Dans cet article, je souhaite vous donner les clés pour sécuriser votre identité numérique. Il est destiné au grand public et ne nécessite pas de connaissances préalables.
On va parler authentification ; c’est à dire la capacité à prouver que vous êtes bien la personne que vous prétendez être. Le but est de vous présenter des solutions sûres et faciles à utiliser.
Les limites des mots de passe
La méthode la plus classique pour vérifier que « c’est bien vous » est de demander une information que vous êtes le seul à connaître, typiquement, un mot de passe.
Il y a quelques règles à comprendre avec les mots de passe :
- Pour qu’un mot de passe soit robuste, il doit être long. En 2022, c’est 12 caractères minimum, 14 caractères recommandé. Il doit inclure des majuscules, des minuscules, des chiffres, de la ponctuation/des symboles et ne doit être basé sur un mot du dictionnaire.
- Un mot de passe long est plus robuste qu’un mot de passe complexe. Accolez 3 à 4 mots qui sont faciles à retenir pour vous, rajoutez 1 ou 2 chiffres et 1 ou 2 caractères spéciaux et vous avez un bon mot de passe.
- Un mot de passe est réservé a un seul usage. Ne réutilisez pas le même mot de passe partout. En cas de fuite de votre mot de passe, vous ne voulez pas que la même clé ouvre toutes les serrures.
- Un mot de passe doit être changé de temps en temps. Typiquement tous les 1 à 3 ans selon le besoin de sécurité.
Les gestionnaires de mot de passe
Lorsque vous commencez a avoir beaucoup de mots de passe, basculez sur un gestionnaire de mot de passe. Celui-ci agit comme une sorte de coffre fort numérique et protège vos données par encryption. Vous ne mémorisez que le mot de passe maître et celui-ci permet alors d’ouvrir le coffre et de copier le bon mot de passe. En outre, un bon gestionnaire permet de générer des mots de passe de bonne qualité. Il va aussi afficher la date de dernière modification et la date de dernière utilisation de votre mot de passe.
Les gestionnaires de mots de passe sont disponibles gratuitement et sous différentes formes. Il y a des solutions locales hors ligne (KeePassXC), des services en ligne (BitWarden, LastPass, Dashlane) et les gestionnaires intégrés au navigateurs (Firefox, Chrome). Un gestionnaire en ligne offre généralement la possibilité de synchroniser vos mots de passe sur plusieurs appareils. Dans le cas de Firefox, n’oubliez pas de créer un mot de passe maître.
L’authentification à double facteur (2FA)
Pour les comptes importants, je vous conseille d’activer l’authentification a double facteur. Cela englobe plusieurs méthodes mais toutes vérifient quelque chose que vous possédez en plus de vérifier quelque chose que vous savez.
Dans la famille 2FA il y a, par exemple, les codes envoyés par SMS ou par email afin de vérifier que vous possédez bien l’abonnement téléphonique ou le compte email. Cependant, les générateurs de code (Aegis authenticator, Google authenticator, Authy, etc.) sont souvent la technique la plus simple et la plus efficace. L’authentification s’appuie sur le protocole TOTP qui prévoit que vous scanniez un secret sous forme de QR code. Ensuite, l’application mobile va générer un code a 6 chiffres en utilisant une partie du secret ainsi que l’heure courante. Le serveur fait de même pour vérifier que c’est bien vous.
Cette solution a plusieurs avantages. Elle fonctionne même si vous n’avez pas de réseau ou que vous êtes dans un pays étranger. Comme seule une partie du secret est échangé, même s’il fuite ou est intercepté, il est impossible de le réutiliser plus tard.
Les clés FIDO U2F constituent une alternative plus sécurisée que le TOTP. Ce sont des objets physiques ressemblant à une clé USB qui peuvent générer et stocker des clés uniques. Un site web peut désormais demander une authentification double facteur grâce à l’API WebAuthn. Celle-ci permet d’utiliser un objet physique soit en USB A, USB C, Bluetooth LE ou NFC. La clé que je recommande est la Yubikey 5 NFC qui supporte USB et NFC.
Le site 2FA Directory offre une liste de tous les services qui proposent de l’authentification double facteur et la façon de l’activer. Je vous conseille de l’activer pour les sites qui sont des sources d’identité pour les autres sites (Google, Apple, Facebook, etc.), pour les sites bancaires, pour les sites qui gardent une copie de moyen de paiement (Amazon par exemple) ainsi que pour les sites qui ont des informations sensibles, typiquement les informations médicales.
Pour aller plus loin sur ce sujet, je vous conseille le guide de l’ANSII sur l’authentification.