous demandera un mot de passe. Utilisez-en un long et facile à retenir. L’idée c’est par exemple 4 mots d’au moins 5 lettres séparés par des tirets : catastrophe-carottes-planète-vermicelle. Pas de chiffre, de symbole, de majuscule à moins d’être sûr de vous en souvenir. Ça ne sert à rien, contrairement à ce qu’on vous serine depuis 20 ans.

Je vais simplifier (pas besoin de commenter), mais imaginez qu’on essaie de pirater votre mot de passe. Il va tous les essayer un par un. Imaginez un mot de passe de lettres minuscules sans accent. 26 possibilités pour la première lettre, 26 pour la suivante… En tout 26x26x26…x26 (8 fois), 210 milliards de possibilités. Imaginez qu’on vous force à rajouter un caractère spécial parmi 8 et un chiffre. Maintenant on a pour chaque lettre 44 possibilités, et donc 14 000 milliards de possibilités. C’EST MIEUX. Mais au lieu de ça, je demande à rajouter deux caractères en plus. Juste à choisir dans les 26 lettres. 140 000 milliards de possibilités. 10 fois mieux.

Si vous avez le choix entre forcer un symbole dans les caractères existants ou rajouter un caractère lettré en plus, rajouter un caractère sera toujours plus intéressant (surtout passé 10 caractères). Et c’est plus facile à retenir. D’où le type de mot de passe évoqué au-dessus.

Bref, ce mot de passe long avec des mots, celui-ci vous l’apprenez par cœur. Par cœur par cœur. Mais c’est le seul mot de passe dont vous allez devoir vous souvenir du reste de votre vie. Vous pouvez en générer un avec le générateur de Bitwarden.

Ce logiciel de stockage de mot de passe vous proposera de protéger votre compte avec de la double authentification. Et vous allez le faire. Pour ça il vous faut juste un téléphone et l’application Google Authenticator dessus. Ou un concurrent comme celui de Microsoft. Si vous connectez votre gestionnaire de mot de passe depuis un nouvel appareil ou un nouveau lieu, en plus du mot de passe, il vous faudra entrer le code à usage unique de cette application pour prouver que c’est vous. C’est ça le 2FA, Authentification à 2 Facteurs.

Bien, vous avez maintenant une application pour vos mots de passe. On vous proposera de conserver des codes de récupération en cas de perte d’Authenticator. Vous le faites. Vous les recopiez à la main, vous les imprimez, vous les gravez sur une tablette en argile, mais ça arrive : • dans votre coffre-fort si vous en avez un ; • dans un carnet caché dans votre bibliothèque sinon, pas un truc qui hurle « carnet à mot de passe » quoi.

C’est pas le plus sécurisant, mais on préfère considérer de toute façon en sécurité informatique que s’il y a accès possible à la machine, rien n’est secret. Donc le fait de devoir rentrer chez vous et éplucher votre bibliothèque, comment dire ?

Maintenant vous allez rajouter l’extension pour votre navigateur et l’application mobile de votre gestionnaire, pour pouvoir l’utiliser partout. Et vous allez y transférer tous vos mots de passe. Au fur et à mesure ou en un coup.

Point bonus : pendant le transfert, pour chaque mot de passe, vous allez vous connecter sur le site web et demander à en changer, pour mettre des passphrases de 6 mots avec cette fois chiffres, majuscules et symboles si vous voulez : vous n’avez pas à le retenir dans votre tête ! Pourquoi des passphrases quand même ? Parce que quand vous devez taper sur un ordinateur tiers, genre chez un ami ou dans un cybercafé, un mot de passe que vous lisez sur votre téléphone, c’est AUSSI plus facile à taper.

Certains sites vous proposeront aussi une option pour la double authentification. VOUS CHOISISSEZ OUI. TOUJOURS OUI. Mais vous n’utilisez pas Google Authenticator, vous utilisez votre application de mot de passe que vous avez payée. Sauf si vous n’avez pas payé donc. (Ça permet de remplir le formulaire en un clic plutôt que recopier de votre téléphone, ça permet de le faire sans le téléphone, ça évite une dépendance à Google.)

Certains sites vont vous limiter en nombre de caractères pour les mots de passe. C’EST UNE IDIOTIE. Mais bon. Dans ce cas, repassez à un mot de passe normal avec chiffres, symboles et tout le toutim, avec le maximum de caractères autorisés. Pour vous faire une idée, même avec chiffres et symboles : • Les mots de passe de 7 caractères se trouvent en quelques minutes. • Avec 10 caractères, c’est quelques heures à quelques jours maximum. • Il faut atteindre 14 à 16 caractères pour que la sécurité soit considérée forte.

Pour finir, supprimez tous les mots de passe du gestionnaire de mot de passe par défaut de votre navigateur et désactivez-le, pour qu’il n’y ait que cette nouvelle application qui propose de sauvegarder. Et à chaque annonce de brèche, pensez à changer le mot de passe. C’est tout !

Addendum : quoi mettre dans votre gestionnaire de mot de passe ? Eh bien vous avez choisi la formule payante, donc plein de possibilités ! • vos mots de passe ; • une copie de vos pièces d’identité ; • une empreinte de vos cartes de crédit si vous n’utilisez pas des cartes virtuelles (vous devriez) ; • les clefs de licence logicielles ; • vos PIN, PUK et autres codes de votre vie courante, du téléphone au cadenas de la salle de sport au code de l’interphone ; • les logins des ordinateurs ; • les mots de passe WiFi importants ; • tout ce que vous pensez important et sensible.