Comment créer des mots de passe forts et où les stocker ?

Le premier jeudi de mai est un jour spécial. Depuis plus de dix ans, cette journée est célébrée comme la Journée mondiale du mot de passe. Pour nous, chez Kaspersky, il s’agit d’un événement important : nous n’organisons pas de fête, mais nous profitons plutôt de l’occasion pour vous rappeler une fois de plus un des aspects importants du quotidien. C’est bien cela : les mots de passe ! Voyons donc comment les créer, où les stocker en toute sécurité, et pourquoi « azerty12345 » est à bannir absolument.

Cette mise au point est cruciale, car de nombreuses personnes comptent encore sur des mots de passe faibles et réutilisés, qui sont trop faciles à deviner et qui se sont à plusieurs reprises retrouvés entre les mains de pirates informatiques. Quelles en sont les raisons et comment remédier à cette situation ? C’est ce que nous vous expliquons dans l’article d’aujourd’hui.

Comment découvrons-nous des fuites ?

Notre réseau mondial de Threat Intelligence, Kaspersky Security Network (KSN), joue un rôle clé. Il collecte et analyse des données relatives aux cybermenaces dans le monde entier, la plupart de ces données étant fournies par nos clients anonymement et volontairement. Ces données dépersonnalisées sont analysées par nos algorithmes de machine learning (IA) et par nos experts humains, ce qui nous permet de réagir rapidement aux cybermenaces émergentes : en effet, le délai moyen entre l’apparition d’une nouvelle menace et le moment où les utilisateurs de KSN en sont informés n’est que de 40 secondes !

Grâce à Kaspersky Security Network, nous savons qu’en 2023, il y a eu plus de 32 millions de tentatives d’attaques contre les mots de passe des utilisateurs de KSN. En 2022, ce chiffre était encore plus élevé, atteignant les 40 millions de tentatives. Autrement dit, des tentatives de piratage de mots de passe ont lieu plus d’une fois par seconde dans le monde ! Par ailleurs, les recherches que nous avons menées fin 2023 ont montré que les attaques ne touchent pas seulement les particuliers et que les entreprises ne sont pas non plus épargnées. 76 % des chefs de petites entreprises interrogés ont été confrontés à au moins un cyberincident au cours des deux dernières années, près d’un quart (24 %, plus précisément) des attaques étant dû à l’utilisation de mots de passe faibles, réutilisés ou anciens.

Comment vérifions-nous vos données ?

Nous utilisons trois méthodes pour savoir si vos données et vos mots de passe sont compromis :

1. Par adresse email, pour les utilisateurs Kaspersky Standard, Kaspersky Plus et Kaspersky Premium. C’est simple : vous saisissez dans l’application les adresses email que vous et vos proches utilisez pour accéder à vos comptes en ligne. Nous vous signalons si des données personnelles vous concernant, y compris des mots de passe, ont fuité sur Internet ou sur le Dark Web. Rassurez-vous : notre application ne reçoit pas et ne stocke pas les données compromises elles-mêmes, et ne donne des informations que sur leur type. Nous vous alertons en cas de violation liée à vos mots de passe, à votre adresse postale, aux informations de votre carte d’identité ou de votre passeport, à votre numéro de carte bancaire, ou à toute combinaison de ces éléments. De plus, nous ne nous contentons pas de vous alerter ; nos experts en cybersécurité vous conseillent également sur les bonnes mesures à prendre, car chaque type de fuite requiert des réponses particulières.
2. Par numéro de téléphone, pour les utilisateurs Kaspersky Premium. Cette méthode fonctionne de la même manière que la vérification liée aux emails, mais elle se concentre sur les comptes liés non pas à des adresses email, mais à des numéros de téléphone. Ces comptes concernent souvent des services plus « sérieux » comme les banques, les institutions gouvernementales et les grandes places de marché en ligne, pour lesquelles des fuites de données peuvent avoir de graves conséquences. Il suffit d’indiquer votre numéro de téléphone dans l’application pour que nous puissions savoir s’il fait l’objet d’une fuite de données. Vous pouvez faire vérifier non seulement votre propre numéro, mais également les numéros de tous les membres de votre famille et de vos proches. Le point le plus intéressant est que vous n’avez à saisir les adresses email et les numéros de téléphone qu’une seule fois, car à partir de ce moment-là, nous surveillons en permanence Internet pour y détecter des fuites. Si vos données sont exposées, vous recevez immédiatement une alerte avec des recommandations sur la marche à suivre.
3. Par algorithme spécial, dans Kaspersky Password Manager. Contrairement aux deux méthodes décrites précédemment, qui vérifient tous les scénarios de fuite possibles, notre gestionnaire de mots de passe se concentre sur l’analyse des mots de passe que vous y stockez. Même hors ligne, nous pouvons vous dire lesquels de vos mots de passe sont faibles ou réutilisés, et lesquels sont suffisamment forts. Par ailleurs, Kaspersky Password Manager vérifie régulièrement tous vos mots de passe en les comparant à des bases de données d’identifiants compromis et vous signale toute correspondance.

Vous pouvez également savoir si un mot de passe est compromis en utilisant notre service en ligne de vérification des mots de passe. Saisissez simplement le mot de passe que vous souhaitez vérifier, et le système vous dira combien de fois il est apparu dans les bases de données ayant fait l’objet d’une fuite et s’il peut être considéré comme sûr.

Oups ! Mauvaise nouvelle : le mot de passe « azerty12345 » a fuité au moins 6 645 fois

Cependant, cette méthode présente un inconvénient par rapport aux trois méthodes décrites précédemment : elle nécessite en effet des vérifications manuelles, alors que Kaspersky Standard, Kaspersky Plus et Kaspersky Premium surveillent automatiquement les fuites en arrière-plan.

Kaspersky stocke-t-il donc les mots de passe de tous ses utilisateurs ? Pas du tout. Aucun des employés de l’entreprise (développeurs, analystes, éditeurs, concepteurs, ou même Eugene Kaspersky lui-même) n’a accès à vos données confidentielles. Nous avons déjà abordé en détail notre politique de connaissance zéro ici. Ci-dessous, nous vous expliquons pourquoi nous ne pouvons pas accéder à vos mots de passe stockés dans Kaspersky Password Manager.

Pourquoi stocker vos mots de passe dans Kaspersky Password Manager est-il plus simple et plus sûr ?

Mémoriser tous vos mots de passe ou les conserver dans une application de prise de notes, par exemple, s’avère risqué. Le Kaspersky Password Manager dédié est spécialement conçu à cet effet. Il crée, stocke et saisit automatiquement des mots de passe forts et uniques sur les sites Internet et les applications, il vérifie que ces mots de passe ne sont pas compromis, et il génère des codes d’authentification à deux facteurs.

Voici une explication simplifiée du fonctionnement de Kaspersky Password Manager. Tous vos mots de passe sont stockés dans un coffre-fort numérique chiffré qui utilise l’algorithme de chiffrement symétrique AES-256. La NSA américaine considère d’ailleurs cette norme de chiffrement comme suffisamment forte pour permettre le stockage des secrets gouvernementaux. La clé de chiffrement est votre mot de passe principal, que vous créez lors de la configuration initiale de l’application. Chaque fois que vous essayez d’accéder au coffre-fort numérique, Kaspersky Password Manager vous demande ce mot de passe et l’utilise pour déchiffrer les données.

Vous pouvez conserver dans le même coffre-fort numérique tous vos mots de passe, mais également d’autres données importantes comme vos numéros de cartes bancaires, vos documents numérisés, vos notes, etc. Ainsi, vos données confidentielles sont stockées et synchronisées entre tous vos appareils dans un format chiffré « top secret ».

Ce niveau de sécurité dépasse de loin le stockage de mots de passe dans les navigateurs. Nous vous déconseillons d’accepter les constantes invitations à stocker vos mots de passe envoyées par votre navigateur, car les mots de passe stockés dans un navigateur peuvent être extraits en quelques secondes à peine.

L’accès au coffre-fort numérique chiffré de Kaspersky Password Manager est accordé exclusivement lorsque votre mot de passe principal est saisi. Nous ne connaissons pas ce mot de passe, et nous ne le stockons jamais nulle part. Si vous l’oubliez, le contenu du coffre-fort numérique existant sera irrécupérable, et vous devrez créer un nouveau coffre-fort numérique. Cette approche vous garantit le plus haut niveau de sécurité : même si un pirate informatique parvient d’une manière ou d’une autre à accéder au coffre-fort numérique chiffré de Kaspersky Password Manager, il ne pourra pas voir vos mots de passe, vos informations de cartes bancaires, ou tout autre document que vous avez stocké.

Comment pouvons-nous vérifier que vos mots de passe ne font pas l’objet d’une fuite si nous ne les connaissons pas ?

C’est là que le Secure Hash Algorithm 1 (SHA-1) s’avère utile. Il prend n’importe quelles données et les utilise pour générer une valeur de hachage, c’est-à-dire une chaîne binaire de longueur fixe unique pour les données d’entrée. Par exemple, si votre mot de passe actuel est « azerty12345 », sa représentation en « langage SHA-1 » ressemblera à ceci : 67ebfc766b162dffad503e5b04b32eae929e9bea.

Chaque mot de passe unique produit toujours le même hachage, et si deux hachages correspondent, les mots de passe d’origine correspondent également. KSN stocke les hachages calculés pour tous les mots de passe connus qui ont fait l’objet d’une fuite ou qui ont été piratés. Pour vérifier votre mot de passe, nous calculons son hachage localement sur votre appareil, puis nous envoyons uniquement la première moitié de ce hachage aux serveurs de Kaspersky, avant de rechercher tous les hachages de mots de passe compromis commençant par la même valeur. Ces hachages sont ensuite renvoyés vers votre appareil, où chacun d’entre eux est comparé au hachage complet de votre mot de passe. Si une correspondance exacte est trouvée, votre mot de passe est compromis.

Ainsi, nous ne connaissons pas vos mots de passe, et ces derniers ne quittent jamais votre appareil sous forme non chiffrée. En théorie, il est possible de récupérer un mot de passe d’origine à partir de son hachage, mais… les hachages complets de vos mots de passe ne quittent jamais votre appareil non plus ! Seuls des fragments de ces hachages sont envoyés aux serveurs de KSN à des fins de comparaison, et il est impossible de reconstituer un mot de passe d’origine d’après une seule partie de son hachage. Par conséquent, vérifier si vos mots de passe ne font pas l’objet d’une fuite est sans danger.

Comment créer votre mot de passe principal ?

Avec Kaspersky Password Manager, il vous suffit de retenir un mot de passe principal. L’application utilise ce mot de passe principal pour chiffrer vos données dans le coffre-fort numérique. Par conséquent, nous vous recommandons de prendre la création de ce mot de passe au sérieux. Utiliser « azerty12345 » comme mot de passe principal équivaut à mettre tous vos objets de valeur dans un coffre-fort et à laisser la clé sur le cadenas. Pour vous faciliter la tâche et vous assurer que vous vous souviendrez de votre mot de passe, voici une astuce pour le rendre à la fois fort et inoubliable :

Pensez à une expression, à une citation ou aux paroles d’une chanson que vous aimez particulièrement. Prenez une lettre (pas nécessairement la première !) ou une combinaison de lettres provenant de chaque mot figurant dans cette phrase, puis insérez des caractères spéciaux entre ces lettres. Remplacez les lettres qui ressemblent à des chiffres ou à des caractères spéciaux par leurs symboles respectifs.

Par exemple :

« Que la force soit avec vous » — Q!L!F!$!@!V0u$

Un bon mot de passe n’est pas nécessairement un mot de passe composé de nombreux caractères spéciaux difficiles à mémoriser, mais plutôt un mot de passe qui résiste au piratage. Testez le mot de passe que vous venez de créer en utilisant notre service en ligne de vérification des mots de passe. S’il vous confirme que votre mot de passe est fort, vous pouvez en faire votre mot de passe principal Kaspersky Password Manager. Il s’agit là du seul mot de passe que vous devez retenir, étant donné que notre gestionnaire de mots de passe générera, enregistrera et saisira automatiquement tous vos autres mots de passe sur les sites Internet et les applications.

Si vous préférez utiliser la méthode traditionnelle qui consiste à « stocker » vos mots de passe dans votre tête, utilisez la combinaison que vous avez créée comme base et, pour chaque service et site Internet, ajoutez-y une « extension » mnémotechnique afin de vous assurer que tous vos mots de passe sont uniques. Nous avons rédigé un guide détaillé au sujet de cette technique. Et, vous savez quoi ? De nombreux services, dont Kaspersky Password Manager, autorisent la création de mots de passe contenant… des émojis et des émoticônes.

Résumé

• Optez pour une protection fiable. Ce faisant, vous garantissez la sécurité de vos mots de passe et de vos autres données confidentielles.
• Créez des mots de passe mnémotechniques. Cette technique vous aide à créer des mots de passe à la fois forts du point de vue du chiffrement et faciles à mémoriser.
• Stockez vos mots de passe dans un gestionnaire de mots de passe. Vous créez et vous mémorisez un mot de passe principal unique et fort du point de vue du chiffrement, et nous protégeons toutes vos données précieuses grâce à celui-ci.
• Ne réutilisez pas un même mot de passe pour plusieurs services et sites Internet. Une fuite de données liée à un seul service peut exposer votre mot de passe à des pirates informatiques et leur permettre de compromettre plus facilement vos autres comptes. Les mots de passe uniques sont la solution, et voici pourquoi.
• Si possible, activez l’authentification à deux facteurs (2FA). Cela ajoute une couche de sécurité supplémentaire à vos comptes. Même si votre mot de passe est compromis, le code 2FA unique empêchera tout accès non autorisé. Vous pouvez même stocker des jetons 2FA et générer des codes à usage unique dans Kaspersky Password Manager.