VIE DE L'ÉTABLISSEMENT
Dans le n° 157-mars 2024  - Cybersécurité  16499

Le casse-tête des mots de passe

La compromission de mots de passe est un vecteur majeur de violation de données, voire de cyberattaque. Utiliser des mots de passe « robustes » et différents pour chaque site est une mesure de sécurité de base, indispensable au risque d'engager sa responsabilité.

Cet article est réservé aux abonnés.

Pour profiter pleinement de l'ensemble de ses articles, Géroscopie vous propose de découvrir ses offres d'abonnement.

Mais concrètement, comment faire pour créer des mots de passe « robustes » et mémorisables, et gérer un grand nombre de mots de passe ?

Pour créer des mots de passe « robustes », il est nécessaire de comprendre comment un mot de passe peut être compromis.

Cinq méthodes principales

1. Le vol, copie ou photo d'un fichier non protégé (type fichier Excel) ou d'un répertoire papier contenant vos mots de passe : les mots de passe ne doivent être conservés que de façon sécurisée.

2. Le vol d'une base de données contenant des mots de passe et insuffisamment protégée (ou l'achat d'une base de données volée). Cela ne concerne pas que des sites amateurs ou « louches » : en 2022, la CNIL a condamné EDF pour manquement à son obligation de sécurité, car les mots de passe de certains comptes clients étaient conservés de manière non sécurisée. La meilleure façon de limiter ce risque est d'utiliser un mot de passe différent pour chaque site.

3. L'utilisation d'un logiciel (en vente libre) pour « casser » les mots de passe. Ce type de logiciel peut :

- essayer toutes les combinaisons possibles (attaque par force brute). La longueur du mot de passe et la combinaison des 4 types de caractères vont ici jouer un rôle crucial pour augmenter l'entropie du mot de passe.

- utiliser des listes de mots, en commençant par les plus courants (attaque par dictionnaire). Des variantes, comme remplacer « a » par « @ » ou « S » par « {content}nbsp;» sont aujourd'hui éventées, et le logiciel testera toutes les combinaisons possibles.... Prudence si vous utilisez une « phrase de passe » (succession de mots) : pour avoir une entropie suffisante, il vous faudra utiliser 7 mots du vocabulaire courant. Par contre, l'utilisation de mots rares (par exemple issus d'un vocabulaire professionnel) ou de différentes langues rendra votre mot de passe plus robuste.

- exploiter des informations facilement accessibles concernant l'établissement ou la personne visée et ses proches (nom, prénom, date de naissance...) Avant de choisir un mot de passe, réfléchissez à ce que vous divulguez sur les réseaux sociaux ! C'est la notion de « devinabilité » du mot de passe.

Des attaques « hybrides » combinant ces méthodes sont évidemment possibles.

4. Par tromperie et manipulation psychologique (ingénierie sociale), en incitant la personne à divulguer elle-même son mot de passe.

5. Grâce à un logiciel malveillant (keylogger) qui enregistre la frappe au clavier.

Dans ces deux derniers cas, la conception du mot de passe n'est pas en cause.

Choisir un mot de passe robuste

Selon la dernière recommandation de la CNIL[1], un mot de passe « robuste » :

- est composé de 14 caractères au minimum. Ce nombre peut être réduit s'il existe un autre mécanisme de sécurité, comme le blocage du compte au bout de x tentatives ou une authentification à double facteur (utilisation d'une carte et d'un code par exemple)

- combine des majuscules, des minuscules, des chiffres et des caractères spéciaux

- ne fait pas référence à des informations personnelles facilement accessibles

- n'est utilisé que sur un seul site

- est mémorisé ou conservé de façon sécurisée. Attention, la fonction « gestionnaire de mots de passe » des navigateurs n'est pas suffisamment sécurisée et il est conseillé de désactiver l'enregistrement automatique des mots de passe.

Utiliser des moyens mnémotechniques

Pour créer plusieurs mots de passe mémorisables, il faut adopter un moyen mnémotechnique.

Un moyen qui fonctionne très bien consiste à utiliser la première lettre de chaque mot d'une phrase. Par exemple, « J'ai un chien qui s'appelle Médor » donnera : J'a1cqs'aM.

Pour rallonger ce mot de passe et le personnaliser pour chaque site, on ajoute des caractères propres au site auquel il se rapporte, par exemple les 3 premières lettres, séparées du « tronc commun » par un caractère spécial. Ainsi, pour un compte Amazon, cela pourrait donner : J'a1cqs'aM+ama.

Bien entendu, vous pouvez choisir d'ajouter les 3 dernières, ou toutes les voyelles : la règle d'or sera d'utiliser toujours la même logique dans la conception de vos mots de passe. Par exemple, on pourrait décider :

- de toujours remplacer « un » par « 1 », mais jamais « de » par « 2 » ;

- de toujours mettre la dernière lettre en majuscule plutôt que la première ;

- de toujours utiliser le même caractère spécial pour séparer le « tronc commun » de l'élément personnalisé.

Deux recommandations toutefois :

- pour l'authentification sur un site contenant des données « sensibles », utilisez un mot de passe 100% unique et activez si possible une authentification à double facteur ;

- utilisez un poème, une fable ou les paroles d'une chanson. En cas de doute sur un mot, vous le retrouverez facilement. D'autre part, vous pourrez créer autant de mots de passe que ce qu'il y a de vers. Petite astuce : pour s'assurer d'avoir toujours au moins un chiffre et un caractère spécial, insérez le n° du vers accompagné d'un caractère spécial. Par exemple : (V1)MCs1ap.

Cependant, si vous avez des dizaines de mots de passe à gérer, n'hésitez pas à recourir à un gestionnaire numérique de mots de passe. C'est d'ailleurs la solution recommandée par la CNIL et autres autorités en matière de cybersécurité.

Ce type de logiciel chiffre avec un algorithme fort vos couples identifiants/mots de passe et les centralise dans une base de données. Cette base est accessible par un mot de passe appelé « mot de passe maitre ». Il doit être particulièrement robuste car la sécurité repose sur lui en cas de tentative de piratage. Si vous le perdez, il est impossible de le récupérer.

La base de données peut être stockée en local, sur un support amovible, ou sur le web en mode SaaS. Chaque solution présente ses avantages et ses inconvénients.

Choisir le gestionnaire de mots de passe

Outre qu'il permet de se conformer aux recommandations de la CNIL en matière de sécurité, le gestionnaire de mots de passe vous fera gagner beaucoup de temps :

- Il peut générer automatiquement des mots de passe totalement aléatoires répondant aux règles que vous aurez déterminées. Ceci est particulièrement utile si vous devez renouveler en urgence plusieurs mots de passe parce que vous craignez une compromission.

- Il remplira automatiquement les champs identifiant/mot de passe sur les sites web.

Les autorités publiques recommandent Keepass[2], logiciel libre et gratuit certifié par l'ANSSI. Cependant, vous pourriez préférer un des nombreux autres gestionnaires de mots de passe qui existent en version gratuite ou payante, comme Bitwarden. Aucune concession n'est faite sur le niveau de sécurité. Simplement les versions payantes offrent plus de fonctionnalités, par exemple en permettant de partager plusieurs comptes.

Un conseil : prenez le temps de paramétrer convenablement les options de sécurité, comme le délai dans lequel le gestionnaire se verrouille lorsqu'il n'est pas utilisé, le délai d'effacement des valeurs copiées dans le presse-papier ou une authentification à deux facteurs.

Mais bonne nouvelle, la CNIL a abandonné l'obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, qui s'avérait contreproductive. Le renouvellement régulier reste requis pour les comptes « à privilèges » (comptes administrateurs). En cas de compromission, suspectée ou avérée, les mots de passe doivent toujours être immédiatement changés.


06/04/2026  - Aide à domicile

Prix du carburant : la Loire Atlantique demande une aide ciblée pour les aides à domicile

Un président de conseil départemental unit sa voix à l'ensemble du secteur face au risque de refus d'intervention « quand un déplacement coûte plus qu'il ne rapporte ».
Lire la suite
06/04/2026  - Avenant 75

Aide à domicile : la quatrième tentative pour revaloriser les salaires sera-t-elle la bonne ?

L'USB Domicile et la CFDT ont signé un nouvel avenant salarial auquel la CGT et FO ne s'opposeront pas : sera-t-il cette fois agréé ? Les actes suivront-ils les paroles ?
Lire la suite
06/04/2026  - CNSA

Tarifs 2024 des Ehpad : écart de 1 000 euros entre places habilitées et non habilitées

Une chambre coûte en moyenne 2 164 euros par mois dans les Ehpad habilités à l'ASH, contre 3 128 euros dans les Ehpad non habilités. A l'échelon départemental, l'écart est encore plus notable : il peut dépasser 1 900 euros par mois.
Lire la suite
04/04/2026  - Instruction de la DGCS

Droit de visite en Ehpad : il n'y aura plus d'horaires du tout

Rappel à la loi ? Une instruction de la DGCS relative au droit de recevoir des visites en établissements sociaux et médico-sociaux du champ de l'autonomie confirme l'intangibilité de ce droit. Les seules restrictions, exceptionnelles, sont cantonnées aux cas de menaces.
Lire la suite
04/04/2026  - Conseil du 8 avril 2026

Paul Christophe, nouveau président de la CNSA

En théorie, on doit l'écrire au conditionnel et attendre la réunion du nouveau Conseil le 8 avril, mais les jeux sont faits....
Lire la suite
03/04/2026  - Pâques

Des cartes de voeux pour les aînés

Ce jeudi après-midi, rue de Picpus, dans le 12ème arrondissement de Paris, quatre lycéennes ont poussé la porte de la maison de retraite des Petites Soeurs des Pauvres. Élèves de première au lycée Saint-Pierre-Fourier, elles avaient les bras chargés de cartes de voeux confectionnées à la main pour les offrir aux résidents à l'occasion de Pâques. Aimée, l'animatrice, les attendait.
Lire la suite
02/04/2026  - 17 juin

Les Estivales de la Fondation Partage et Vie : quelle liberté quand décline l'autonomie ?

La réflexion éthique et les échanges qu'elle suscite doivent permettre de nouvelles approches de l'accompagnement des personnes.
Lire la suite
02/04/2026

Et la sexualité après 80 ans ? Webinaire SFGG

Tel est le thème des prochaines Printanières organisées par la Société Francaise de gériatrie et de gérontologie (SFGG) et qui se dérouleront le 2 avril 2026 en total digital. La journée sera enrichie d'interventions de gynécologues, urologues, psychologues, gériatres etc. pour répondre aux différentes questions techniques et sociétales. ...
Lire la suite
01/04/2026  - Innovation

Robots, IA : un nouveau modèle d'Ehpad en préparation

Face à des tensions persistantes sur les effectifs dans le secteur du grand âge, les pouvoirs publics travaillent à une expérimentation intégrant de manière structurée des solutions robotiques et d'intelligence artificielle dans le fonctionnement des établissements.
Lire la suite
footer_logo_img

20, rue d'armenonville 92200 Neuilly sur seine

Tél. 01 41 49 70 00

Email : redaction@geroscopie.fr

Menus

GÉROSCOPIE

Copyright © 2022 - Tous droits réservés