Mot de passe

Dernière mise à jour : Janvier 2016

Principe

L’accès à tout document ou information de nature juridique utilisé dans le cadre de l’exercice de la profession doit être limité à l’aide d’un mot de passe sécuritaire et modifié aux 30 jours. Cette protection peut viser le matériel informatique et/ou les logiciels utilisés.

Définition

Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un nom d’utilisateur (login ou username en anglais) et un mot de passe (password en anglais) pour y accéder. Ce couple nom d’utilisateur/mot de passe forme ainsi la clé permettant d'obtenir un accès au système.

Risques

La plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret à protéger ou qu’ils ne sont pas susceptibles de se faire voler de l’information, se contentent d'utiliser un mot de passe facile à retenir comme leur identifiant, le prénom de leur conjoint ou leur date de naissance.

À l'aide d'outils de génération de mots de passe, disponibles gratuitement sur le Web, n’importe qui peut essayer un grand nombre de mots de passe générés à l'aide de banques, aléatoirement ou par une combinaison des deux, jusqu’à ce que le mot de passe soit obtenu.

Chaque fois que des mots de passe pour des comptes chez de grands opérateurs Web sont compromis, les dictionnaires de mots de passe, disponibles aux pirates informatiques, s’enrichissent de millions de mots de passe. Il devient facile pour eux d’identifier les plus communs, ils seront les premiers à être testés lors d’attaques informatiques.

Plus un mot de passe est long, plus il est difficile à trouver, c’est-à-dire à « casser » en jargon informatique. Par ailleurs, un mot de passe constitué uniquement de chiffres sera beaucoup plus simple à casser qu'un mot de passe contenant des lettres et encore davantage qu’un mot de passe alphanumérique, c’est-à-dire qui contient des chiffres et des lettres.

1 | Pour connaître la vitesse à laquelle un mot de passe peut être trouvé en fonction de sa complexité (longueur, composition, etc.) : www.lockdown.co.uk/?pg=combiPar exemple, un mot de passe de dix chiffres correspond à 100 millions de possibilités. Si ce nombre paraît élevé, un ordinateur doté d'une configuration modeste est capable de le casser en quelques secondes. À titre comparatif, on lui préfèrera un mot de passe de dix lettres, pour lequel il existe 200 milliards de possibilités. Malgré tout, un tel mot de passe peut être cassé en quelques minutes1.

En cas de perte ou de vol de matériel informatique (clé USB, téléphone, ordinateur portable, etc.), ce sera plutôt le chiffrement qui viendra protéger l’information (voir la prochaine section à ce sujet).

Meilleures pratiques

Hormis la protection que les mots de passe offrent contre les attaques informatiques, ceux-ci protègent l’accès à différents systèmes ou ressources informationnelles.

Il convient de définir une politique en matière de mots de passe afin d’imposer aux utilisateurs le choix d’un mot de passe suffisamment sécuritaire.

Un mot de passe devrait être composé d’au moins dix caractères alphanumériques, c’est-à-dire de chiffres et de lettres, en plus d’être composé de minuscules, de majuscules et de caractères spéciaux.

Mots de passe à éviter
  • Votre nom d’utilisateur;
  • Votre nom;
  • Votre prénom ou celui d'un proche (conjoint, enfant, etc.);
  • Un mot du dictionnaire (qu’importe la langue), ou pire, un terme commun comme « mot de passe »;
  • Un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette possibilité);
  • Un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par exemple « password1999 »);
  • Le même mot de passe pour plusieurs systèmes (qui augmente les risques si un des systèmes est effectivement compromis);
  • Tout mot de passe utilisé ailleurs, surtout sur les réseaux sociaux.

Surtout, gardez vos mots de passe confidentiels. Si vous les notez, ne les placez pas à des endroits où d’autres peuvent les consulter.

Les mots de passe cèdent la place aux phrases de passe

Un bon système pour choisir un mot de passe et pour vous en rappeler consiste à imaginer une « phrase secrète », par exemple : « J'aime le mois de septembre, c’est ton anniversaire mon amour! », et de le transformer par des chiffres et des lettres : jlm09ctAma!

Vous avez ainsi un mot de passe d’au moins dix caractères alphanumériques qui ne correspond absolument à aucun mot du dictionnaire et dont vous pourrez vous rappeler facilement : jlm09ctAma!

Inventez une phrase qui vous convient et suivez ces quelques règles pour utiliser un mot de passe sécuritaire. Ce genre de phrase secrète est plus sécuritaire qu’un mot de passe ordinaire, car il est plus long, plus complexe et moins prévisible (et donc plus difficile à « casser »).

Attention de ne pas remplacer une lettre ou un chiffre par des caractères assimilables (exemple, le chiffre 1 par un !). En effet, les outils permettant de craquer les mots de passe prennent en compte les possibles substitutions de caractères dans les mots de son dictionnaire (4 et A; I, L et le 1; le 5 et S; 7 et T, etc.).

Question de récupération de mots de passe

Plusieurs applications et logiciels permettent de récupérer le mot de passe à l’aide d’une question secrète. Les réponses fournies à cette question ne devraient pas être un élément facile à trouver (par exemple, le nom de votre conjoint(e)) que vous pourriez divulguer sur les réseaux sociaux.

Des alternatives aux mots de passe

De plus en plus d’outils permettent l’utilisation de la biométrie (par exemple, les empreintes digitales ou la reconnaissance faciale) comme solution de rechange aux mots de passe. Cette solution procure un niveau de sécurité très intéressant.

Considérer l’authentification multi-facteur

L’authentification multi-facteur est une pratique qui permet de rendre le système d’une entreprise encore plus sécuritaire et il est recommandé d’installer de tels systèmes d’authentification lorsqu’il est possible de le faire.

Par exemple, un système d’authentification pourrait obliger les utilisateurs à se connecter en saisissant un code de validation (généré sur un téléphone intelligent par exemple) en complément de leur nom d’utilisateur et de leur mot de passe.

Utiliser un gestionnaire de mots de passe

Un gestionnaire de mots de passe est un outil permettant de protéger une base de données de mots de passe. Ceci est particulièrement utile dans les cas où plusieurs mots de passe sont à retenir : le mot de passe de la base de données devient le seul à mémoriser. Ces outils peuvent également comporter un module de génération aléatoire de mots de passe, dont il n’est pas nécessaire de se rappeler. Les gestionnaires de mot de passe peuvent être sous forme de services infonuagiques (par exemple Passwordsafe) ou sous forme de logiciel installé sur un ordinateur, voire sur une clé USB.

Le mot de passe protégeant cet outil devrait cependant être choisi selon les plus hauts standards de sécurité, celui-ci donnant accès à tous les autres mots de passe.

Considérations éthiques

Enfin, notons qu'il est nécessaire pour l'avocat de se conformer aux pratiques susdites afin de respecter l'obligation de prudence envers son client123 et de protéger le secret professionnel2. Vu les délais requis pour casser un mot de passe, il est primordial que celui-ci soit remplacé au moins mensuellement, par un mot de passe n’ayant pas été utilisé au cours des 12 mois précédents.

2  |  Code de déontologie des avocats, art. 3.00.01.

3  |  Code des professions, art. 60.4.

Ressources