orgmode-to-gemini-blog/sources/cipherbliss_blog/lang_fr/20180803T160326__comment-ne-plus-perdre-de-temps-avec-ses-mots-de-passe.org

:PROPERTIES:
:ID: c7d75181-72ee-49dc-b370-34bd76134c94
:END:

#+title: comment-ne-plus-perdre-de-temps-avec-ses-mots-de-passe
#+post_ID: 855
#+post_slug: comment-ne-plus-perdre-de-temps-avec-ses-mots-de-passe
#+post_url: https://www.ciperbliss.com/2018/comment-ne-plus-perdre-de-temps-avec-ses-mots-de-passe
#+post_title: comment ne plus perdre de temps avec ses mots de passe
#+post_tags: vie privée, email, mot de passe, sécurité, gestionnaire de mot de passe, botnet, hygiène numérique
#+post_type: post
#+post_mime_types: 
#+post_guid: undefined
#+post_status: publish
#+post_date_published: <2018-08-03T16:03:26>
#+post_date_modified: <2018-08-03T16:17:25>
#+post_index_page_roam_id: fa7f2a8c-2b94-4e42-bb4c-25c026ed7ff9
#+retrieved_from_db_at: <2024-11-18 16:25:08>


* comment ne plus perdre de temps avec ses mots de passe
:PROPERTIES:
:CUSTOM_ID: comment-ne-plus-perdre-de-temps-avec-ses-mots-de-passe
:END:
 Pendant 20 ans d'efforts, vous avez été conseillés
d'utiliser des mots de passe difficile à retenir par des humains, mais
faciles à deviner pour des ordinateurs en une fraction de
seconde.( comme évoqué dans
[[https://www.xkcd.com/936/][ce strip de XKCD sur les mots de passe]] ,
en anglais)

** Pourquoi on s'emmerde à faire des mots de passe déjà ?
:PROPERTIES:
:CUSTOM_ID: pourquoi-on-semmerde-à-faire-des-mots-de-passe-déjà
:END:
[[http://www.cipherbliss.com/wp-content/uploads/2018/07/aax1kgGR_700w_0.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/07/aax1kgGR_700w_0.jpg]]

[[http://www.cipherbliss.com/wp-content/uploads/2018/07/a2KrE1K4_700w_0.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/07/a2KrE1K4_700w_0.jpg]]

[[http://www.cipherbliss.com/wp-content/uploads/2018/08/botw78_password.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/08/botw78_password.jpg]] 

** 500.

:PROPERTIES:
:CUSTOM_ID: section
:END:
C'est à peu de choses près le nombre de sites sur
lesquels j'ai créé un compte depuis que j'ai commencé à utiliser
internet, et c'est très facile de faire monter ce nombre en s'inscrivant
par SSO (vous savez, ces boutons qui disent "s'inscrive via google, via
facebook, via [[https://www.gitlab.com][gitlab]], via
[[https://mamot.fr][mastodon]]". C'est très probablement sur un nombre
similaire de sites web que vous avez un compte
perso.Le web est comme la nuit, sombre et pleine de
terreurs, c'est pourquoi vous ne voudriez vraiment pas que n'importe qui
accède à n'importe quelle info cruciale vous concernant, vous et vos
proches.Et parfois, avoir un bon mot de passe est le
seul rempart entre ce que vous avez de plus précieux et de grosses
emmerdes.[[http://www.cipherbliss.com/la-fte-des-passwords-et-la-neutralit-du-net/][Ce
n'est pas la première fois que j'évoque le sujet]]. Il ne se passe pas
un mois sans que ne se produise une fuite de données ou la révélation
d'une grosse faille de sécurité dans une boite plus ou moins énorme,
impliquant des milliers ou des millions de personnes. La sécurité
informatique est cruciale, voire stratégique, mais malgré tout ce sont
des choses négligées par la plupart des boites et des particuliers.

C'est pourquoi la grande majorité des boites mails et des opérateurs
téléphones traitent tout ce que vous leur passez comme des cartes
postales: vos emails sont lisibles non seulement par le facteur, mais
par toute personne ou machine du chemin de votre email. et des points
d'arrêts, il y en a des tonnes entre le départ et l'arrivée d'un email,
à moins que vous utilisiez quelque chose comme
[[https://protonmail.com/fr/][Protonmail]], ou
[[https://www.signal.org/][Signal]] pour vos SMS.La
question que vous devriez vous poser ce n'est pas "pourquoi est ce qu'il
faudrait que je sécurise mes communications?" mais plutôt "*pourquoi est
ce que préfèrerai que n'importe qui - voire les pires salauds - aient
accès à tout ce que je communique à mes proches et le conservent sans
que j'en ai le contrôle ?*"Le crackage de compte ne
s'effectue pas en majorité par des types en sweat à capuche qui portent
des lunettes noires et écrivent sur un ordi en vert sur fond noir dasn
une sombre pièce pour être pas gentil précisément envers quelqu'un
(vous), mais par des scripts qui scrutent chaque machine reliée au net
(mais pas que) à chaque instant afin d'exploiter leurs
vulnérabilités.C'est pourquoi une fois qu'une faille
de compte est découverte sur un site il est très simple de tester
automatiquement des milliers d'autres sites avec ce couple identifiant /
mot de passe en un millième de seconde.C'est ainsi
que vous subissez une invasion de virus / spywares / une usurpation
d'identité / un braquage de vos comptes en banque / une atteinte à votre
réputation / la fuite de données médicales et profil psychologique / le
vol de vos photos ou de votre graphe social (bien que ce genre d'infos
sont souvent
[[http://www.cipherbliss.com/facebook-est-mort-vive-mastodon/][données
avec joie par les utilisateurs de réseaux sociaux]] sans qu'ils en
comprennent les conséquences)[caption
id="attachment_850" align="aligncenter"
width="500"][[http://www.cipherbliss.com/wp-content/uploads/2018/07/aYJ9JaQM_700w_0.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/07/aYJ9JaQM_700w_0.jpg]]
le web des fois c'est n'importe quoi - ip man et the
mask[/caption]Les gens n'y sont pas forcément très
civilisés, mais la plus grosse faille dans les systèmes informatiques
sécurisés ce sont le plus souvent les individus eux mêmes (hacking
social). On peut obtenir pas mal d'infos sur vous et vos proches en vous
demandant de répondre rapidement ou en vous mettant en situation de
stress, ou en vous séduisant.Il est d'ailleurs très
probable que vous ayez déjà fait au moins une de ces
erreurs:

- utiliser un mot de passe tout pourri facile à retenir mais comportant
  5 caractères
- utiliser le nom de votre animal de compagnie comme mot de passe
- utiliser un seul mot de passe tout pourri sur tous les sites où vous
  avez un compte.

- faire connaître votre mot de passe tout pourri à vos proches, des fois
  que vous l'oubliez.

- exiger de connaître le mot de passe de votre conjoint ou ses codes de
  carte bleue.

- garder les identifiants par défaut sur toutes les machines que vous
  employez.

- utiliser le même mot de passe pourri partout depuis 15 ans.

- utiliser votre vrai nom partout.

- mettre un disque ou une clé usb que vous avez trouvé par terre à votre
  ordi sans prendre de précautions.

- perdre l'accès à un site sur lequel vous avez un compte.

- perdre des fichiers auquels vous teniez juste parce que vous ne les
  avez pas copiés sur plus d'un disque à la fois.

- laisser un ordinateur portable ou un téléphone sans mot de passe de
  login.

- subir un vol d'un ordi ou d'un portable non sécurisé.

- donner des informations de carte bleue par téléphone.

- communiquer par email ou SMS un mot de passe.

- vous faire avoir par du
  [[https://fr.wikipedia.org/wiki/Hame%C3%A7onnage][hameçonnage]] avec
  un email frauduleux.

- ne pas chiffrer intégralement votre disque dur d'ordi grâce à un mot
  de passe.

- ignorer ce qu'est
  [[https://fr.wikipedia.org/wiki/Double_authentification][l'authentification
  multi factorielle]], ou à deux facteurs (ou 2FA) alors que vous
  possédez un smartphone.


[caption id="attachment_851" align="aligncenter"
width="700"][[http://www.cipherbliss.com/wp-content/uploads/2018/07/aJxxBAe3_700w_0.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/07/aJxxBAe3_700w_0.jpg]]
Obi wan ne trouve pas cela bien
civilisé[/caption]Pour toutes ces erreurs, vous aurez
beau avoir un système informatique parfaitement bien fait, si les
utilisateurs font n'importe quoi, il ne restera pas sécurisé bien
longtemps.De plus, les endroits où l'on est en droit
d'attendre un maximum de sécurité ne sont pas forcément les mieux placés
sur le secteur et défient parfois tout bon sens en facilitant le travail
à n'importe quelle attaque par force brute, rien qu'en mettant une
limite ridicule dans la taille et la diversité possible d'un mot de
passe.[[http://www.cipherbliss.com/wp-content/uploads/2018/07/2dt2cc.jpg][http://www.cipherbliss.com/wp-content/uploads/2018/07/2dt2cc.jpg]]Sauf
que ce genre de chose est une donnée stratégique, et puisque le monde
est entièrement connecté, il est aisé d'obtenir des infos cruciales à
partir d'infos bénignes. Retenez aussi qu'il est plus facile de vous
identifier avec moins d'une dizaine de méta données qu'avec une
empreinte digitale.Ok, vous allez me dire que *c'est
chiant d'avoir à retenir cinquante mots de passe hyper compliqués*, ne
serait-ce qu'un seul qui comporte des chiffres et des lettres c'est la
galère. Encore plus de devoir les écrire.Et je suis
entièrement d'accord avec vous, c'est pour ça que j'ai adopté une
solution qui me permette de résoudre tous ces problèmes de complexité
tout en améliorant la sécurité de mes logins.


#+begin_quote
50 heures, c'est selon Lastpass, le temps moyen par an que passe
quelqu'un à rechercher ses mots de passe et à les taper dans des
formulaires de login. C'est aussi le temps que vous économisez en ne les
tapant pas vous même si vous adoptez un gestionnaire de mots de passe.

#+end_quote

Heureusement il existe des solutions très pratiques
pour gérer vos mots de passe sans devoir les confier à un tiers auquel
vous ne faites pas confiance, ou les écrire sur papier pour les recopier
ensuite.


** Les solutions à la gestion de mot de passe.

:PROPERTIES:
:CUSTOM_ID: les-solutions-à-la-gestion-de-mot-de-passe.

:END:
Si vous êtes ici vous avez bien deux minutes pour
mettre en place une meilleure gestion de vos mots de passe. Je ne
saurais donc que trop vous conseiller d'utiliser *un gestionnaire de mot
de passe* comme [[https://www.bitwarden.com][Bitwarden]] (gratuit et
autohébergeable dont j'ai
[[http://www.cipherbliss.com/depasser-la-barriere-de-la-langue/][contribué
à la traduction en Français]]), Keepass ou
[[https://www.lastpass.com][Lastpass]] (payant et centralisé, 9€ par an
mais ça vaut carrément le coup notamment pour sa fonction de changement
automatisé, propose une offre famille qui fait un prix de groupe pour 6
personnes).


** Un gestionnaire de mots de pass c'est BEAUCOUP MIEUX.

:PROPERTIES:
:CUSTOM_ID: un-gestionnaire-de-mots-de-pass-cest-beaucoup-mieux.

:END:
C'est capable de créer et de remplir vos identifiants
sur demande / automatiquement sur tous les sites web du monde sans avoir
à retenir un million de mots de passe différents, tout en étant capable
d'utiliser ce genre de mot de passe:

#+begin_quote
exemple:pour ma boite mail pro j'utilise ce mot de
passe:identifiant:
troubadourdudimanche@laboitemail.compass:
!zswL*t0!X@3P9$OnCL$*jccJe9%kQ5SxWwgKRu0AjHKaaMddpO1onbU@%ln%1LOOj5DyO4otv0Atd6hfmY7nhfiX*pour
[[https://www.mamot.fr][mon réseau social préféré]] j'utilise celui
ci:identifiant:
bébertDuchmollpass:
EMLocF9FgLesVW$RtJwbZG&FuqvbC%9a&3!4v8!!i@optNLmk5iZkvYMZQBpKkH94Qb4Nd@q&tMYz^p#RuXSi!iYvL&UEIH^pour
mon blog j 'utilise ça:identifiant:
leadmin_Kivabienpass:
sRpKuHwGZ9k!dkBWY$UBIHR#Q#WVYzzpzAy5Igr9gqPLRh@@3yoKj&dgkBE4qAGzwyTGcm%ixHP*JBry@q9cjJbed*dS7t!
#+end_quote

Et aussi de prendre des notes de façon
sécurisée.Vous allez donc me dire: /Wololo! Mais
comment c'est possible d'utiliser tout ça sans avoir à se péter le crâne
?/C'est simple, c'est géré par le gestionnaire de mot
de passe qui est intégré à Firefox (ou autre navigateur), qui stocke ces
infos dans un fichier illisible jusqu'à ce que je le déverrouille par
*une phrase de passe*. Et une phrase de passe c'est vachement mieux
qu'un mot de passe ET plus facile à
retenir. Prenez par exemple cette
phrase:

#+begin_quote
/miaou le chat est un boulet qui ronfle/
#+end_quote

Elle fait déjà un bon paquet de caractères et est
donc de fait très longue à deviner par un script qui essaierait toutes
les combinaisons de caractères
([[https://fr.wikipedia.org/wiki/Attaque_par_force_brute][attaque par
force brute]]). on personnalise un peu, et hop, on a une phrase de pass
longue et difficile à deviner, qui mettrait des millions de milliards
d'années à être trouvées par un ordinateur capable de faire un trillion
d'essai par seconde.


#+begin_quote
/miao*w!* le chat *3*st un boulet qui *RONFLE*/
#+end_quote

Sérieusement, prenez dix secondes pour installer un
gestionnaire de mots de passe (il suffit de s'inscrire avec une phrase
de passe, et d'installer une extension firefox/chrome/autre et vous
n'aurez jamais plus besoin de réfléchir à plein de mots de passe
différents tout le temps pour chaque site que vous utilisez). Vous
gagnerez énormément de temps et d'argent à ne pas avoir à récupérer vos
comptes ou à affronter des situations douloureuses pour vous et vos
proches (j'insiste) évoquées ci dessus qui vous en prendront bien
plus.Tous les gestionnaires de mots de passe
permettent la portabilité, c'est à dire que si vous souhaitez changer de
gestionnaire à un moment donné, vous pourrez faire un export / import de
vos données. Formidable non ?Voilà, donc pour faire
un premier pas, inscrivez vous sur
[[https://vault.bitwarden.com/#/register][bitwarden]] et ensuite ajoutez
leur
[[https://addons.mozilla.org/fr/firefox/addon/bitwarden-password-manager/][extension
firefox]]/[[https://chrome.google.com/webstore/detail/bitwarden-free-password-m/nngceckbapebfimnlniiiahkandclblb][chrome]]/autre.

Puis utilisez l'application mobile
([[https://play.google.com/store/apps/details?id=com.x8bit.bitwarden&hl=en_US][android]]
ou
[[https://itunes.apple.com/us/app/bitwarden-password-manager/id1137397744][pomme]])
qui synchronisera vos infos de passe et de notes sécurisées, et
proposera de remplir les champs dans les autres applis si vous le lui
permettez.Vous pouvez aussi installer votre coffre
fort sur votre ordi pour une utilisation hors
ligne.Et utilisez
le!  Pour aller
plus loin, des guides
généraux:[[https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf][Le
guide de l'hygiène générique du gouvernement français en 42 mesures,
dispo en
pdf.]]

[[https://duckduckgo.com/?q=hygiène+numérique][Recherchez
"hygiène numérique" avec duckduckgo]], un moteur de recherche à adopter
car il ne vous surveille pas, contrairement à google et beaucoup
d'autres.intéressez vous à l'authentification multi
factorielle et activez la. Il existe aussi des clés usb qui permettent
de générer des mots de passe à usage unique, qui ne nécessitent même pas
de copier ces mots de passe, yubikey étant une marque parmi
d'autres.en
englishe:https://www.passwordday.org/[[https://www.lockdownyourlogin.org]]

[[https://stopthinkconnect.org/tips-advice/general-tips-and-advice]]Enjaillez!