Barack Obama en a fait les frais il y a quelques mois, victime du pirate informatique «Hacker-croll»: les mots de passe choisis sur internet sont souvent trop simples, les usagers étant peu conscients des risques de vols de données personnelles ou bancaires.
Nom de l'enfant, du chat, de célébrités, date de naissance, mots du dictionnaire, suite de chiffres («1234»), «password», «azerty»: «80% des mots de passe sont très facilement détectables», souligne Jean-Philippe Bichard, de l'éditeur de logiciels de sécurité Kaspersky Lab.L'enjeu est pourtant important: les cybercriminels qui parviennent à les détecter peuvent avoir accès à la messagerie des usagers, leurs réseaux sociaux ou encore leur banque en ligne.
Libres à eux ensuite de faire des achats, de vendre les informations trouvées ou de se faire passer pour l'usager en envoyant des messages à ses amis pour leur demander, par exemple, de leur virer de l'argent.
«Casser» les mots de passe est souvent un jeu d'enfant pour les pirates. L'attaque «par dictionnaire» consiste à passer en revue, via un logiciel, tous les mots du dictionnaire. Celle «par force brute» essaie, elle, tous les mots de passe possibles: succession de lettres, de chiffres, etc.
Du fait de la rapidité des logiciels, il faut seulement "une seconde pour casser un mot de huit caractères simples", affirme un porte-parole de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Conséquence: il est impératif de bannir les mots de passe trop courts, les noms propres et communs, ceux de proches ou relatifs à notre environnement immédiat. Les pirates consultent en effet les réseaux sociaux pour tenter de les deviner (lieux de villégiature, amis, etc.).
Cette technique de l'"ingénierie sociale" est d'ailleurs celle qu'a utilisée «Hacker-croll», le pirate français qui est parvenu à infiltrer les comptes Twitter et Facebook de personnalités, notamment celui du président américain Barack Obama.
Il réussissait aussi à obtenir le mot de passe via «la question secrète», posée à l'internaute en cas d'oubli de son sésame, question elle aussi souvent trop simple.
Un bon mot de passe, explique Bernard Ourghanlian, directeur sécurité de Microsoft France, doit être «long» et donc comporter «au moins huit caractères et dans l'idéal 14 ou plus». Il faut également «mélanger les caractères, en associant des lettres, avec des minuscules et des majuscules, des chiffres, des symboles (point d'interrogation, tiret...)».
«La difficulté de casser le mot de passe varie de façon exponentielle avec le nombre de caractères : plus on rajoute de caractères différents, plus c'est difficile pour l'attaquant», note-t-il.
Face à la difficulté de mémorisation, M. Ourghanlian conseille «d'utiliser plutôt une phrase comme "MonfilsOliviera-de3ans", beaucoup plus simple à retenir» qu'une suite illogique. En aucun cas, le mot de passe ne doit en effet être écrit quelque part. Plus compliqué, il est aussi possible d'utiliser les initiales de chaque mot de la phrase choisie, comme MfOa-d3a.
Autre conseil: changer de mot de passe pour chaque site, car s'il est découvert, tous les comptes sont compromis.
Pour éviter un casse-tête, la même phrase peut être conservée, mais en y ajoutant un élément se référant au site consulté. Par exemple: «AmazMfOa-d3a», sur Amazon.
Des outils sur internet permettent, en cas de doute, de mesurer la force du mot de passe, comme Password Meter. Et pour ceux que l'idée de retenir des dizaines de mots de passe effraie, des éditeurs vendent des logiciels qui, via un