Back to Navigation

Les mots de passe

Le présent document est une transcription d'un balado sur la création de mots de passe forts pour protéger votre pratique et les renseignements de vos clients.

Les animateurs : PB Phil Brown, DW David Whelan

PB : Bonjour, ici Phil Brown et je suis en compagnie de David Whelan. Aujourd'hui, nous allons parler de l'utilisation de mots de passe pour assurer la confidentialité et protéger les renseignements de vos clients. Aujourd'hui, beaucoup d'information relative aux clients est stockée sur des ordinateurs de bureau, des ordinateurs portatifs et des téléphones intelligents. Parlons donc un peu de la protection au moyen de mots de passe.

DW : La protection au moyen de mots de passe est importante, car c'est la porte à toute votre information. Si vous ne protégez pas vos fichiers au moyen d’un mot de passe, les gens peuvent les ouvrir et les lire. Si vous ne protégez pas votre ordinateur ou votre compte de courrier électronique avec un mot de passe, les gens pourront accéder à ces appareils ou à ces comptes et possiblement voir des choses que vous ne voulez pas qu'ils voient et que vos clients ne voudraient certainement pas qu'ils voient.

PB : Et nous sommes tous humains et essayons souvent de trouver le mot de passe le plus simple que nous puissions utiliser.

DW : Absolument. Chose intéressante : chaque année, on réalise un nouveau sondage ou une nouvelle étude au sujet des mots de passe et les mots de passe les plus courants sont invariablement des mots de passe comme « 123456 » ou d'autres mots de passe vraiment évidents. Il est vraiment important d'éviter les mots de passe faciles à deviner.

PB : Les gens ont souvent tendance à utiliser des mots de passe qui ont une certaine signification pour eux, comme le nom de leur mère, le nom de leur conjoint(e), le nom de leur animal de compagnie ou d'un animal de compagnie de leur enfance, etc.

DW : Absolument. Il est également intéressant de souligner que c’est exactement le genre de questions que votre compte bancaire, votre compte bancaire en ligne ou d'autres services en ligne vous posent si vous avez perdu votre mot de passe. Ils vous demanderont quel était le nom de votre chien lorsque vous aviez six ans, ou le nom de la rue sur laquelle vous viviez à un certain âge ou le nom de votre conjoint(e), etc. Si vous utilisez Facebook ou d'autres services, ou si vous connaissez des gens qui utilisent ces services, il pourrait effectivement être possible d'obtenir ces renseignements. Vous avez peut-être partagé ces renseignements vous-même ou des gens les ont peut-être partagés pour vous. Ce n'est donc pas une façon sécuritaire de créer un mot de passe, même si ça semble aller de soi.

PB : Il existe un certain nombre de générateurs de mots de passe offerts gratuitement sur Internet.

DW : J'aime beaucoup Password Meter (passwordmeter.com), car il vous indique ce qui manque. Il offre un certain nombre de catégories et affiche des couleurs – vert, jaune ou rouge – selon la force de votre mot de passe. Il suggère également des caractères ou des choses que vous pourriez améliorer pour renforcer votre mot de passe.

PB : Et quelques petits points supplémentaires... La dernière fois que j'ai changé mon mot de passe à l'interne, j'ai réalisé qu'il devait contenir un caractère alpha et un caractère numérique et qu'il devait contenir un certain nombre de caractères.

DW : Effectivement.

PB : Et c'est de plus en plus courant. Mais pour renforcer encore plus les mots de passe, on recommande habituellement d'utiliser des lettres majuscules et minuscules ainsi que des chiffres.

DW : Effectivement. Je crois que, pour établir un bon mot de passe, il faut créer quelque chose qui n'existe pas dans le dictionnaire. Lorsque les gens attaquent les mots de passe ou essaient de les deviner, ils commencent souvent par l'attaque du dictionnaire, c'est-à-dire qu'ils passent littéralement à travers tous les mots du dictionnaire. Donc, si vous utilisez un mot de passe qui se compose de mots qu'on trouve dans le dictionnaire, il y a de bonnes chances qu'ils pourront le deviner. Si vous utilisez des caractères spéciaux ou des majuscules et minuscules, ce mot de passe devient plus difficile à deviner, ce qui rend une attaque fondée sur le dictionnaire plus difficile. 

PB : Et nous ne parlons pas d'une personne qui est assise avec un dictionnaire. Plusieurs logiciels peuvent faire ça en quelques millisecondes.

DW : Absolument. Je ne peux m’imaginer qu'une personne s'assoit avec l'OED et passe à travers le dictionnaire.

PB : Chaque volume. Une autre chose au sujet des mots de passe – et je sais que nous avons peut-être des idées différentes à ce sujet – est la question de savoir si l’on devrait ou non les écrire sur papier et les conserver dans un endroit soi-disant sécuritaire.

DW : Effectivement. Auparavant, je croyais que c’était une mauvaise idée, mais j'ai changé d'avis. Il y a deux bonnes raisons de le faire, à mon sens. La première est que cela me permet d'établir des mots de passe vraiment difficiles, car si je les prends en note, il n’est pas nécessaire de me souvenir combien de « q » et combien de majuscules ou de caractères spéciaux ils contiennent. Cela me permet également de créer des mots de passe très longs. Cependant, si vous écrivez votre mot de passe sur papier, cela ne signifie pas que vous devriez le coller sur votre ordinateur ou sous votre bureau, ça serait contre-productif. Si vous avez créé un mot de passe difficile et que vous voulez en prendre note, vous devriez le mettre avec d'autres choses qui sont importantes pour vous, comme vos cartes de crédit ou un autre environnement – peut‑être un coffre-fort si vous devez vraiment le conserver quelque part, mais ne souhaitez pas l'avoir avec vous. Mais je ne crois pas que le fait de l’écrire soit un problème. Je crois qu'il faut plutôt veiller à le garder en sécurité si vous décidez de le faire.

PB : Et, similairement, en ce qui concerne la modification de votre mot de passe, je sais que, à l'interne, si vous travaillez dans un organisme, je crois que la norme est de le changer environ tous les 90 jours. Dans l’optique d'avoir un mot de passe très fort, et si la personne en a pris note quelque part, le changerais-tu?

DW : Non. En fait, c'est ce que je me suis dit lorsque tu as parlé des 90 jours. Parce que je crois que plusieurs personnes font ça et, à moins que votre administrateur de réseau ait changé ça ou à moins qu'on vous force à le faire, vous commencerez probablement avec un certain mot de passe et vous ajouterez le chiffre « 1 » après la première modification obligatoire, puis, 90 jours plus tard, vous changerez le « 1 » pour un « 2 ». Donc, vous utiliserez essentiellement le même mot de passe encore et encore. Car, soyons honnêtes, après deux ou trois ans au sein de l'entreprise, vous avez probablement écoulé tous les bons mots de passe dont vous pouviez vous rappeler. Il est donc probablement préférable d’avoir un bon mot de passe et de ne pas le changer sur une base régulière. Je recommanderais tout de même de le modifier chaque année, mais de le prendre en note et de vous assurer qu'il soit fort.

PB : En ce qui concerne la prise en note des mots de passe, je sais qu'il existe certains programmes comme Password Safe et autres qui vous permettent de stocker de façon sécuritaire vos mots de passe. Est-ce une bonne idée?

DW : Je m'en suis toujours méfié. Je crois que cela dépend de votre niveau de confort. Je ne garde aucun mot de passe sur le Web et je me méfie toujours de la possibilité de sauvegarder des mots de passe, même dans mon navigateur Web. Il y a un outil intéressant pour le navigateur Firefox qui se nomme Web Developer's Toolkit, je crois. C'est un module additionnel en fait... si vous visitez une page Web et avez sauvegardé votre mot de passe dans le formulaire, il vous permet de voir votre mot de passe au lieu de voir des astérisques. Donc, il faut garder à l'esprit que, si vous sauvegardez vos mots de passe quelque part, peu importe où, vous devez vraiment vous assurer qu'il s'agit d'un environnement sécuritaire.

PB : Cela pourrait être un autre conseil. Si vous partagez un ordinateur avec d'autres personnes ou si votre ordinateur est accessible, n'utilisez pas les remplisseurs de formulaires automatiques.

DW : Effectivement. Lorsque vous êtes à la bibliothèque, vous verrez un message d'avertissement, mais il est possible d’oublier de le faire si vous travaillez dans un cabinet ou si vous utilisez l'ordinateur portatif d'une autre personne pour ouvrir une session pendant quelques minutes, puis oubliez d'éliminer l'information qui a sauvegardé votre mot de passe.

PB : Et, c'est probablement inutile de le dire, mais ne donnez jamais votre mot de passe à qui que ce soit.

DW : Absolument. C'est l'une des pires idées. Si vous souhaitez partager quelque chose avec une personne et lui permettre d’accéder à un fichier dans un compte en ligne, comme Dropbox.com. Disons que vous avez téléchargé un fichier dans Dropbox, il serait préférable de lui donner accès au fichier en le plaçant dans l’un des dossiers partagés sécurisés qu'offre Dropbox ou en le plaçant dans un dossier public s’il ne s’agit pas de renseignements confidentiels, mais ne lui donnez pas le mot de passe pour accéder à votre compte Dropbox. Vous devez contrôler l’accès à votre compte et vous assurer que la personne a son propre mot de passe ou une autre façon d'accéder à ce compte.

PB : D'accord. C'était donc notre survol des mots de passe et nous publierons également des ressources que vous pourrez consulter après le balado. Merci!

DW : Merci!
Explication des termes et concepts