De grâce, changez vos mots de passe!

Changer ses mots de passeDropbox, le service bien connu de stockage et de synchronisation dans le cloud a récemment indiqué que rien moins que 68,680,741 identifiants auraient été volés… il y a plus de quatre ans maintenant ! Si vous faites partie de ceux-ci, vous avez dû recevoir un courriel de Dropbox vous invitant à changer de mot de passe, opération d’information qui a été complétée par Dropbox la semaine dernière.

Avec la multiplication des activités en ligne, qu’il s’agisse de banques, de réseaux sociaux, d’intranet ou de services en ligne, la gestion des mots de passe est aujourd’hui, plus que jamais, un domaine auquel il faut prêter la plus grande attention.

Lorsque nous créons des comptes WordPress pour nos clients, nous leur fournissons les mots de passe suggérés par le CMS, plutôt indigestes (la preuve: v^Wr!XL^bCp%MzCf0fFsnBc&), qu’il s’empressent en général de changer en « 123456 » ! Entre ces deux extrêmes, il existe un juste milieu et surtout, des bonnes pratiques à avoir:

Utiliser des mots de passe forts

Un mot de passe fort, c’est:

  • de 8 à 12, voire 14 caractères,
  • une combinaison aléatoire de chiffres, lettres (majuscules et minuscules), et caractères spéciaux,
  • surtout pas le nom et prénom du petit dernier, du chien ou du poisson rouge,

Préférez donc un mot de passe qui ressemble à « x4D-2fT-p0W-1s! » plutôt que « Mauricemonpoisson » !

Un mot de passe différent pour chaque service

La tentation est grande, une fois qu’on a enregistré un mot de passe fort, de le réutiliser à toutes les sauces et pour tous ses comptes: c’est la chose à ne surtout pas faire ! Si par malheur votre mot de passe tombait entre de mauvaises mains, soyez sûrs que les pirates testeront l’identifiant et le mot de passe sur une multitude de plateformes…

D’autant plus que, la plupart du temps, vous utilisez la même adresse courriel pour vous connecter à différents services ou réseaux… Combien d’utilisateurs utilisent la même combinaison courriel + mot de passe pour plusieurs réseaux sociaux ? Ainsi si l’un de ces comptes venait à être piraté, vous ouvririez la porte de tous les autres.

Utiliser l’authentification en deux étapes

Ce processus, offert notamment par Dropbox, Google, iCloud, Twitter et bien d’autres est une barrière de sécurité supplémentaire. Le service concerné vous adressera un mot de passe de vérification (en général un code de six chiffres), par SMS ou autre moyen que vous aurez choisi. Par conséquent, quand bien même quelqu’un aurait votre identifiant et mot de passe, il ne pourra pas se connecter et vous serez avisé de la tentative de connexion. On n’est jamais trop prudent.

Changer ses mots de passe régulièrement

Nous avons tous détesté un jour ou l’autre les responsables TI qui prévoient des mots de passe de session ou de compte courriel expirant au bout de six mois (ou pire: trois !). On passe d’ailleurs souvent plus de temps à essayer de trouver une variation du mot de passe qu’on utilisait précédemment qu’à en créer un totalement original, pas vrai ?

Pour vos usages personnels, vous n’avez sans doute pas de responsable TI qui vient vous rappeler cette bonne pratique. Contraignez-vous à le faire, c’est le meilleur moyen de demeurer à l’abri. Et si vous estimez que c’est pénible et que ça prend du temps, demandez-vous combien de temps et d’énergie vous devriez passer à rétablir un accès à un compte piraté ou à des données dérobées…

Stocker ses mots de passe en lieu sûr

Autant le dire tout de suite: un post-it sous votre clavier n’est PAS un lieu sûr !

Vous pouvez opter pour des coffres fort en ligne, tels que 1-Password: n’oubliez cependant pas que celui-ci est également susceptible d’être piraté, donc il est encore plus impératif pour celui-ci de vous assurer d’un mot de passe très fort !

Parfois, le mieux est l’ennemi du bien: un simple carnet, gardé en lieu sûr, ne sera jamais piraté via internet, c’est certain ! Certes, on n’est jamais à l’abri d’un cambriolage… Le risque zéro n’existe pas, il faut en être conscient et s’en prémunir du mieux qu’on peut.

Conclusion

Les nouvelles technologies nous ont amené ces dernières années de formidables outils, ont permis d’avoir accès à une multitude de services et sont de plus en plus populaires. Ils le sont pour vous, ils le sont aussi pour les cyber-criminels qui multiplient les tentatives.

On ne peut jamais être totalement à l’abri, mais en respectant les bonnes pratiques ci-dessus, vous limiterez drastiquement les risques. Qu’il s’agisse de votre accès bancaire en ligne, de votre connexion Dropbox, Facebook, Gmail, ou WordPress, prenez le temps de construire des mots de passe forts et différents les uns des autres.

C’est un investissement en temps, dont vous ne mesurerez peut-être jamais le gain, mais ne pas être piraté, c’est bien tout le mal qu’on vous souhaite !

Enfin, si votre site est sous Wordpress, sachez qu’il existe une multitude de plugins qui vous permettront d’en sécuriser l’accès : n’hésitez pas à nous contacter pour un audit rapide de votre configuration !