Sécuriser ses passphrases

Comment mettre en place une politique de mots de passe sécurisés.

Pour protéger certaines données, qu’il s’agisse de courriers ou de documents, vous avez souvent besoin de « passwords ». Attention à ne pas tomber dans certains écueils.Une règle de base : Plus un « mot de passe » est court et moins il y aura d’imagination dans le choix des caractères, plus il sera facile à cracker.

La variété des caractères

Des sites proposent aujourd’hui des réglages par défaut vous obligeant, au moment du choix de votre password, à entrer un ou plusieurs caractères numériques. Mais c’est à vous que cette idée doit arriver automatiquement en mémoire. Et pas que pour les chiffres, les caractères spéciaux sont aussi recommandés. idem pour les majuscules.

Un petit exemple

« Demain dès l’aube à l’heure où… » pourrait ainsi se transorfmer en d3m41n,d3sl’Aub3;4l,h3ur30u…

Si vous vous basez sur les 96 touches que vous offre le clavier :

0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSs
TtUuVvWwXxYyZz <SP>! »#$%&'()*+,-./:;<=>?@[]^_`{|}~

il faudra 83,5 jours pour craquer un password de 8 caractères, comme « B33r&Mug » au vu du nombre de combinaisons que peuvent tester les robots. Alors qu’en utilisant seulement les chiffres et les lettres, 62 caractères, votre password peut être découvert en 60 heures.

Plus c’est long…

Oui, bon, d’accord, elle est facile… mais c’est vrai ! Plus votre password sera long, plus vous multipliez le nombre de combinaisons possibles. Vous me direz que oui, mais ensuite, c’est difficile à retenir. Bon, sauf « demain dès l’aube… » qui est déjà dans tous les bons dictionnaires de passwords sous toutes les formes possibles, donc tu l’oublies.

C’est vrai qu’une succession de chiffres et de lettre de manière aléatoire peut être difficile sans enregistrer ses codes quelquepart (ce à quoi je me refuse, mais on parlera bientôt ici de keepass et ses alternatives), il font dont trouver quelques procédés mnémotechniques.

Les paroles de chansons, par exemple, peuvent être une bonne alternative si on décide de ne pas choisir un extrait de refrain des Beatles, tout autre morceau archiconnu. Réfléchissez ! Il y a forcément un morceau que vous adorez, dont vous vous souviendrez facilement et qui ne serait pas connu du grand public, du dialecte local, un morceau d’un groupes de potes…

Kakamou…

Kamoulox !

Une autre alternative peut aussi être le kamoulox, une série de mots sans queue ni tête.

Exemple :

« je photocopie du sable et je promène un Bee Gees »
j3ph0t0c0p13dusAbl3,
j3pr0m3n31BG

Hacking social

On a beau assez le répéter, je ne le fais que pour la forme sinon ce billet ne serait pas complet, évitez bien entendu les prénoms de vos enfants, votre adresse, vos passions… Sinon il sera très facile pour quelqu’un qui vous connaît, ne serait-ce qu’un peu, de deviner.

Bien entendu, évitez de mettre la même passphrase, aussi sécure soit-elle, sur tous vos comptes. A chaque porte son verrou, donc à chaque compte sa clé bien distincte.

  • Les liens qui vont bien

Oubliez les mots de passe, pensez phrases de passe
En combien de temps vos passwords sont-ils vulnérables ?
Et si tu chiffrais tes dossiers avec Truecrypt ?
Et si tu chiffrais tes mails avec GPG ?

 

Je ne suis pas fidèle

Saches, donc, que si tu possèdes une carte Virgin Megastore, tu vas être revendu… Comme un joueur de foot, sauf que toi, t’y gagnes rien. D’après le site des Antipubs, chaque information que tu déposes sur un site marchand est ensuite revendue 0,30 euros l’information… Triste monde.

 Non, madame, en tout cas pas au sens où nos marquetteux l’entendent. Je n’ai aucune carte de fidélité dans mon portefeuille.

Vous voulez une carte de fidélité ? ça donne droit à des cadeaux, à des réductions supplémentaires, et c’est trop bien, quoi ! Si tu es chanceux, dans ton commerce de proximité, grâce aux points accumulés, tu peux même gagner un grille pain !

Sont sympas, nos commerçants, ils pensent à nous, ils sont mignons…

Ben non, en fait. Ça t’étonne ?

Pour pouvoir t’envoyer des mails d’invitation aux pré (ou post) soldes, ils doivent avoir ton adresse, pour t’offrir une savonnette le jour de ton anniversaire, ils doivent récupérer ta date de naissance et ton adresse postale.

Tu vois où je veux en venir ?

La belle arnaque des cartes de fidélité, c’est qu’ils ne t’offrent rien. Par contre, toi, tu mets à disposition tout un tas de données personnelles (oui, y compris la liste des sports que tu aimes ou les lieux de tes dernières vacances pour gagner un rouge à lèvres).

Ces données sont ensuite revendues aux plus offrants et tu te retrouves comme par magie avec tout plein de boites qui te contactent pour des crédits à la conso (là, c’est quand ils voient que tu n’achètes pas souvent, et que du tchip), des assurances, d’autres boutiques qui te proposeront des chaussures dégriffées (mais que pour toi, hein!) de la couleur du pantalon que tu viens d’acheter.

Pas possible ?

Virgin, en liquidation judiciaire, vend les informations de ses fidèles

Ils sont 1 612 723 ! Combien de kébabs peut-on faire avec autant de moutons ? Si tu as la réponse, tu gagnes une carte e fidélité dans le magasin de ton choix.

Les données personnelles sont vendues aux enchères, le site précise d’ailleurs :

« 1 612 723 clients porteurs de la carte de fidélité au 31 décembre 2012 dont 1 211 105 clients contactables (adresse email valide) »

On est content pour eux.

Saches, donc, que si tu possèdes une carte Virgin Megastore, tu vas être revendu… Comme un joueur de foot, sauf que toi, t’y gagnes rien. D’après le site des Antipubs, chaque information que tu déposes sur un site marchand est ensuite revendue 0,30 euros l’information… Triste monde.

On apprend ce matin que les données de ces 1 612 723 personnes ont été vendues 122 euros a un inconnu… à 5 euros le kébab, on voit à peu près ce que ça peut donner, non ?

En attendant qu’on fasse un PiPhone pour spammer les spammeurs, c’est aussi (un peu) beaucoup ta faute, s’ils t’écrivent.

Twitter, Quick : Entre jurisprudence et opinion publique

La volière s’est émue ces derniers jours apprenant que Quick allait attaquer en justice un de ces employés qui informait ses followers sur son quotidien, sur les problèmes d’hygiène et sur les mauvais traitements infligés au personnel.

La volière s’est émue ces derniers jours apprenant que Quick allait attaquer en justice un de ces employés qui informait ses followers sur son quotidien, sur les problèmes d’hygiène et sur les mauvais traitements infligés au personnel.

Et comme on est sur le Web, allons-y jusqu’au bout, c’est sur son site que le fournisseur de junk food a annoncé jeudi dernier qu’il allait poursuivre l’employé qui travaille dans un estaminet d’Avignon pour propos diffamatoires.

Le site de Métro publie le témoignage d’@EquipierQuick qui met l’accent sur le fait que oui, il savait ce qu’il publiait sur le réseau social Twitter et le faisait délibérément.

« Ce n’était pas un coup de gueule. C’était réfléchi, pour pouvoir faire avancer les droits des équipiers. Pour moi le restaurant Cap Sud était un cas isolé du fait de ce qui s’était passé en 2011. Du coup, il y a avait une pression supplémentaire dans ce restaurant. »

L’identification

Notre équipier twitte sous pseudo. On sait de lui, théoriquement, qu’il travaille sur Avignon, mais pas plus, du moins en ce qui concerne la justice. Quick doit donc entamer une procédure qui permettra de l’identifier dans le but de pouvoir l’attaquer nominativement.

L’entreprise dit donc demander tous les éléments d’identification possibles à Twitter : adresse IP, nom et adresse mail fournis lors de l’inscription, etc. C’est ainsi qu’elle pourra ensuite entamer une procédure. Reste à savoir si coopération il y aura.

5858249526_2298a25375

La jurisprudence OccupyWallStreet

Au mois de juillet, le réseau social a d’abord décidé de résister à la justice américaine qui demandait les données personnelles d’un twitto présent sur le mouvement Occupy Walt Street, justifiant ce choix par la protection de ses utilisateurs. Revirement en septembre, sous la pression, Twitter fournit les informations demandées à la justice. L’American Civil Liberties Union (ACLU) réagira même ainsi :

« Twitter devrait être applaudi pour avoir défendu ses utilisateurs, mais la triste réalité est que seuls les utilisateurs individuels peuvent défendre leurs droits constitutionnels. »

Le chapo du papier de France Info qui rapporte ces propos, rappelle que l’affaire pourrait aujourd’hui faire office de jurisprudence. En d’autres termes, Quick pourrait aujourd’hui s’en servir pour faire peser dans la balance en demandant les données personnelles de l’équipier visé.

Des précédents en France

Le site Internet du journal Telerama revient sur quelques affaires de droits du travail ayant impliqué les réseaux sociaux, notamment autour d’un journaliste de France Télévision, d’un journaliste sportif et surtout d’employées d’une entreprise de Boulogne Billancourt qui échangeaient des gossips sur leur hiérarchie via Facebook.

Sur le même sujet, cette infographie.
L’édito de David Abiker.
Illustration Flickr/CC eldh