Comment je me suis péniblement initié au problème de la sécurité informatique

.Ça fait bien longtemps que l’on m’a attribué mon premier mot de passe, dans la boîte où je travaillais il y a plus de 15 ans : c’était fakb25. Je m’en souviens encore parfaitement, ainsi que de l’identifiant : lours_martin, comme quoi il est facile de retenir un mot de passe – et un login. Il m’a servi plusieurs années, jusqu’à ce que je parte ailleurs en fait. Depuis, là où j’ai travaillé, on m’a obligé à utiliser un nombre incalculable d’identifiants et de mots de passe : pour me connecter à mon poste, pour utiliser différents programmes, pour mes adresses mail pro, pour la messagerie interne, pour me connecter à l’intranet, pour accéder à mon compte administratif, etc. Plus ça allait, plus les logins étaient abscons, et plus les mots de passe étaient longs et complexes : jusqu’à 14 caractères, avec au moins 2 majuscules,2 minuscules, 2 chiffres, et plusieurs caractères spéciaux. Et on en changeait parfois tous les mois (mais pas tous à la fois, histoire de nous embrouiller un peu plus…)

Par ailleurs, comme tout le monde, j’avais désormais un ordinateur à la maison, avant d’en avoir plusieurs. Avec la même nécessité d’avoir une quantité d’identifiants + mots de passe. Bon, j’ai simplifié en m’efforçant quand c’était possible d’avoir les mêmes au bureau et à domicile. Et quand ça ne l’était pas, je prenais des mots de passe faciles à retenir, du genre mon anniversaire pour mon ordi, celui de ma femme pour le sien, etc. Elle a préféré mettre 123456 : ça alors ! je viens d’apprendre que c’est celui qu’utilisait aussi la Banque de France, comme quoi ma femme, elle est aussi maline que leurs énarques, pas vrai ?😀

Bien sûr, impossible de les retenir par cœur, donc au taf, comme tous les collègues, j’avais ma petite liste scotchée sur mon écran, le nombre de ratures indiquant le nombre de fois qu’on avait déjà dû en changer. Jusqu’au jour où une note de service nous a interdit cette pratique si pratique ! Bon, certains se sont acheté un carnet, d’autres l’on mis dans un fichier Word dont le raccourci était sur le bureau, pour ne pas perdre de temps. Et moi j’ai fait les deux, sauf que parfois j’oubliais de les synchroniser, si bien que ça compliquait. A la maison, très sensibilisé aux questions de sécurité numérique, j’avais caché mon carnet dans la bibliothèque du salon, à un endroit convenu : toute la famille pouvait donc s’en servir (mais j’avais chapitré mes enfants pour qu’ils n’en parlent pas à leurs “amis”, surtout ceux de Facebook).
Je ne résiste pas au plaisir de fournir, deux mois après avoir écrit l’article, cette anecdote, relayée par Korben.info, concernant la Royal Air Force, qui elle, affichait login et mot de passe au mur de la salle de réunion devant la caméra du journaliste : encore meilleurs que moi ! 😉

Bientôt au boulot, il a fallu ruser, car la DSI devenait de plus en plus pointilleuse. Il fallait aller aux toilettes pour consulter son carnet, et cacher son fichier dans un dossier enfoui dans un coin improbable au nom anodin. Pour moi c’était dans \windows\fonts\helvetica+. Heureusement que j’avais un carnet, parce qu’un jour de grand ménage par le SI, ce fichu fichier a disparu !… J’ai perdu beaucoup de temps à le recréer chez moi, et depuis je le garde toujours précieusement en double dans le dossier \mes documents\données confidentielles. J’ai cependant renoncé à le synchroniser avec celui de mon bureau ; plus exactement, j’ai pas réussi, alors que d’autres collègues prétendaient y parvenir.

Les solutions miracle pour mémoriser une multitude de mot de passe

Chez moi, j’ai fini par rapatrier le carnet à côté du PC, fatigué de faire la navette jusqu’au salon à l’étage au-dessous. Puis j’ai lu des articles sur “comment sécuriser son ordi”, qui m’ont ouvert les yeux sur les risques que je prenais. J’ai donc suivi leur Premier Commandement : nulle part tu n’écriras tes mot de passe : tout dans la tête ! Et donc je me suis appliqué à utiliser le système mnémotechnique qu’un des savants spécialistes préconisait : “fabriquer une phrase facile à retenir. Par exemple la phrase : “J’ai acheté huit cd pour cent euros cet après midi” deviendra ght8CD%E7am.”

J’ai passé un week-end à trouver des phrases faciles à retenir qui pouvaient se formuler phonétiquement avec des lettres et des chiffres, mais au bout d’une demi-journée je n’en avais qu’une quinzaine, parfois assez zarb. Comme j’étais un peu sceptique, j’ai remplacé seulement les mots de passe que j’utilisais sur les forums. Le lendemain, je les ai testés, mais hélas ! soit je ne suis pas doué, soit j’avais besoin de cours de rattrapage, parce que je n’y arrivais pas une fois sur deux. Pour reprendre l’exemple ci-dessus, je mettais € au lieu de E, ou je ne me souvenais plus que “pour cent euros” était transcrit %E…
D’ailleurs, comme le disait un commentaire ricaneur, il faut être débile pour acheter si cher ses CD ! même en passant à 99% la taxe copie privée, ce serait encore trop ! Heureusement, je n’avais pas jeté les feuilles sur lesquelles je m’étais épuisé à élaborer ces foutus mots de passe…

J’ai donc abandonné cette solution miracle, mais si vous avez envie d’essayer, voici un lien vers Presse-Citron qui la propose. (Mais je vous invite à lire aussi les commentaires, qui donnent à réfléchir !)
Il existe quantité d’autres martingales pour “faciliter” la mise au point de vos listes de mots de passe ; au fil de vos lectures sur le sujet et/ou des liens que je vous indique dans cet article, vous en trouverez de plus étonnantes encore.

Éviter les mots de passe faibles

Bon, comme je cherchais quoi faire pour être adoubé par les experts, j’ai appris qu’il fallait renoncer à un grand nombre de mots de passe considérés comme les pires, dont plusieurs que j’utilisais : voir l’article de Bigbrowser. Et voici une autre liste du même tonneau, dont se fait l’écho Génération NT.

Ça, c’est le mal absolu ! Mais en fait, les experts vous déconseillent fortement d’utiliser des mots du dictionnaire, que ce soit le dictionnaire des noms communs ou celui des noms propres. Zut ! j’ai été obligé de contraindre ma fille de renoncer à Hannibal, le nom de son éléphant en peluche ! J’ai eu plus de mal à lui faire admettre de n’utiliser aucune information personnelle, comme le numéro de téléphone de la maison. Et je me demande si j’ai réussi à la convaincre qu’il ne fallait pas non plus utiliser plusieurs fois le même mot de passe.

Bref, je me suis mis en tête de devenir le DSI de la maison, et d’inculquer à toute la famille, à défaut d’y parvenir moi-même, les règles de sécurité qu’il fallait désormais respecter. J’ai donc affiché au-dessus de chaque ordi de la maison les consignes de wikipedia, ainsi que celles de Microsoft.
Sur le mien, pour m’aider à chapitrer le reste de la famille, j’y ai ajouté ce que propose un blogeur.

Mais si vous trouvez ça trop lège, comme consignes de sécurité, voici du lourd :

– http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf
– http://www.bugbrother.com/security.tao.ca/pswdhygn.html

 Les béquilles logicielles et leurs limites

Tout à mon rôle d’expert domestique en sécurité informatique, j’ai également soumis les mots de passe trouvés par la maisonnée à des évaluateurs de mot de passe : voici le testeur de mots de passe de Microsoft.

Il y en a bien d’autres, mais à la réflexion, pour tester vos mots de passe, il faut les fournir – mais à qui en fait ? En plus, comme ça devenait vite lassant, j’ai proposé à tout le monde d’utiliser un générateur de mots de passe (Roboform, Awesome password generator, ProtectMyPass, pwgen, Keepass… Le site applicanet en propose 14 d’un coup. Bien sûr, ça aboutit à des suites de caractères de plus en plus longues et totalement réfractaires à toute mémorisation, et j’ai senti la confiance de mes proches vaciller sérieusement.

J’ai donc sauté sur la solution suivante, qui d’ailleurs est la perche tendue par les programmes nommés ci-dessus : utiliser un gestionnaire de mots de passe, pardi ! Cette nouvelle solution a été accueillie avec soulagement par tous, et même par moi. Quoique…

Si vous voulez une présentation générale de ces produits, rien ne vaut Wikipédia.

Ceux que l’on a essayé à la maison ont pour nom : Lastpass, Keepass Passwordsafe, Al RoboForm, 1password, mais il y en plein, que proposent les sites de téléchargement de logiciels :
– http://www.clubic.com/telecharger/windows/gestionnaire-de-mots-de-passe/
– http://www.logitheque.com/logiciels/windows/antivirus_securite/mots_passe_gestion/
– http://www.gratuiciel.com/freeware/?mots-de-passe
– http://www.infos-du-net.com/actualite/dossiers/240-securite-cryptage.html

Quand les lecteurs peuvent mettre leurs commentaires, comme sur le site de Softronic, on n’est pas très rassuré à leur lecture, je trouve !… Sans compter que ces éditeurs ne sont pas forcément fiables (les américains sont soumis au Patriot Act) ni pérennes (le rachat de LastPass n’est pas rassurant pour leurs utilisateurs). Ni d’ailleurs à l’abri des hackers, comme on l’apprend pour Keepass.

Juillet 2016 : et nouvelle faille critique pour LastPass !
août 2016 : maintenant pour Dashlane, après 1Password…
Février 2017 : sans parler des failles et autres faiblesses fort inquiétantes des principaux gestionnaires de mots de passe : d’accord, il s’agit d’une étude focalisée sur Android, mais je ne vois pas pourquoi ces mêmes utilitaires n’auraient pas les mêmes défauts sur PC.
Juin 2017 : c’est au tour de OneLogin d’être piraté, qui n’est guère utilisé que par les grands comptes, c’est vrai. Mais qui révèle à l’occasion que le site peut lui-même (et les services de renseignement ?) accéder aux mots de passe de ses ressortissants…
Alors, on peut se tourner vers les éditeurs d’antivirus qui en proposent de plus en plus : Kaspersky, BitDefender, TrendMicro, Sophos, … Norton indique qu’on peut continuer à accéder au sien même si on ne renouvelle pas son abonnement… mais j’ai comme un doute.

On prépare un article sur Keepass, qu’on utilise depuis quelques mois dans la famille, et qui a réussi à vaincre mes réticences. Quand on l’aura bien maîtrisé, on publiera l’article.

Finalement, je n’ai pas su trouver une réponse imparable à la question perverse de mon ado de fils : “je comprends bien l’intérêt des éditeurs de programmes payants. Mais pourquoi donc des entreprises privées s’acharnent-elles à nous fournir gratuitement et sans contrepartie des programmes qu’elles se sont données tant de mal à élaborer ?”

Comme moi non plus, devenu de plus en plus parano au fur et à mesure de mes investigations dans le domaine de la sécurité informatique, je ne sais pas trop ce que ces firmes internationales font de mes données confidentielles, surtout si elles les stockent dans leur cloud en Chine ou aux USA (pour être accessibles, pour moi seul bien sûr, où que je me trouve). Mais c’est surtout les difficultés d’utilisation qui m’ont finalement rebuté : si vous installez le programme sur votre ordi, pas moyen de l’utiliser ailleurs. S’il possède une version portable, sur clé USB par ex., il faudra la trimballer partout (“zut ! je l’ai laissée dans mon autre pantalon”) et il vaudra mieux la crypter ; et dans ce cas, vous devrez installer le logiciel de cryptage sur le poste où vous allez vouloir vous en servir ; donc pas sans mal sur une session invité de votre copain chez qui vous passez la soirée, qui vous en donnera l’autorisation avec un air de reproche, et pas du tout dans un lieu public ou dans votre lieu de travail. Dans ces derniers cas, si vous avez la chance de pouvoir lancer votre générateur de mot de passe sans l’installer, il y a quand même de fortes chances qu’il déclenche une alerte sécurité avant que vous ayez pu vous en servir. Pour finir, si vous installez un gestionnaire de mot de passe, n’importe quel agresseur le verra immédiatement : c’est comme de mettre votre coffre-fort derrière la repro de Van Gogh du salon en laissant le cadre de travers. Alors, espérez avoir affaire à un hacker pressé et mal équipé (ou sur Arstechnica en anglais).

D’accord, les bons générateurs de mot de passe chiffrent les données en AES 256, ce qui donne une sécurité réelle, à défaut d’être totale. Car si les mathématiques démontrent l’incroyable difficulté du perçage de mots de passe robustes, j’ai un peu de mal à croire que toutes les polices du monde, et donc toutes les mafias du monde, ne sachent pas les craquer… Et quand vous l’ouvrez sur votre poste, les données sont en clair le temps de vous en servir.

Mais c’est sûr, c’est incomparablement plus sûr que d’utiliser l’enregistreur de mots de passe intégré de votre navigateur, ou votre liste home made : “E-mail, achats en ligne et autres comptes d’utilisateur internet qui ont la faiblesse de partager les mêmes mots de passe peuvent être trouvés en quelques secondes avec un simple programme de piratage de mot de passe”. (Stéganos, page d’accueil de leur logiciel de gestion de mot de passe).

D’ailleurs un conseil : si vous perdez vos mot de passe d’accès à Windows ou à vos sites favoris, ne désespérez pas, puisqu’il suffit de chercher 5 mn sur Google pour trouver de multiples softs de craquage de mots de passe. Et d’ailleurs, il suffit aussi de parcourir mon site.
Par ex. des sites comme passwordone vous donneront à la fois des solutions pour créer des mots de passe… et pour retrouver ceux que vous avez perdus, ou les réinitialiser tous d’un coup. Dans la même veine : Nirsoft, en anglais (malheureusement pour une partie d’entre nous), et qui propose de nombreux utilitaires de récupération de mot de passe.
D’ailleurs on trouve une bonne panoplie pour craquer et pour récupérer les mots de passe oubliés sur softronic.

Réconfortant et/ou effrayant ? Rassurez-vous (?), les programmes que vous trouverez facilement en ligne sont bien moins puissants que ceux qu’on n’y trouve pas !…

Résumé des épisodes précédents

J’espère que ma petite fable vous aura amusé – mais aussi interpellé, car on a tous fait ça, ou pire, non ?! Et malheureusement, les solutions que les experts cherchent à nous imposer sont souvent irréalistes et inapplicables.

Voici ce qu’il faut retenir de mon histoire :

1. Il faut surtout éviter “les pires mots de passe” ; c’est sûr.
2. Les mot de passe dits robustes sont complexes et difficiles à mémoriser.
3. Le comble, ce sont les générateurs de mot de passe : avec eux, il devient impossible de s’en souvenir.
4. Les conditions associées pour être protégé sont irréalistes.
5. Les moyens mnémotechniques ne font que compliquer les choses.
6. Les gestionnaires de mot de passe permettent de remédier à ces défauts, mais présentent de sérieuses limites.

Note d’août 2017 : je lis que l’inventeur des mots de passe compliqués à changer régulièrement, est entré en repentance depuis qu’il est en retraite. Il aura mis plus longtemps que moi, mais lui c’est un expert  😉

Note de novembre 2017 : Vous trouvez que j’exagère dans mon analyse ? Alors lisez donc cet article de Coriolan, qui s’appuie sur une étude approfondie faite par Lastpass et destinée à leurs entreprises clientes. En fait, je suis désormais très en-dessous de la réalité de 2017 !

Je ne suis pas du tout en train de dire de ne pas utiliser de mots de passe. Mais seulement de ne pas croire qu’ils vous offrent une sécurité totale. Et que par conséquent il s’agit plutôt de les considérer comme des mesures dissuasives. Comme la serrure de votre voiture, quoi !

Mais adopter cette perspective change tout : il ne s’agit plus de se rendre invulnérable, au prix de moyens de plus en plus délirants, et qu’on n’arrive jamais à tenir (longtemps), mais de mettre au point un dispositif utilisable (usability) qui offre une protection acceptable.

Ajouts récents :   PC-INpact (David en l’occurrence) a écrit un article (décembre 2012) pour stigmatiser les pratiques des sites pro (en partant du cas de MySamsung) concernant l’envoi du mdp de confirmation d’ouverture de compte par mail. C’est intéressant, mais ni l’article ni les commentaires ne m’incitent à changer une ligne à mon propre article (mais vous avez le droit de m’expliquer que je n’ai rien compris… à condition de fournir des explications suffisantes ! Par ailleurs, Zdnet rapporte (avril 2016) que les services de renseignement britanniques conseillent de ne pas changer régulièrement de mot de passe comme les banques et autres sites sensibles poussent les clients à le faire. En voyant l’article, j’ai cru qu’ils demandaient à leurs loyaux serviteurs de ne pas leur compliquer la vie, mais non ! l’argumentation rejoint la mienne : obliger les utilisateurs à changer leurs mots de passe, c’est bien souvent les inciter à affaiblir leur sécurité.

 

Adopter un système de mots de passe que l’on peut retenir effectivement

Partant de ce point de vue, je me suis concocté un système de mots de passe que j’arriverais à mémoriser longtemps, et que je pourrais emmener partout sans risque d’oubli. On en retrouve les principes dans la documentation Ubuntu, ainsi que sur d’autres sites, comme celui du support Mozilla.

Ma méthode : une partie fixe + une partie variable. Si l’on excepte les 3 mots de passe les plus cruciaux (banque, accès serveur, accès dossiers chiffrés) qui sont fondés sur des phrases longues dont je suis le seul à comprendre le sens et que je ne peux pas oublier tant que je résiste à Alzheimer, je classe mes mots de passe en quelques catégories, par ex. :

• Institutionnel (banques, paiement en ligne, assurances, FAI-téléphone, administrations et services comme EDF, etc)
• Réseau (messageries, skype, réseaux sociaux, jeux en ligne, services en ligne comme Evernote, etc.)
• Comptes commerciaux (comptes d’achat en ligne, d’antivirus, etc.)
• Internet (hébergeur, cloud, FTP, sites perso, proxy, P2P, etc.)
• Forums de discussions (et si vous lisez mes articles, vous devinez que pour moi c’est la catégorie la plus abondante !)
• Je mets de côté le domaine professionnel, puisque là je n’ai aucune prise sur des solutions imposées et non personnalisables : gardez votre petit carnet !

Pour chaque catégorie, j’ai un pseudo différent, et une adresse mail différente. Et un mot de passe composé de deux parties :
–  une partie fixe, qui est un ensemble de 5 à 8 caractères selon la “criticité” de la catégorie (= je met un mot de passe plus robuste pour ma banque que pour le forum de Le bon coin !). Ce sont toujours des formules incrustées dans mes souvenirs : par ex. je disais en début d’article que mon 1er mot de passe, inoubliable, était fakb25, je l’utilise pour les forums. On peut ainsi se constituer sans mal des racines de mot de passe qui évoquent la catégorie à qui elles servent de sésame.
–  une partie mobile, de 3 caractères, qui s’accolent à la partie fixe. Ces caractères sont fixés suivant une règle générale, par ex. la 1ère lettre du nom du site, suivi du nombre de lettres du nom du site ; cela donne pour moncoinnumérique : M16, et pour clubic : C06.
–  et vous mettez la partie mobile comme préfixe ou comme suffixe de la racine. Vous pouvez d’ailleurs alterner, si/quand vous changez de mot de passe. Libre à vous de séparer partie fixe et mobile avec un caractère spécial (&, #, +,*, etc.), pourvu que ça fasse partie de votre règle générale. Pour mon exemple : C06 fakb25.
–  prévoyez éventuellement une règle de renforcement de la robustesse de vos mot de passe, pour éviter d’être coincé par les sites qui en rajoutent dans la contrainte : qu’est-ce que vous devez ajouter (à la racine ? au suffixe ?) si au lieu de 10 caractères comprenant déjà majuscule, minuscule, chiffres et caractères spéciaux, on vous réclame 12 caractères ?

Un tel système est intégralement mémorisable, et normalement n’occasionne pas d’erreurs de saisie (combien de fois n’avez-vous pas dit, en tapant votre mot de passe de gmail : “zut alors, je suis pourtant sûr que c’est ça !?”).
Et c’est suffisant pour freiner l’accès à vos données plus ou moins longtemps, selon la compétence et l’équipement de l’intrus.

J’ai préféré personnellement ce type de dispositif à un autre qui n’est pas mal du tout non plus, que l’on appelle méthode de la première lettre, et que vous avez sûrement aperçu sur les sites dont j’ai donné les liens et plusieurs de ceux qui parlent de l’art de se créer de bons mots de passe. Par ex. Easytutoriel, qui vous donnera en plus un bon tuto pour utiliser KeePass.
Cela consiste à établir une phrase, qui peut être issue d’un dicton, d’une chanson… que vous connaissez, ou bien que vous élaborez à partir de données biographiques, professionnelles, etc. par ex. “Mon Père Est Né à Binic En 1926. Il S’Est Marié En 1947 Avec Sa Secrétaire à Paimpol”. On prend la première lettre de chaque mot et les 2 chiffres significatifs de chaque date, ce qui donne : mpenàBe26&iseme47assàP. Et vous compliquez en alternant minuscules et majuscules, ou en ne mettant en majuscules que les noms propres, en ajoutant des caractères spéciaux à des endroits déterminés (au début, à la fin, tous les 5 caractères, etc.).

Faites attention, c’est quand même assez voisin des procédés mnémotechniques de type méthode phonétique dont je me moquais plus haut, et il y a toujours le risque de s’emmêler les pinceaux si on n’adopte pas un schéma très rigoureux. Par ex. ne pas commencer par une majuscule, ne pas mettre les dates en entier, dans les mots composés prendre les initiales des 2 mots + le trait d’union, remplacer les points ou les changements d’argument par tel caractère spécial, éliminer les apostrophes, etc. Ou vice-versa, à condition de le faire systématiquement !
Cette méthode peut éventuellement se combiner avec le système de suffixe de la solution précédente.

Remarque (nov. 2017) : J’ai en partie abandonné le système que je décris, parce que j’ai adopté Keepass Password Safe d’une part, et que j’utilise, pour les clés qui ne sont pas dans le gestionnaire de mots de passe, plutôt des “phrases de passe”, longues, sans espaces entre les mots, et qui n’ont de sens que pour moi seul. Je n’ai donc que très peu d’effort de mémorisation, tout en ayant une sécurité accrue (20 à 30 caractères).

Voici donc mes derniers conseils

Considérez que votre système de mots de passe est accessible pour un expert qui en a l’objectif, le temps et les moyens. Et que son rôle consiste surtout à décourager les attaques occasionnelles et à retarder l’accès à vos données confidentielles des véritables cybercambrioleurs.

Craignez davantage le social engineering que le cracking : le maillon faible de votre chaîne de sécurité, c’est vous, et votre manie d’accepter de renseigner n’importe qui sur n’importe quoi, pour autant qu’il vous inspire confiance.

A moins d’être quelqu’un d’important, et/ou d’avoir de bonnes raisons de craindre qu’on s’en prenne à vous, adoptez un système de sécurisation simple. C’est à dire qui empêche l’accès facile à vos données confidentielles, sans pour autant trop vous compliquer la vie numérique.
Autrement dit, les précautions que vous vous contraignez à prendre doivent être supportables sur le long terme (c’est à vous d’évaluer ce que vous êtes capable d’endurer, mais ne surestimez pas votre résistance à la lassitude et à la routine !)

Établissez au moins 2 niveaux de sécurisation : au niveau le plus élevé, les clés d’accès ne devraient exister que dans votre tête, donc être in-oubliables par vous.
Et pour le reste, je vous conseille plutôt un système fondé sur des principes simples, facilement mémorisables, comme celui que je propose dans cet article. L’alternative étant un gestionnaire de mots de passe. Les deux compliqueront l’accès à vos données précieuses.

Si vous êtes un peu parano comme moi, ajoutez-y un honeypot qui attirera immanquablement l’intrus ; par ex. un fichier crypté, suffisamment en évidence pour qu’il le trouve, et suffisamment difficile à craquer mais pas trop pour qu’il s’obstine, et où vous ne mettrez évidemment que des tutos pêchés sur internet et des photos de vacance.

Si vous établissez votre système de mots de passe sur ordi, commencez par vous déconnecter d’internet .
Quand vous avez terminé votre travail, mettez ce fichier sur une clé USB chiffrée.
Passez Ccleaner (ou votre effaceur favori, si ce n’est pas celui-là) pour qu’il détruise les traces de votre fichier en 3 passes au moins, avant de vous reconnecter.
Et ensuite n’ouvrez jamais ce fichier en étant connecté.

N’oubliez pas que c’est quand vous êtes en ligne que vous êtes le plus vulnérable (si un keylogger intercepte votre mot de passe, peu importe que celui-ci soit long et complexe…), et que c’est là que vous devez prendre le plus de précautions : Utilisez un clavier virtuel, des connexions sécurisées pour les activités confidentielles (https, SSL, SFTP), à partir d’un ordinateur protégé (dans la mesure de vos moyens) des chevaux de Troie et des backdoors.

Une dernière recommandation qui me saute à la figure, à la lecture de cet article : “arrêté pour la vente d’un million d’identifiants Netflix, Spotify ou Hulu” : ayez une palette de mots de passe, pour éviter le credentialial stuffing. Car à tout prendre, il vaut mieux avoir des mots de passe médiocres que de n’en avoir pas assez.