Home

Les mots de passe

RESTER EN SECURITER

Façonnez la campagne avec vos pensées, idées, mots et imagination. Créez et partagez des cartes postales numériques. Apprenez davantage sur des faits réels de violence faite aux femmes en écoutant des histoires numériques. Bloguez avec nous. Importez et partagez des vidéos et des clips audio. Créez votre propre campagne Réapproprie-toi la technologie!

Les mots de passe

Combien de mots de passe as-tu? Combien de fois te demande-t-on un mot de passe lorsque que tu utilises des différents espaces sur l'internet – du courrier électronique aux réseaux sociaux et à tous ces outils sympatiques auxquels tu t'es inscrite et qui sont sur le web ? Espérons que tu as été BEAUCOUP sollicitée  à ce sujet. Et espérons que ton navigateur ne connaît pas la réponse.

??L'un des principaux problèmes -et des préoccupations- cités par les militants des droits des femmes dans des ateliers sur la communication sécurisée en ligne est que les comptes de réseaux sociaux et de messagerie « sont piratés ». Les gens peuvent accéder à nos comptes privés de plusieurs manières qui n'ont rien à voir avec le piratage, mais une des voies les plus communes est notre propre gestion désastreuse  des mots de passe.

Quel est le risque?
De bonnes pratiques pour rester en sécurité
Ressources et outils

 

Quel est le risque?

1) La mauvaise gestion des mots de passe

Il est courant d'utiliser le même mot de passe, encore et encore. Après tout, il est difficile  lorsqu'on se trouve en face de ce formulaire d'inscription à un nouveau service d'être créative  et de s'imaginer un nouveau mot de passe. Alors nous commençons à faire des choses comme les écrire quelque part, demander  à notre navigateur de s'en souvenir, utiliser des termes secrets comme «letmein» (le huitième mot de passe le plus populaire  dans une étude menée en 2011), ou à les stocker sur votre ordinateur dans un fichier intelligemment nommé «mots de passe» ou «la clé de mon coeur». Ou sur le papillon collé directement à coté de l'ordinateur !

Nous partageons souvent nos mots de passe avec nos amis et partenaires, ou choisissons des mots de passe faciles à deviner ou même à la portée du public, comme le nom de nos partenaires, des membres de la famille et de nos animaux domestiques, de même que leurs dates d'anniversaire.??Il est important de veiller à garder en sécurité les mots de passe -il n'y a pas que notre vie privée et notre sécurité qui sont en danger - c'est tous ceux avec qui nous sommes en contact, y compris nos collègues activistes et les femmes  que nos organisations tentent d'appuyer. Des informations qui pourraient être partagées sans danger dans ta culture et ton contexte pourraient ne pas l'être dans d'autres, y compris sur la sexualité, les croyances religieuses et politiques. Un mot de passe violé est la première étape conduisant à une fuite d'informations privées et pourrait te nuire à toi et aux personnes qui te sont chères. 

2) Les programmes de piratage de mots de passe

Un mauvais mot de passe  permet aux autres d'accéder plus facilement  et sans autorisation à ton compte car les mots de passe sont faciles à deviner ou peuvent être craqués avec des programmes de piratage librement disponibles sur l'internet.?
Par exemple, les programmes en ligne pour récupérer les mots de passe d'administrateur Windows abondent sur l'internet. Si un technicien fait une  actualisation informatique pour toi ou tonorganisation, il peut accéder au contenu de ton ordinateur en supprimant ton disque dur et en copiant les fichiers sur un autre ordinateur. Si tel est le cas, le technicien ne sera pas invité à entrer ton mot de passe, dans la mesure où il contourne complètement l'utilisation de Windows.

Deux types de programmes de piratage  de mots de passe sont le plus couramment utilisés pour deviner rapidement et à plusieurs reprises ton mot de passe: «dictionary attacks» teste ton mot de passe avec des dictionnaires complets de mots dans plusieurs langues ; les attaqes de «Brute force» testent toutes les combinaisons possibles de caractères, de chiffres et de ponctuations du clavier. Tu peux compliquer la tâche à ces programmes en utilisant des mots de passe plus longs et en ayant plus de combinaisons de lettres minuscules et majuscules, de chiffres et de ponctuations.

Le temps qu'il faudra pour découvrir ton mot de passe dépend de la vitesse de traitement de l'ordinateur pirate. Ce qui pourrait nécessiter des jours ou des mois à un ordinateur «normal» ne prendrait que des secondes à un ordinateur ayant des vitesses de traitement vraiment puissantes comme l'un des super ordinateurs de Google. Un mot de passe contenant 8 lettres minuscules peut être piraté en moins d'un jour par un ordinateur ordinaire, mais si tu remplaces deux des caractères par une lettre majuscule et un signe de ponctuation, il faudra à ce même ordinateur quelques mois pour y parvenir. Pour cette raison et du fait que les vitesses de traitement informatique sont en constante amélioration (les cartes graphiques sont par exemple  désormais équipées de processeurs puissants pour les jeux), il est important de veiller à créer des mots de passe plus longs et plus complexes.
Une fois qu'un pirate a un de tes mots de passe, il sera immédiatement tenté d'accéder à d'autres espaces en ligne que tu utilises et si ton de mot de passe est le même pour ces différents espaces en ligne, tu serasextrêmement vulnérable aux attaques.

3) Les logiciels espions, enregistreurs de touches et  renifleur ou analyseurs de protocoles

?Les programmes d'espionnage tels que les keyloggers ou enregistreurs de touches sont des programmes cachés installés sur un ordinateur et qui peuvent enregistrer tous les mots saisis. Certains font aussi des captures d'écran afin de voir ce sur quoi tu as cliqué. Bien que les mots de passe faibles soient courants, même un mot de passe parfait peut être forcé si nos ordinateurs ont des  programmes espions comme des enregistreurs de touche installés par quelqu'un qui y a accès, ou sur des ordinateurs d'emprunt. Il peut être difficile de savoir quand un enregistreur de touches est installé car ces programmes se cachent souvent sous un nom ou un fichier apparemment anodin.

Si nous utilisons nos ordinateurs sur des réseaux sans fil - mêmes sur ceux qui sont protégés par des mots de passe - nos informations peuvent être vulnérables au 'reniflage'. Le reniflage signifie que d'autres ordinateurs  connectés au même réseau sans fil peuvent analyser notre « trafic » : les sites que nous visitons, nos clavardages, et dans certains cas même nos mots de passe. Pour plus d'information sur comment éviter le reniflage, visitez la section navigation sur dans Soyez en sécurité. 

4) Le phising ou filoutage

Parfois, nous pouvons être flouées par des sites qui ressemblent à ceux de nos banques, nos réseaux sociaux ou des services de librairies pour donner nos identifiants et nos mots de passe  mais sont en réalité des imitations brillantes conçues pour faire croire à l'utilisateur qu'ils sont authentiques. Cela s'appelle phishing ou filoutage. Une fois que tu as inséré tes informations de connection sur leur site truqué, un message d'erreur pourrait apparaître et beaucoup parmi nous penseraientque le site est simplement temporairement en panne. Cependant, notre identifiant et notre mot de passe auraient déjà été enregistrés lors du processus.  La plupart des opérations de filoutage se passent directement dans notre messagerie électronique, où des services de «soutient» ou de «ressources humaines» nous disent qu'ils mettent à jour leurs bases de données ou nous mettent en garde contre une possible fraude dans notre compte bancaire, nous incitant à cliquer directement sur le site listé dans leur courrier frauduleux.

 

De bonnes pratiques pour rester en sécurité

1) Protège tonmot de passe

Le premier niveau de protection du mot de passe est en réalité de le garder pour soi-même. De la même façon que nous insistons sur les meilleures pratiques dans notre travail de militantes, nous avons besoin de développer les meilleures pratiques sur la protection des informations sur nos ordinateurs et sur notre protection en ligne. Nous avons besoin d'être sensibilisées sur les personnes marchant à côté ou jetant leur regard par dessus nos épaules lorsque nous entrons nos mots de passe, et de noter s'il y a des vidéos cameras dans les cybercafés ou les postes de travail à travers lesquels nous accédons à l'internet.

En prenant le temps de créer un espace sûr et sans danger, nous  nous respectons nous-mêmes, ainsi que nos familles, nos amis et nos collègues Dans les relations personnelles, le respect de la vie privée est important et nous ne devrions jamais nous sentir obligées de partager nos mots de passe pour prouver notre confiance, ou attendre des autres qu'ils les partagent avec nous. 

2) Change tes mots de passe régulièrement

Tu as sans doute déjà entendu les conseils suivants, mais il vraiment est important de les prendre au sérieux :

  • n'utilise pas le même mot de passe pour plus d'un service 
  • ne partage jamais tes mots de passe avec qui que ce soit
  • n'écris jamais tes mots de passe quelque part
  • CHANGE souvent tes mots de passe.

Si tuas été amenée à donner à quelqu'un tonmot de passe, ou si tu penses qu'il l'a pu être vu, n'hésite pas à le changer immédiatement.

Changer des mots de passe peut dérouter les programmes de piratage et bloquer l'accès déjà acquis. Penser à des mots de passe vraiment fiables chaque mois et s'en souvenir est un compromis  raisonnable pour votre sécurité en ligne. Gérer les mots de passe avec un coffre fort comme Keepass en tandem avec des phrases de passe et des mots de passe fortifieront grandement ta sécurité.

Si tu remarques une quelconque activité suspecte dans un service en ligne, tudevrais immédiatement changer ton mot de passe. Prenons l'exemple de ta messagerie électronique . Si tu remarques dans ton classeur de courrier envoyé des messages que tu n'as pas envoyés, des contacts que tu ne reconnais pas, si tu reçcois des alertes de tes amis indiquant que tu envoisdu pourriel ou des virus, ou si tu réalises que certains éléments dans ta messagerie sont réarrangés autrement – vérifie immédiament les paramètres de ton compte.  Vérifie si tes messages ne sont pas transférés ailleurs, si l'adresse de référence pour le changement de mot de passe est réellement la tienne et si la question de vérification du mot de passe ou le numéro de téléphone indiqué est aussi le tien. Puis, change le mot de passe. Tu devrais aussi vérifier dans 'Rester en sécurité' des rubriques comme l'entretien élémentaire de l'ordinateur et la navigation sécurisée pour rendre ton ordinateur plus sûr.

3) Protège ton ordinateur avec un mot de passe

Des systèmes d'opération différents comme Mac, Linus et Windows ont différentes  exigences concernant les mots de passe. Par exemple, les systèmes d'opération de Macintosh et de Linus  exigent un mot de passe administrateur pour installer n'importe quel programme. Avec Windows, le compte administrateur est le compte par défaut et ne demande pas de mot de passe. Tu devrais créer un compte administrateur et l'utiliser uniquement pour installer des programmes. Crée ton propre compte utilisateur pour tout autre activité informatique.

Active la protection par mot de passe pour ton ordinateur. Si tu quittes ton ordinateur, - même pour un moment pour chercher du café ou  aller aux toilettes – assure-toide fermer ton ordinateur, c'est-à-dire que le mot de passe doit être introduit avant de pouvoir y accéder à nouveau. Ceci rendra la chose encore plus difficile à quelqu'un essayant d'installer physiquement sur votre ordinateur un programme d'enregistrement de touches. Il empêche aussi les gens d'accéder aux comptes dans lesquels tu est déjà enregistré sur ton navigateur, tels que le webmail ou Twitter et de les utiliser . Protéger ton ordinateur avec un mot de passe n'est pas suffisant, comme nous l'avons déjà vu, mais il s'agit d'un premier pas important.

Le mot de passe qui te donne accès à ton ordinateur est l'un des rares dont tu devrais toujours te rappeler - et il doit toujours être aussi sécurisé que possible.

4) L'entretien élémentaire de l'ordinateur

Il est important de t'assurer que ton ordinateur n'a ni virus ni programmes espions. Le système d'exploitation de Windows souffre de plus d'attaque et est plus vulnérable que celui de Macintosh et de Linus. Disposer d'une bonne protection anti-virus et d'un pare-feu constitue une part importante de l'entretien élémentaire d'un ordinateur et aidera à te protéger de l'espionnage à distance.

Maintiens tes programmes anti-virus à jour avec les dernières définitions et donne-leur le temps d'analyser tous tes fichiers quotidiennement. Cela vaut aussi pour Mac et Linus. Même si ces systèmes d'exploitation sont moins susceptibles de subir les  attaques virales, ils peuvent propager le virus à d'autres utilisateurs de Windows.

Les systèmes d'exploitation sont constamment améliorés par leurs développeurs dans la mesure où les problèmes et les faiblesses sont découverts tout le temps. Garde également ton système d'exploitation à jour, surtout si tu es alertée de l'ajout de correctifs de sécurité.

5) Installe un pare-feu

?Les pare-feux sont des programmes qui visent à prévenir l'accès non autorisé à ou d'un réseau auquel ton ordinateur est connecté, comme l'internet. Les pare-feux t'alertent si un élément suspect tente d'accéder  à ton ordinateurs par l'un de ses ports. Un port est un point d'entrée ou de sortie de votre ordinateur, et chaque port a été programmé avec une fonction spécifique – par exemple les navigateurs vous apportent les informations des sites web à travers le port 80. Si quelque chose autre autre qu'une page web cherche à entrer par le port 80, le pare-feu bloquera l'entrée et vérifiera si la demande peut être accordée. Un pare-feu contrôle également les efforts des programmes sur ton ordinateurs à se connecter à l'internet. Ce mécanisme est habituellement connu comme un pare-feu arrière.  Si un programme tente de se connecter à l'internet sans que l'initiative provienne de toi, un pare-feu arrière te donnera l'alerte.  Pour plus d'information sur les pare-feux, voir la section des ressources.

6) Evite d'être victime du filoutage ou phishing?

Les stratagèmes du filoutage semblent plutôt convaincants - ils vont utiliser les logos d'entreprises de renom et le lien apparaîtra pour vous diriger vers le site de l'entreprise. Méfie-toi toujours des contacts par courrier électronique de différents services que tu utilises comme les banques, les sites de réseautage social, ou même ton fournisseur de messagerie électronique – n'importe quel espace qui te demande normalement  de te connecter. Si tu déplaces ta souris sur le lien fourni par les messages de filoutage, tu pourras constater une légère variation sur l'adresse, comme par exemple un changement dans l'orthographe du nom ou un préfixe. Examine toujours avec attention un lien avant de le copier-coller dans votre barre de navigation.

Ne clique jamais sur un lien envoyé par courrier électronique ou à travers les fenêtres publicitaires. Il est toujours préférable de copier le lien et de le coller dans une fenêtre séparée pour éviter que ton courrier électronique ne soit associé à la page visitée.

7) Astuces pour créer des mots de passe plus sûrs

Tu trouveras listées ci-après des suggestions sur comment créer un mot de passe plus sûr qui valent la peine d'être rappelées:

a) Pense à une phrase de passe plutôt qu'à un mot de passe. Il est plus facile de s'en rappeler et elle peut nous aider à interconnecter des associations importantes que nous seules connaissons. Elle est également habituellement beaucoup plus longue qu'un mot de passe, ce qui peut rendre son décryptage plus difficile.

b) N'utilise pas des mots du dictionnaire ou des noms propres. Comme signalé plus tôt, il y a parmi les programmes de piratage de mots de passe ceux qui cherchent les mots dans les dictionnaires – et dans différentes langues, alors substituer des mots anglais ou français avec d'autres termes n'est pas infaillible.

c)    N'utilise pas des informations qui peuvent être facilement associées avec vous – dates anniversaire, noms de famille, etc.

d) Construis des mots de passe complexes qui comprennent des lettres majuscules et minuscules, des chiffres et des signes de ponctuation. Si le le service le permet, utilise également des espaces entre les caractères.

e) Et plus c'est long, mieux cela vaut. Au moins 10, 12 ou même 20 caractères.

Tu peux aussi créer des mots de passe complexes et longs qui sont facile à se rappeler à partir de phrases de passe qui n'ont de sens que pour vous. Ci-après une suggestion sur comment procéder :  

D'abord :

  • sélectionne une ligne ou un titre de ton poème ou de ta chanson préféré
  • souviens-toi du signe ou du slogan de ta marche de protestation préférée 
  • ouvre un livre et sélectionne un passage au hazard, ou pique une citation préférée
  •  souviens-toi de tes préférences à un certain âge : musique, sport, aliment, jouet;

Ensuite :

  • crée un mot de passe en sélectionnant des lettres de chaque mot de ta phrase de passe
  • Développe ton propre code personnel ou politique pour créer des mots de passe. Ton code pourrait t'indiquer quelle lettre dans chaque mot de la phrase sera utilisé, c'est à dire la première lettre de chaque mot, la dernière? Tu pourras aussi choisir par exemple de toujours mettre en majuscule la première et la dernière lettre dans la phrase passe. Ton code personnel pourrait dicter quels chiffres et signes de ponctuation devra toujours remplacer certaines lettres. Choisis par exemple de remplacer tous les “i” par le chiffre 3. Ou de mettre en majuscule toutes les 4ième lettres parce que 4 est ton chiffre préféré.  
  • Tu peux utiliser les mêmes substitutions dans différents mots de passe. De cette façon, il est facile de changer ta phrase passe souvent, mais de garder en esprit ton propre code pour créer ton mot de passe à partir de la phrase de passe.

 Par exemple :
«Le féminisme est la notion radicale que les femmes sont des personnes!» devient Lf3lnr&lfsdp!

Le code personnel appliqué ici :

  • utilise la première lettre de chaque mot et n'importe quelle ponctuation pour créer le mot de passe
  • mets en majuscule la première lettre
  • remplace «e» avec le chiffre 3
  • remplace «q» avec &

assure-toi que le mot de passe qui en résulte a au moins 10 caractères.

Chaque mois, tu peux  t'amuser à penser à des phrases de passe intéressantes et à renouveler ton mot de passe à la même occasion.

8) Utilise des gestionnaires de mots de passe cryptés

Certains navigateurs comme Explorer et Firefox disposent d'une fonction qui se rappellent de tes mot de passe pour toi. Tu pourrais être tentée d'utiliser cette possibilité comme un moyen pratique pour  gérer les  mots de passe de plusieurs comptes que tu utilises régulièrement. Cependant, cela est très dangereux pour plusieurs raisons. La plus élementaire étant que quiconque a accès à ton ordinateur – par exemple quand tule laissez connecté pendant que tu prends une pause café, ou quand on te  le vole- est capable d'accéder facilement àtous tes comptes et espaces en ligne. La base de données contenant tous tes mots de passe sauvegardés sur ton ordinateur est également accessible à quiconque s'est connecté à ton ordinateur en utilisant le compte administrateur.

Pense plutôt à utiliser un gestionnaire de mots de passe avec un  chiffrement fort, comme Keepass. Tu perdrais certains des avantages permettant que tes mots de passe soient entrés automatiquement, mais c'est un moyen beaucoup plus sûr de garder et de gérer tes mots de passe. Voir [ressources et outils] pour plus d'information sur Keepass et comment l'utiliser.
 

Ressources et outils

KeePass

KeePass (http://keepass.info) est un endroit fiable pour garder tes mots de passe. Il s'agit d'un logiciel libre et à code source ouvert*, développé par une communauté d'experts techniques. Il crée un fichier codé qui  t'aide à gérer tes mots en ligne et hors lignes et d'autres informations vitales. Keepass peut même générer des mots de passe sûrs, très longs pour toi afin de t'éviter  l'effort d'encréer unpar toi-même. Les mots de passe Keepass sont trop complexes pour qu'on s'en rappelle _ tu dois les copier et coller et tun'aspas à t'en en souvenir du tout. L'ironie du sort, c'est que le mot de passe le plus sûr est celui dont tune peux pas t'en souvenir.

Keepass produit également une base de données de mots de passe mais celle-ci est fortement cryptée, ce qui signifie que l'information que tu as entrée dans la base de données a été déguisée ou «chiffrée» afin  qu'il ne soit plus un texte clair. Dans les indications données plus haut par rapport à la création d'un mot de passe plus sûr, tu as développé toi-même ton propre cryptage ou politique pour déguiser tes mots de passe. Dans le cas du chiffrement, les programmes informatiques ont plusieurs blocs de cryptage qui peuvent être craqués seulement par des ordinateurs utilisant une attaque dédiée sur de longues années. C'est beaucoup plus sûr que, par exemple, le fichier de texte avec tous vos mots de passe que tu as peut-être créés pour une référence rapide sur votre téléphone mobile.

Le programme Keepass ou ses variations peuvent être installés directement sur ton ordinateur Windows, Mac ou Linus, ou tupeux utiliser une version d'application portable et l'exécuter à partir de ta clé USB si l'ordinateur que tu utilises ne te permet pas d'installer des programmes. Il existe aussi des versions pour différents modèles de téléphone cellulaire.

Tu peuxgarder ta base de données Keepass de mots de passe chiffrés en ligne, sur ton bureau, sur une clé USB – afin de toujours pouvoir l'utiliser plutôt que d'avoir à sortir prudemment de ton cartable cette feuille usée remplie de mots de passe.

Bien entendu, un autre mot de passe que tune devrais jamais oublier est celui qui ouvre/ donne accès à ta base de données Keepass. Lorsque tu crée ton mot de passe principal, rend-le difficile en en te basant sur les suggestions faites plus haut. Keepass te permet d'utiliser des espaces dans ton mot de passe principal, alors profites-en pour écrire une phrase entière ou une citation comme mot de passe.

Tu peux télécharger Keepass ici : keepass.info/download.html
Un tutoriel est disponible ici : https://security.ngoinabox.org/fr/keepass_utiliser  (français)

*Les logiciels libres et à code source ouverts peuvent être explorés par tous, y compris le code source du logiciel, qui est le langage de programmation et la clé qui explique comment le programme fonctionne. Beaucoup pensent que les logiciels libres et à code source ouvert sont plus surs justement parce qu'ils font l'objet d'inspection et de test par plusieurs techniciens compétents qui peuvent vérifier que le logiciel s'occupe seulement ce qu'il est censé faire. Avec les logiciels propriétaires, c'est seulement les développeurs de la compagnie qui peuvent voir et comprendre le code source. Il existe de nombreuses solutions de logiciels libres et à code source ouvert que nous pouvons utiliser sur nos ordinteurs quelque soit notre système d'exploitation, Macintosh ou Windows. Le système d'exploitation de Linux est à code source ouvert.

Astuces additionnelles pour utiliser Keepass

Attends d'utiliser l'option de fichier asscocié extra-sécurisé : dans l'exemple du tutoriel de premiers pas, tu utiliseras seulement une phrase de passe pour créer ta base de données de mots de passe. Il y a une option pour associer aussi un fichier à la phrase passe pour plus de sécurité. Il est important de noter que si jamais tu perds l'accès à un fichier associé, tu ne pourras pas ouvrir ta base de données de mots de passe. Aussi, surtout pour les débutantes, il serait peut-être plus sage de ne pas activer cette option.

Commence par utiliser tes mots de passe actuels : bien qu'au bout du compte tu seras plus en sécurité si tuprofites de la capacité de Keepass à générer des mots de passe randomisés pour tous tes services en ligne, nous te recommandons vivement d'essayer d'abord ce programme en entrant tes propres mots de passe pour chaque service. De cette façon, si tu oublies ton mot de passe principal/master ou si tu rencontres des problèmes de novel utilisateur, tu ne perderas pas accès à tous tes espaces protégés par mots de passe. Une fois que tute sentiras à l'aise avec l'interface et en mesure de te connecter rapidement à tes différents services et de copier-coller tes mots de passe, commence par remplacer chacun de ceux-ci par des mots de passe générés par Keepass.

Sauvegarde ta base de données : tu pourrais enregistrer ta base de données n'importe où, mais tâches d'utiliser un nom  discret et si possible, changel'extension typique .kdb afin que le fichier  ne soit pas automatiquement associé au programme Keepass. Tupourrais juste ramener l'extension lorsque tu veux accéder au ficher. Tu pouvez enregistrer tonmot de passe sur une clé USB ou sur tout autre équipement mobile tels que la caméra ou le téléphone mobile. Tu peux aussi le garder en ligne. Il est crypté et donc il ne sera pas possible de le lire comme un fichier texte alignant des mots de passe. Pour l'ouvrir, tu auras besoin du programme Keepass et de ta phrase de passe, Keepass lui-même se présente comme un petit programme à enregistrer également ta votre clé USB. Keepass est également disponible dans la suite des applications portables, fortement recommandée pour éviter de stocker des informations privées sur des ordinateurs non dignes de confiance.
 

Ressources

Security in-a-box est une collaboration de Tactical Technology Collective et de Front Line. Ce projet a été conçu pour répondre aux besoins des défenseurs des droits humains et des médias indépendants en matière de sécurité et de confidentialité numérique. https://security.ngoinabox.org/fr