Chaque fois que je démarre un nouveau projet relativement à Linkedin, une question surgit: est-ce que c’est sécuritaire ? La question vaut la peine d’être posée, peu importe le réseau social ou la plate-forme web. En 2012, nous apprenions que 6,5 millions de mots de passe Linkedin avaient été volés. Rien pour nous rassurer (même si des mesures ont été prises pour éviter une situation semblable à l’avenir). (M.A.J.) En 2016, nous apprenons que 100 millions de comptes sont visés (soit 1 compte sur 4).
Cela étant dit, la sécurité sur internet commence toujours par un mot de passe robuste. Puisque ce n’est pas chose facile et que c’est un thème récurrent pour mes clients, j’ai eu envie de résumer quelques bonnes pratiques prises à gauche et à droite pour vous aider à créer et retenir facilement un mot de passe sécuritaire pour Linkedin… et pour tous les autres sites aussi.
Règles de base d’un bon mot de passe
Nous pouvons lire sur le Portail de la Sécurité informatique que:
Les risques principaux liés à l’utilisation du mot de passe sont sa divulgation et sa faiblesse.
Afin d’éviter les pires mots de passe recensés par différents sites (password, 123456, qwerty, abc123, …), voici quelques règles de base:
- Il doit avoir un minimum de 8 caractères et idéalement plus de 10
- Il doit être constitué de lettres ET de chiffres ET de caractères spéciaux (@ & > …)
- Il doit y avoir des minuscules et majuscules, de façon aléatoire
- Il ne doit pas être un mot ni une phrase et ne doit pas avoir de lien avec vos informations personnelles (nom, date de naissance, adresse, …)
Il est aussi très fortement recommandé:
- qu’il soit différent d’un site à un autre (un mot de passe pour Linkedin, un pour Facebook, un pour Twitter, …)
- de le modifier régulièrement (aux 3 à 6 mois)
- de ne pas l’inscrire sur une feuille et encore moins dans un fichier
Certains se demandent: pourquoi doit-il être différent ? Tous les systèmes ne se valent pas. Lorsque les pirates informatiques réussissent à déchiffrer des mots de passe sur un site moins protégé, ils testent ceux-ci également sur les autres sites. Une faiblesse à un endroit peut résulter en un cauchemar partout.
3 éléments à intégrer pour de bons mots de passe
En lisant ces quelques règles, beaucoup de personnes réalisent que leur mot de passe est loin d’être robuste… et ils ne savent pas quoi faire pour y remédier. Voici 3 éléments à intégrer pour une recette de votre cru:
1- Un élément constant
Tout d’abord, vous pouvez créer un élément qui restera toujours le même. Pour ma part, j’ai tapé au hasard et j’ai appris les caractères. D’autres vont utiliser des moyens mnémotechniques comme le titre de leur chanson préférée ou un proverbe. Aussi, certains vont modifier des lettres par des chiffres ressemblants, mais c’est un truc qui commence à être connu.
Par exemple:
| I wanna hold you hand (The Beatles) | IwhyhTB |
| Pierre qui roule n’amasse pas mousse | pqrnpm ou mieux pqrn’apm |
| Mairesse | M@1r3553 |
2- Un élément variable
Puisque le mot de passe doit être modifié régulièrement, vous pouvez ajouter un élément variable que vous incrémenterez à une fréquence fixe (pourquoi ne pas mettre un rappel dans votre agenda ?). Par exemple:
| Chiffres | 1, 2, 3, … |
| Alphabet | a, b, c, … |
| Notes | do, ré, mi, … |
| Éléments du tableau périodique (pourquoi pas ?) | H, He, Li, … |
3- Un élément contextuel
Pour avoir un mot de passe différent par site, vous pouvez utiliser le site pour générer les caractères à ajouter. Par exemple:
| Méthode | ||
| 1 lettre du mot | f ou F ou k ou … |
l ou L ou n ou … |
| 2 lettres du mot | FB ou fb ou Fb ou fB ou fk … | LI ou li ou Li ou lI ou ln … |
| … | … | … |
Une liste (quasi) infinie de mots de passe différents
Vous avez maintenant les ingrédients que vous allez mettre ensemble. Voici 2 recettes avec les éléments mentionnés plus haut, à la fois pour Linkedin et Facebook:
| Constant | Variable | Contextuel | Mot de passe |
| IwhyhTB | 1, 2, 3, … | L (pour Linkedin) | 2|IwhyhTB>L |
| IwhyhTB | 1, 2, 3, … | F (pour Facebook) | 2|IwhyhTB>F |
| pqrn’apm | Z, Y, X, … | nk (pour Linkedin) | n(pqrn’apm?Y)k |
| pqrn’apm | Z, Y, X, … | ce (pour Facebook) | c(pqrn’apm?Y)e |
En plus d’avoir une liste quasi-infinie de mots de passe, vous aurez les avantages suivants:
- L’élément constant sera écrit souvent. Il deviendra très facile à mémoriser, même si ce sont des lettres, chiffres et caractères au hasard.
- L’élément variable changera peu souvent et ce sera le seul. Les périodes de transition ne seront pas trop longues.
- L’élément contextuel changera selon le site. Il suffira de mémoriser la logique.
De plus, vous pourrez maintenant inscrire sur une feuille votre recette, sans que personne ne puisse comprendre. La seule chose que vous n’écrirez pas est l’élément constant, que vous pourrez remplacer par autre chose (comme ? ou ***) ou tout simplement rien.
Par exemple, ma recette pour 2|IwhyhTB>L peut être #|***>1.
Note importante:
Ne prenez aucun des exemples mentionnés ici tel quel. Tout mot inscrit sur le web peut être intégré dans les logiques de recherche des pirates. Vous devez seulement vous en inspirer.
De plus, je ne peux pas vous garantir que le mot de passe sera indéchiffrable, mais l’intégration de ces conseils devraient aider à les rendre plus robustes.
D’autres bonnes pratiques à considérer
La prudence ne s’arrête pas là. Voici d’autres points à considérer:
- Il ne faut jamais révéler son mot de passe à quelqu’un, à part dans de très rares occasions à des gens d’extrême confiance. Est-ce que ça existe encore de nos jours ?
- Lorsqu’on utilise un ordinateur public, il faut fermer la session et effacer l’historique du fureteur utilisé (Internet explorer, Firefox, …).
- Ne jamais suivre un lien pour modifier un mot de passe. Toujours aller sur le site d’origine, par exemple www.linkedin.com.
- Au besoin, s’assurer d’avoir un antivirus à jour.
- Se connecter presqu’exclusivement à des gens que vous connaissez et en qui vous avez confiance.
- Protéger ses informations sensibles (âge, courriel, numéro de téléphone, …)
M.A.J. 2013-06-01 Linkedin vient d’annoncer sur son blogue qu’il implantait la validation en deux étapes. Voici un billet de Benoit Descary et ses impressions.
Quelques sources
- Updating Your Password on LinkedIn and Other Account Security Best Practices (Lien) – Blogue Linkedin – Vicente Silveira – 6 juin 2012
- Les risques liés aux mots de passe (Lien) et Comment créer un bon mot de passe (Lien) – Portail de la sécurité informatique
- Bonnes pratiques relatives à la sécurité et à la confidentialité d’un compte (Lien) – Aide Linkedin – 7 juin 2012
- Créer des mots de passe forts (Lien) – Sécurité Microsoft
- Password Checker: Utilisation de mots de passe forts (Lien) – Sécurité Microsoft
Vous connaissez d’autres sources pour compléter l’article ou pour le corriger, n’hésitez pas à laisser un commentaire.
Très bon article Mathieu
Bonne journée
Merci Renée, toi aussi!
Intéressant ton billet. Perso, j’utilise 1Password pour généré des mots de passe sécuritaires. De plus, je suis un adepte de la validation en deux étapes. Malheureusement, Linkedin n’offre pas encore cette fonctionnalité.
Merci Benoit. En effet, c’est un peu désolant que Linkedin ne l’est pas fait encore (validation en deux étapes).
Pour ce qui est de 1Password, je l’utilise aussi. Il est vrai que ça demeure une alternative intéressante même si elle est payante. Par contre, je me suis toujours demandé si c’était (assez) sécuritaire lorsqu’on travaille en entreprise. Une session laissée ouverte donne accès à beaucoup, non ?
Une session ouverte donne accès à tout ;-)….
Je pense que le plus gros problème en ce qui concerne la sécurité, c’est la prolifération des appareils mobiles. Je serai curieux de savoir le pourcentage des utilisateurs de téléphones intelligents et de tablettes qui verrouillent leurs appareils avec un véritable mot de passe et non pas 12345.
Même le président Syrien Bashar Assad utilise le mot de passe 12345 : Haaretz – Some 78 inboxes of Assad’s aides and advisers were hacked and the password that some used was « 12345 »
http://bit.ly/x1V1KR
Bon point concernant les appareils mobiles. Et puisque tu as découvert mon mot de passe, je vais devoir le modifier 😉
J’ai ajouté en référence le billet de Benoit Descary concernant la validation en 2 étapes, puisque Linkedin vient de l’intégrer. Il était temps!
Merci pour le lien Mathieu!