Geek life

Protéger ses mots de passe avec KeePass

By on 20 octobre 2017

Dans la suite de mes articles sur le monde numérique, il est temps d’aborder la question de la sécurité sur internet et l’importance du mot de passe, injustement négligé. Négligé par les utilisateurs débutants, mais aussi par certains utilisateurs confirmés peu sensibilisés à la question.

Pourtant, le vol en masse de données informatiques (et donc de mots de passe) est une tendance à la hausse ces dernières années. Il se passe rarement une semaine sans qu’une grande compagnie admette le vol des données de ses utilisateurs. D’ailleurs, si vous n’êtes pas anglophobes, vous pouvez jeter un œil au site Have I been pwned? qui recense notamment les sites web compromis, c’est à dire tous les sites où les données personnelles des utilisateurs (date de naissance, adresse, données bancaires…) ont été volées. C’est glaçant.

Même si il paraît difficile de lutter contre ce fléau, un mot de passe complexe sera toujours un verrou supplémentaire pour garantir la sécurité de vos données personnelles. Du coup, je voudrais dédier cet article à tous ceux qui pensent que « 123456 » est un mot de passe valable. Et oui, vous êtes bien plus nombreux qu’il n’y parait.

Petit rappel à l’usage des débutants

Si vous utilisez internet de nos jours, vous avez forcément un boite mail (orange, free, gmail, yahoo…), et probablement un compte Facebook, relié à cette adresse email. Ensuite, vous avez peut-être créé un espace personnel, sur le site des impôts, de votre banque, ou tout autre site administratif. Avec un peu de chance, vous avez aussi un compte chez un ou plusieurs e-commerçants – comme Darty, LeBonCoin ou Amazon. Ça commence à faire pas mal de comptes à gérer.

Sachant que tout compte personnel sur un site web requiert obligatoirement une adresse email + un mot de passe, il y a de fortes chances que vous utilisiez la même adresse email partout. Et si vous avez peur d’oublier vos mots de passe, comme bon nombre d’utilisateurs, vous n’avez aussi qu’un seul mot de passe, que vous utilisez PARTOUT. Et là, j’ai envie d’afficher un gros panneau « STOP ». Si une personne malveillante trouve le mot de passe de votre adresse email, elle aura du même coup potentiellement accès à l’ensemble de vos comptes.

Pour éviter cette situation, voici 3 conseils simples, et facilement applicables.

  1. Posséder deux adresses email. Une adresse principale – comprenant votre nom de famille – pour toutes vos communications officielles (famille, emploi, services administratifs, etc.) Et une deuxième adresse, pour toutes les démarches commerciales et les activités « secondaires » (ex: réseaux sociaux). Par exemple, si vous jouez à des jeux en ligne nécessitant un email, hop, adresse secondaire.
  2. Utiliser des mots de passe complexes ET différents. Le mot de passe associé à votre email principal doit être utilisé uniquement pour cela. Créez un second mot de passe pour les usages administratifs et officiels, et un troisième pour les usages « secondaires » (achats en ligne, jeux, etc). C’est le minimum syndical pour sécuriser vos comptes. Bien sûr, dans l’idéal 1 site web = 1 mot de passe unique.
  3. Changer ses mots de passe régulièrement. Je sais, c’est fastidieux, mais il faudrait modifier tous ses mots de passe chaque année (a minima), pour d’avantage de sécurité.

Qu’est-ce qu’un « bon » mot de passe ?

Un bon mot de passe est un mot de passe complexe, dont la chaîne de caractères utilisée va dérouter ou ralentir le robot (ou l’humain) qui tenterait de décrypter ce mot de passe. Comment le composer ?

  • La longueur (au moins 12 caractères) est un premier critère. D’ailleurs, la plupart des sites internet imposent désormais un nombre minimum de caractères.
  • Ensuite, un bon mot de passe doit comprendre des lettres, des chiffres ET des caractères spéciaux (comme « @ » ou un point d’exclamation).
  • Enfin, le mot de passe ne doit pas reprendre vos données publiques, comme votre prénom, votre nom ou votre date de naissance. Si vous vous appelez Julien et êtes né en 1978, « julien1978 » n’est pas une option acceptable !

Vous pouvez tout de même utiliser des références personnelles, à condition qu’elles ne fassent pas partie de vos informations « publiques » évidentes ; par exemple, utiliser votre film préféré ou le nom de votre premier chien, à condition de mixer ces références à d’autres suites de caractères.

Pour savoir reconnaître un très mauvais mot de passe, voici le top 10 des plus piratés en 2016 :

  • 123456
  • 123456789 (pas beaucoup mieux que l’option n°1)
  • qwerty (l’équivalent d’AZERTY pour les claviers anglophones)
  • 12345678 (grosse variante du n°1)
  • 111111
  • 1234567890 (énième variante du n°1)
  • 1234567 (no comment)
  • password
  • 123123
  • 987654321 (le n°2 à l’envers donc…)

Pourquoi utiliser un gestionnaire de mots de passe ?

Le principal problème rencontré est la mémorisation des mots de passe. La plupart des gens hésitent à multiplier les mots de passe de peur de les oublier. Pour pallier à cela, on utilise donc diverses techniques archaïques qui vont du bout de papier coincé dans le porte-feuille au fichier texte « motdepasse » enregistré sur l’ordinateur. Sans détailler à quel point ces méthodes sont dommageables, disons qu’un gestionnaire de mots de passe est 100 fois plus fiable et sécurisé.

Le deuxième problème, est que nous n’avons souvent aucune idée précise du nombre de sites web auxquels nous avons confié nos informations personnelles. Ça peut paraître dérisoire, lointain, mais lorsque vous disparaîtrez, qui va se charger d’effacer vos traces numériques disséminées aux quatre coins de la toile ?… Si vous tombez dans le coma, qui va pouvoir accéder à vos comptes administratifs si vous gérez tout en ligne ?

En utilisant un gestionnaire, en plus de sécuriser vos mots de passe, vous pouvez enfin avoir un état des lieux exhaustif de votre « présence numérique ». Et en confier les clefs à une personne de confiance, au cas où.

Installer et utiliser KeePass

KeePass est un petit logiciel, libre ¹ ET gratuit, pour entreposer vos mots de passe. C’est donc un coffre-fort numérique entièrement sécurisé, qui va vite devenir l’outil indispensable à votre navigation.

1/ Installer le logiciel

Pour télécharger KeePass, rendez-vous sur le site officiel KeePass, et sélectionnez la version professionnelle, compatible avec Windows, Mac et Linux. Pour un usage classique, c’est-à-dire sur votre ordinateur personnel habituel, choisissez la version « Installer » (bouton du haut).

KeePass nécessite un mot de passe principal. Hé oui, nul n’est parfait, pour pouvoir sauvegarder tous vos mots de passe, on vous demande quand même d’en retenir un. Un mot de passe unique pour les gouverner tous (vous l’avez ?…). Vous allez donc créer une base de données que vous nommerez comme vous voulez, par exemple monprecieux.kdbx, et lui assigner un super mot de passe.

Attention ! Ce fichier est très important. Si vous le déplacez, quand vous lancerez KeePass, celui-ci ne trouvera plus sa base de données et ne s’ouvrira pas ! Pour pallier à ce problème il vous suffit de retrouver votre fichier .kdbx, puis de faire un clic-droit pour ouvrir KeePass – qui va alors retenir le nouvel emplacement de votre base de données.

2/ Installer la langue française

Si vous n’êtes pas très à l’aise avec l’anglais, bien que le logiciel soit simple, je vous propose de passer en français. Pour cela :

  1. Localisez et cliquez sur le menu « View », puis sur « Change language »
  2. Comme le logiciel ne vous propose pour le moment que l’anglais, cliquez sur « Get more languages »
  3. Une page web va s’ouvrir vous proposant de nombreuses langues. Sur la ligne « Français », cliquez sur le fichier proposé dans la 2ème colonne (correspondant aux version 2.x de Keepass)
  4. Une nouvelle page va s’ouvrir sur SourceForge. Ne cliquez sur rien, une fenêtre va apparaître au bout de quelques secondes pour vous proposer de télécharger le fichier.
  5. Faites un clic-droit sur le fichier pour « Extraire tout »
  6. Sélectionnez le dossier d’installation de Keepass. Sur Windows, il devrait se trouver à cet emplacement : C:\Program Files (x86)\KeePass Password Safe 2. Cliquez sur « Extraire ».
  7. Retournez sur Keepass, dans le menu « View » puis « Change language ». Magie ! Le français est là. Vous pouvez cliquer dessus.

Toute la démarche est également détaillée sur le site PCastuces (à partir de l’étape 11).

3/ Organiser sa base de données

Une fois votre base de données et le mot de passe principal créés, vous allez accéder à l’interface (le design est un peu daté mais on s’y fait je vous assure). Pour commencer, je vous conseille fortement de créer des catégories, surtout si vous êtes comme moi un gros consommateur de mots de passe. Pour cela, cliquez droit sur le nom de votre base, à gauche dans l’arborescence, puis « Ajouter groupe ». Vous pouvez en créer autant que vous voulez…

Pour organiser vos groupes, rien de plus simple. Faites un clic droit sur votre groupe, « Réorganiser », puis choisissez parmi les options proposées (au début / monter / descendre / à la fin). Si vous êtes un brin tatillon, vous pouvez même personnaliser les icônes comme je l’ai fait. Il suffit pour cela de télécharger des icônes sur le web, par exemple sur Freepik.com. Ensuite, faites un clic droit sur votre groupe, puis « Modifier groupe ». Cliquez sur l’icone actuel. Vous aurez le choix entre une série d’icônes standards, et la possibilité d’importer vos propres images.

3/ Ajouter et modifier des mots de passe

Une entrée correspond à un couple identifiant / mot de passe. Dans le menu du haut, cliquez sur le bouton « Ajouter une entrée » pour voir apparaître la fenêtre dédiée.

Il vous suffit ensuite de remplir les différents champs : titre, nom d’utilisateur (identifiant ou email utilisé sur le site web), mot de passe. Vous pouvez même enregistrer l’adresse (URL) pour vous en souvenir.

Ce qui est génial lorsque vous enregistrez un nouveau mot de passe, c’est que KeePass évalue sa qualité grâce à une jauge de couleur. Rappelons qu’un mot de passe complexe est un verrou supplémentaire ! Plus la jauge augmente, plus votre mot de passe est considéré comme complexe !

Après chaque modification de votre base de données, n’oubliez pas d’enregistrer vos modifications en cliquant sur l’icone de sauvegarde. À noter que l’icone est normalement grise, et devient bleue si la base de donnée a été modifiée.

Astuce : lorsque vous créez une nouvelle entrée, KeePass vous génère automatiquement un mot de passe complexe. N’hésitez pas utiliser cette fonction si vous avez du mal à inventer vos propres mots de passe…

4/ Utiliser KeePass au quotidien

KeePass n’est pas qu’un simple entrepôt destiné à vous libérer l’esprit, non non ! Il va plus loin que ça puisqu’il vous permet d’utiliser vos mots de passe sur le web en toute sécurité. En effet, beaucoup de logiciels malveillants (installés sur votre ordinateur à votre insu) captent ce que vous tapez au clavier pour voler vos mots de passe. Pour plus de sécurité, il faut donc éviter de taper son mot de passe, surtout si on utilise un ordinateur partagé !

Pour cela, il vous suffit de cliquer sur le mot de passe (représenté par des petits points) dans l’interface générale. Maintenez le clic et faites simplement glisser vers le champs à compléter sur le site web. Cela fonctionne sur la plupart des sites.

Il existe bien d’autres options, que je vous laisse découvrir, mais avec ce petit guide vous devriez bientôt pouvoir vous débrouiller seul.e !

En savoir plus

Si vous voulez en savoir plus sur le sujet, je vous conseille de lire les conseils de sécurité de la CNIL.

Pour la petite histoire, sachez que le mec qui a donné naissance à ces règles de sécurité élémentaires dans un document publié en 2003, s’est excusé pour les maux de têtes occasionnés. Cela ne remet pas en cause ce que je viens de vous expliquer. Simplement, il souligne qu’il vaut parfois mieux un mot de passe court dont on va se rappeler, qu’un mot de passe à coucher dehors (de type vG85HeLPa14!he733@gnT156). Ceci dit, avec un gestionnaire comme Keepass, vous pouvez avoir autant de mots de passe à coucher dehors que vous voulez…Vous pouvez lire l’article sur Bill Burr ici.

 

¹ Vous ne savez pas encore ce qu’est un logiciel libre ? Courrez lire cet article super intéressant.

TAGS
RELATED POSTS

LEAVE A COMMENT

Petite vague
DTC

I'm the evil side of myself. Blogueuse et photographe dilettante. Dévoreuse de séries TV. De confession Jedi. À l'ouest la plupart du temps... Suivez-moi sur Twitter je ne mords pas @jedisvague

Hello !
Suivez-moi sur Hellocoton
Retrouvez je-dis-vague sur Hellocoton