Mac Safe #8 : bien choisir et bien gérer ses codes secrets

Jean-Baptiste Leheup |

Avec la multiplication des services en ligne et la sécurité accrue de nos appareils, la gestion des mots de passe est devenue un vrai casse-tête. Il y a trente ans, nous devions mémoriser un code de carte bleue, éventuellement un code de porte d'entrée ou d'alarme, et c'était à peu près tout. Aujourd'hui, la plupart d'entre nous jonglons avec des dizaines de mots de passe chaque jour.

Bien sûr, Apple et d'autres développeurs ont cherché à nous simplifier la vie, avec des gestionnaires de mots de passe, des empreintes digitales et la reconnaissance faciale. Ainsi, certains utilisateurs se contentent d'accepter les mots de passe tout prêts que propose Safari, et les enregistrent dans leur trousseau iCloud pour ne plus avoir à se poser de question. Pour les imiter, vous pourrez relire nos articles « Mettez de l'ordre dans vos mots de passe » et « Installez un gestionnaire de mots de passe » publiés l'an dernier. Pour ceux qui préfèrent la gestion manuelle, ou qui s'inquiètent des risques de vols, il est temps de faire un point sur le sujet.

Comment les méchants découvrent vos mots de passe

Gestionnaire de mots de passe ou non, les bandits de tout poil ne disposent pas de solution miraculeuse pour obtenir vos mots de passe. Alors pour parvenir à leurs fins, ils disposent de quatre méthodes principales : le piratage, la force brute, l'ingénierie sociale et l'astuce.


avatar Timmy | 

A quand la suite de la série ? Je me régale.
Merci MacGé.
😉

avatar Amel93 | 

Que pensez vous des apps tel que 1pasword ou la securite du trousseau
🤨

avatar scanmb (non vérifié) | 

@Amel93

Avoir 2 apps pour gérer ses mots de passes ( si une plante suite à mise à jour) et le trousseau ( ceinture, bretelles)
1password est pas mal, je l’ai associé à Onesafe+ que j’utilise depuis une petite dizaine d’années

avatar LambdaBoss | 

@Amel93

Je ne suis pas fan du trousseau, même si celui-ci est en plus protégé dans un ordinateur sous FileVault ... je préfère tout de même 1Password avec un MdP de plus de 20 caractères que j'ai mémorisé, en partant toutefois d'une dizaine ( eu égard à ma mémoire qui ne pouvait pas faire plus 😂 ) et en augmentant le nombre au file du temps ... ce 1Password étant bien évidement lui-même dans le même ordinateur sous FileVault ... !

avatar Thaasophobia | 

Je note bien que votre article parle spécifiquement du Mot de Passe mais peut-être auriez vous pu élaborer un peu en écrivant un petit paragraphe sur l’authentification double qui protège contre l’éventuel désastre d’avoir succombé à une attaque (phishing par exemple).

Merci pour cet article.

avatar scanmb (non vérifié) | 

J’ai omis:
Merci MacG pour l’article
🙏🏽

avatar weagt | 

Pendant longtemps j'utilisais l'astuce donnée dans l'article de créer des mots de passe construits à partir d'un schéma personnel. Mais devant la multiplication des services et les problèmes posés par les sites qui n'ont pas toujours les mêmes règles en terme de mot de passe (longueur, caractères obligatoires, caractères refusés ou acceptés...), maintenant je laisse Safari généré mes mots de passe quand il le propose et sinon j'utilise un générateur, et j'enregistre tout ça dans le trousseau, n'ayant que des appareils Apple le trousseau marche très bien pour moi.
par contre les propositions de mot de passe de Safari j'aimerais bien savoir comment les désactiver au besoin, car sur certains sites ça insiste alors que l'on ne veut pas entrer un mot de passe, par exemple sur des pages de modifications d'informations où l'on peut changer également le mot de passe...

Et oui j'utilise aussi l'authentification à double facteur dès que c'est possible...

avatar David Finder | 

@weagt

Je fais exactement comme toi. Soit les mots de passe proposés par Safari, soit via un raccourci qui me permet de choisir la complexité des mots de passe et d’enregistrer des préréglages.
C’est très pratique.

Et comme toi, je suis parfois embêté par Safari qui propose un mot de passe quand il n’y a pas lieu.

avatar jmquidet | 

J’utilise 1Password depuis des années, générant ainsi des MDP aléatoires de 30 caractères.
Mes deux ou trois PW "maitre" sont constitué des premières lettres de vers de poésies, fables ou vers de tragédies de Racine etc. faciles à reconnaître, assortis de quelques " ;" et autres "&" etc.

avatar Mageekmomo | 

Merci pour l'article, j'ai une question (la réponse sera peut-être dans un autre article) : pourquoi ne pas recommander plus clairement des gestionnaires de mots de passe qui gèrent toutes les galères ? Il suffit de retenir un mot de passe fort, et pour citer 1password, il y a même un kit d'urgence à imprimer et garder en sûreté en cas de perte ou de décès

avatar Jean-Baptiste Leheup | 

@Mageekmomo

En effet, on parle souvent des gestionnaires de mot de passe dans nos colonnes. Cet article parle plus du fond et de la théorie, car tout le monde ne fait pas confiance à ces outils… Personnellement j’utilise le trousseau mais uniquement pour de sites très secondaires, sans information sensible. Tout ce qui est vraiment personnel (mail, drive, banque,…) c’est mon petit cerveau le trousseau !

avatar LambdaBoss | 

@j-b.leheup

Vous mentionnez “ ... tout le monde ne fait pas confiance à ces outils ... ", pourquoi pas bien sûr ... je suppose que 1Password fait parti de ces outils ... j'ai du mal à saisir le sens de cette remarque, pourriez-vous nous en donner les raisons principales ... merci d'avance ... !

avatar Jean-Baptiste Leheup | 

@LambdaBoss

Disons que le jour au Mac génération titrera « piratage de 1 Password : trois cents millions de mot de passe dans la nature », je serai content d’avoir gardé pour moi mes mots de passe les plus sensibles…

avatar LambdaBoss | 

@j-b.leheup

Vraiment désolé, mais j'ai du mal à suivre ... j'ai 1Password depuis 5 ans ... mon “COFFRE FORT“ est localisé uniquement dans mon ordi ( et certainement pas dans un Cloud quelconque ), alors comment puis-je me le faire piraté ... hormis bien sûr, si je me fais volé l'ordi ... et encore, l'ordi est sous FileVault et 1Password à un MdP de plus de 20 caractères ... bien sûr je peux tomber sur un petit génie de l'informatique qui me déchiffrera tout ça en moins de deux ... mais bon, ça serait un peu comme l'histoire de la chauvesouris de J.M. Bigard ... 🥵
Précision, je suis toujours sous la version 6.8.9 de 1 Password ... à cause de ce satané abonnement ... 😡😡😡

avatar thierry37 | 

@LambdaBoss

Parce que 1Password est en train de passer au tout abonnement.
Et qu'ils poussent à utiliser la simplicité du coffre hébergé sur leurs serveurs. Accessibles partout.
Et le jour où ça sera piraté, il y aura un bon paquet de mot de passes dans la nature.

Je suis plus optimiste que J-B.
L'équipe 1Password a bien tenu jusqu'à aujourd'hui.

avatar LambdaBoss | 

@thierry37

Hormis le problème de l'abonnement ... les nouvelles versions de 1Password laissent-elles encore la possibilité d'avoir un coffre fort local ... ou bien sommes-nous “contraints“ de stocker uniquement dans un serveur ... et auquel cas nous prenons effectivement des risques ... !?

avatar Sometime | 

@LambdaBoss

1password 7 est disponible en license perpétuelle. Ou en tout cas l’était avant les récentes annonces.

avatar bambou55 | 

@Sometime

Sauf que tu ne les trouvere déjà plus dans la version mobile (ils et Android) et que pour les ARM c'est bientôt fini aussi...

avatar LambdaBoss | 

@Sometime

Effectivement, c'est déjà écrit dans la chanson > https://clubigen.fr/macg/article/123343

Et si en plus on est contraint à utiliser un serveur ... alors c'est le bouquet ... !!

AgileBits avec 1Password s'est orienté maintenant entreprise ... ils n'en ont plus que faire du privé ... !

avatar fte | 

@LambdaBoss

"ils n'en ont plus que faire du privé ... !"

Ce n’est pas tout à fait exact. Il en ont à faire. Mais…

Mais le privé ne sait pas ses besoins, ne sait pas la valeur d’un logiciel qui est toujours trop cher, est hostile à l’abonnement, est hostile à une licence perpétuelle par version, est hostile aux mises à jour payantes… le privé est un horrible client.

L’entreprise est tellement moins chiante.

avatar LambdaBoss | 

@fte

Le privé sait surtout que s'il est propriétaire, il ne perd pas tout si par malheur la société fait faillite ou change de politique ... il peut au moins continuer à utiliser l'application ... !

Le privé sait aussi qu'il faut savoir se limiter dans les dépenses ... car la note commence, pour certains, à devenir lourde chaque mois avec les abonnements de tous poils, le loyer qui une sorte d'abonnement, la voiture, le FAI, l'électricité, etc., etc. ... !

Le privé préfère, s'il le peut, acheter une maison plutôt que de payer ad vitam æterman un loyer ... !

Le privé est un client qui sait ce qu'il veut ... et ne veut surtout pas être un mouton de Panurge, une vache à lait ... !

avatar fte | 

@LambdaBoss

"e loyer qui une sorte d'abonnement"

Il y a une licence perpétuelle pour ça. Duh.

Le locataire privé est aussi une plaie d’ailleurs.

avatar LambdaBoss | 

@fte

Donc si je comprends bien, les gens du privé sont horribles et chiants ... mais comme les entreprises sont composées de ces mêmes gens, alors les entreprises sont donc chiantes aussi ... 😂 ... non, chacun voit midi à sa porte, c'est aussi simple que ça ... !

avatar fte | 

@LambdaBoss

"Donc si je comprends bien"

Lol non.

avatar Nesus | 

@LambdaBoss

Avoir un gestionnaire de mot de passe non à jour est la pire des aberrations. Il suffit qu’il y ait un faille exploitable et vous êtes bon pour offrir toutes vos données. Changez vite de façon de faire. Soit en payant, soit en changeant de logiciel. Surtout sur des logiciels qui passent leur vie à synchroniser des données via des serveurs.

avatar LambdaBoss | 

@Nesus

Vous avez certainement raison via le serveur, mais avec un Coffre Fort ( 1password ou autre ) uniquement dans votre ordi je ne vois pas où est le problème ... c'est d'ailleurs un peu le sens de cet article et, de la réponse de J-B Leheup ( 28/08/2021 à 18:01) ... pour moi ce type de gestionnaire est à proscrire des serveurs ... je ne vois donc pas pourquoi je devrais changer de façon de faire ... dans cette configuration, en local, l'absence de MàJ n'est donc pas une aberration ... !!!

avatar scanmb (non vérifié) | 

@j-b.leheup

J’utilise OneSafe+ avec ma sauvegarde sur mon icloud avec un mot de passe sur la ssuvegrade( ou dans mon icloud …au choix)
Est-ce plus risqué que dans le site de 1password et consorts ?
C’est juste pour comprendre; car peut-être que c’est un faux sentiment de « sécurité ».

avatar Mageekmomo | 

@j-b.leheup

Je comprends mieux, pour l'instant je fais confiance aux gestionnaires de mdp, en rentrant dans le détail de leurs système de sécurité j'ai l'impression (espérons bonne) que c'est justifié ;-)

avatar andmag | 

Occuper le terrain médiatique est un atout, alors que certains pays et certaines organisations sont affaiblies par manque de cohésion, d’ambition ou tout simplement par absence d’idéal. Lors de la guerre froide les bons étaient contre les méchants dans des zones géographiques bien délimitées et les français faisaient les coqs dans les douves. Actuellement cela me semble plutôt une somme d’individualités, tour à tour non alignées ou partisanes, qui vivent au pieds, à l’ombre de quelques monolithes, nationaux, religieux ou entreprises supranationales.

avatar mne | 

Il y a aussi les solutions comme superGenPass :
Il génère un hash à partir d’une mot de passe maître (qui peut être simple et toujours le même) + adresse du site visité
Ça assure un mot de passe complexe a partir d’entrée simple, résistant au phishing (car le mot de passe dépendant du nom de domaine, un faux site ne pourra pas générer le même mdp)
Et tout ça sans enregistrer de données

avatar Chris59 | 

R bonne je

avatar Nesus | 

Il faut toujours faire attention et gardez comme règle de ne jamais utiliser deux fois le même mot de passe. J’ai personnellement été victime du fishing. Après des années à être attentif et me dire que je ne risquais rien, j’ai reçu le bon mail au bon moment. Du coup, j’ai baissé ma garde pendant deux secondes et ça a suffit. Heureusement, le mot de passe ne donnait accès à rien d’autre qu’au dit site. Une opposition de carte bleue et un changement de mot de passe à suffit à dormir paisiblement, mais c’est bien la rigueur d’avoir toujours un mot de passe différent qui m’a sauvé. Rien d’autre.

avatar LambdaBoss | 

@Nesus

Concernant le phishing, effectivement il est difficile parfois de repérer l'arnaque dans les mails ou SMS qu'on reçoit ... la première parade, comme le précise l'article, c'est de ne pas se connecter via ce mail ou ce SMS, mais directement depuis le site d'origine ... mais bon c'est la théorie ... !

Par contre, pour tout ce qui concerne les payants par CB ... il y a actuellement une parade, c'est la e-Carte Bleue ... je l'utilise depuis plus de 5 ans ... la presque totalité des sites acceptent ce “nouveau“ mode de payement ... une chose est sûr, ça protège votre CB d'origine ... !

avatar starsk | 

J'utilise des mots de passe complètement farfelus, différents par site, ou générés maintenant avec KeePassXC, stockés dans une image disque cryptée... Là ou je pèche, c'est pour le mot de pass de mes Macs, qui utilisent un mot et suite de chiffre... ce sont les mêmes depuis des années, c'est confortable, trop surement... Je sais, il va falloir changer... et vous ? ( C'est vraiment un enfer ces mots de passes... ma liste en contient aujourd'hui ... 176 ! )

avatar LambdaBoss | 

@starsk

Je suis un peu comme vous, mes ordinateurs sont sous FileVault ... mais je ne vois pas trop l'intérêt de changer le MdP, ça reste du local, le principal c'est que vous n'utilisez pas ce même MdP pour des Cde sur internet par exemple.

Le seul problème qui reste entier, c'est de se faire voler l'ordi ... et là, il tout de même préférable de n'utiliser que des lettres, chiffres et autres symboles dans le désordre... pour ma part j'y suis parvenu progressivement ( ma mémoire n'étant pas des meilleurs ... ), j'ai commencé avec quelques caractères, et au file du temps j'en ai insérés un bon nombres supplémentaires ... je vis ainsi avec seulement 2 MdP uniquement mémorisés, ayant entre 15 et 25 caractères ... et peut-être ne les révélerais-je que sous la torture ... 😂 !!!!

avatar starsk | 

Je vais changer mes mots de passe sur mes Macs... ce sera plus sur. D'ailleurs une question, est il possible, ( je suis sur que oui ) de faire un Brute Force sur un Mac ? Je veux dire de Brute forcer le mot de passe de séssion admin...

avatar LambdaBoss | 

@starsk

Je suppose que vous évoquez le cas ou votre ordi a été volé ... et dans ce cas, si votre ordi n'est protégé que par le MdP de la session, sans être chiffré via FileVault, votre ordinateur pourra être ouvert sans aucun problème en mode cible ... sans même avoir besoin de votre MdP, une simple connexion Thunderbolt avec un autre ordi, et le tour est joué ... par contre si vous êtes passé par FileVault, niet, il faudra vraiment connaitre ou Brute forcer le MdP ... j'ai testé cela avec mes propres ordinateurs ... !

avatar starsk | 

J'ai bien FileVault Activé :) Mais du coup même avec ça, on peut le Bruteforcer ?

avatar LambdaBoss | 

@starsk

Il faudra d'abord qu'on vous le vol ... et qu'ensuite il soit tombé dans les mains d'un petit génie de l'informatique ... il y a donc encore une bonne marge de sécurité, non !?

avatar starsk | 

Se faire voler un portable ca peut arriver facilement... pour le BruteForce c'est justement ma question :)

avatar Lemon19 | 

@LambdaBoss

Mais on peu effacer le mac à distance non ?

avatar IdFx29 | 

Pour ma part, tous mes codes sont dans un gestionnaires de mots de passe (1Password pour ne pas le nommer). Par contre, pour les plus sensibles (banques, mails, …), seuls 30 des caractères les composant y sont enregistrés, le complément de qques caractères (variable suivant le site) est … dans ma petite tête 😉

avatar Bounty23 | 

De mon côté j’ai créé une adresse spécifique pour chacun des sites principaux importants où je suis inscrit avec un mot de passe différent à chaque fois (Amazon, PayPal. Instagram, Netflix, id Apple, steam, origin etc…) avec en plus une adresse servant de poubelle et une pour les abonnements à des sites X ou Y. J’ai juste pris deux petites heures un dimanche pour créer tout ça et mettre à jour les informations que les plateforme et c’est parfait.

Dans le pire du pire je sais que si quelqu’un a un jour accès à l’un des mots de passe ou mail, ça ne marchera nul part ailleurs (mot de passe avec chiffres minuscule, majuscule, caractère spéciaux mais facile à retenir et noter dans un carnet caché)

avatar Gregoryen | 

Vous rigolez avec Kiki22 mais en bossant à la mairie de Paris, le mot de passe des serveurs de sauvegarde était titi 😂

avatar starsk | 

:)

avatar Hood_fr | 

@j-b.leheup : je n’ai pas retrouvé l’article sur la création d’image disque chiffré. Possible d’avoir le lien svp ?

avatar LambdaBoss | 

@j-b.leheup

En fin de semaine dernière nous avions échangé 2 commentaires :

Vous mentionniez :
“Disons que le jour au Mac génération titrera « piratage de 1 Password : trois cents millions de mot de passe dans la nature », je serai content d’avoir gardé pour moi mes mots de passe les plus sensibles…“

J'avais répondu :
“Vraiment désolé, mais j'ai du mal à suivre ... j'ai 1Password depuis 5 ans ... mon “COFFRE FORT“ est localisé uniquement dans mon ordi ( et certainement pas dans un Cloud quelconque ), alors comment puis-je me le faire piraté ... hormis bien sûr, si je me fais volé l'ordi ... et encore, l'ordi est sous FileVault et 1Password à un MdP de plus de 20 caractères ... bien sûr je peux tomber sur un petit génie de l'informatique qui me déchiffrera tout ça en moins de deux ... mais bon, ça serait un peu comme l'histoire de la chauvesouris de J.M. Bigard ... 🥵
Précision, je suis toujours sous la version 6.8.9 de 1 Password ... à cause de ce satané abonnement ... 😡😡😡“

Un éclaircissement de votre part me serait très utile ... merci d'avance.

avatar Cahuet | 

Je ne peux que recommander l'emploi de KeePass. Ce logiciel trousseau de mots de passe hyper-puissant, recommandé par l'ANSSI, fonctionne sur tous les environnements (Mac, Windows, Linux, Android, iOS), et peut être stocké dans un cloud (j'utilise pCloud car le client pCloud fonctionne lui aussi dans tous les environnements, et comprend 15 Go gratuitement de base).

CONNEXION UTILISATEUR