Edward Snowden, l’homme le plus détesté par l’armée américaine vient d’expliquer comment créer un bon mot de passe. Peut-on vraiment faire confiance en l’homme qui lisait des documents top secrets non protégés ?
Cela n’a jamais intrigué personne, mais Edward Snowden, l’ancien analyste de la NSA (Il travaillait pour une entreprise privée, NDR), a en sa possession un grand nombre de documents classifiés, non protégés par un mot de passe, ou encore par un chiffrement quelconque. On parle pourtant de documents, par certains, classés « top secrets ». Un petit aparté en mode « troll » pour revenir sur un commentaire de Snowden lors de l’émission américaine « Last Week Tonight » de John Oliver.
L’animateur s’est rendu à Moscou pour interviewé E.S. Parmi les questions posées par John Oliver : « Qu’est ce qu’un bon mot de passe ? » Snowden a rétorqué qu' »Un mot de passe commun de 8 signes est cassable en moins d’une seconde. » Il conseille de préférer une phrase passe, plus facile à retenir, qu’un mot de passe comportant chiffres, lettres (majuscules, minuscules) et signes de ponctuations.
Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
J’ai lu récemment que le fait de remplacer les lettres par des chiffres (ça porte un nom mais je ne m’en souviens pas) n’est plus aussi sécurisé qu’il ne l’était [malheureusement je ne me souviens plus où j’ai lu ça]… Avec 1 mémoire comme ça je suis pas sorti de l’auberge 🙂
On peut réconcilier tout le monde avec ce principe ?
– on utilise un generateur aléatoire ça donne : b+BC3&Jgd@&Pmv7
– on se construit une phase mémo-technique : boire+BienChaud3&Jouergravedes@&Papillotesmolesyello7
Utilisez des caractères accentués : ils sont rarement utilisés dans les brute force attaques et remplacer certaines lettres par des chiffres (l->1 B->8):
ex : « ->Voilà Damien 8ança1 » est facile à retenir (guillemets compris cela fait un password de 22 caractères complexe)
Ce que je ne comprends pas; c’est que même si on a la capacité de calcul pour deviner 8 caractères en 1 secondes ; à quoi cela sert-il vu que la plupart des sites offre un nombre d’essais limité; ou alors un blocage pendant x secondes/minutes après plusieurs tentatives ?? De plus quelque chose m’échappe, même sans sécurité; quel serveur serait capable de répondre à plusieurs milliards de tentatives de login an 1 secondes ? Cela me paraît physiquement impossible.
Pas si compliqué, juste changer de philosophie… Le problème c’est qu’il va y avoir quelques millions de mots de passes lechatmangelasouris xD
Au final, c’est juste un gain de « temps ». La puissance de calcul des machines évolue de manière exponentielle, et d’ici quelques années, il faudra faire un mot de passe « paragraphe », puisqu’une phrase simple sera décodée en moins d’une seconde. ^^
9 Commentaires
J’ai lu récemment que le fait de remplacer les lettres par des chiffres (ça porte un nom mais je ne m’en souviens pas) n’est plus aussi sécurisé qu’il ne l’était [malheureusement je ne me souviens plus où j’ai lu ça]… Avec 1 mémoire comme ça je suis pas sorti de l’auberge 🙂
Tu veux surement parler du leet :
https://en.wikipedia.org/wiki/Leet
Pourquoi avoir écris
Peut-on vraiment faire confiance en l’homme qui lisait des documents top secrets non protégés ?
A mon sens ce n’est pas Snowden qu’il faut blâmé mais plutôt la NSA non ?
On peut réconcilier tout le monde avec ce principe ?
– on utilise un generateur aléatoire ça donne : b+BC3&Jgd@&Pmv7
– on se construit une phase mémo-technique : boire+BienChaud3&Jouergravedes@&Papillotesmolesyello7
Quel est le plus fiable des 2 ? 😉
Trop compliqué pour l’utilisateur lambda !
Utilisez des caractères accentués : ils sont rarement utilisés dans les brute force attaques et remplacer certaines lettres par des chiffres (l->1 B->8):
ex : « ->Voilà Damien 8ança1 » est facile à retenir (guillemets compris cela fait un password de 22 caractères complexe)
En espérant avoir fait avancer le Shmi1b1içk 😉
8ou1i
Ce que je ne comprends pas; c’est que même si on a la capacité de calcul pour deviner 8 caractères en 1 secondes ; à quoi cela sert-il vu que la plupart des sites offre un nombre d’essais limité; ou alors un blocage pendant x secondes/minutes après plusieurs tentatives ?? De plus quelque chose m’échappe, même sans sécurité; quel serveur serait capable de répondre à plusieurs milliards de tentatives de login an 1 secondes ? Cela me paraît physiquement impossible.
Pas si compliqué, juste changer de philosophie… Le problème c’est qu’il va y avoir quelques millions de mots de passes lechatmangelasouris xD
Au final, c’est juste un gain de « temps ». La puissance de calcul des machines évolue de manière exponentielle, et d’ici quelques années, il faudra faire un mot de passe « paragraphe », puisqu’une phrase simple sera décodée en moins d’une seconde. ^^
En effet, c’est bien trop compliqué.
Surtout pour retenir la ponctuation / chiffres auxquels tu n’associes aucun moyen mnémotechnique.
Alors qu’une passphrase comme : « Il est 23h45, l’heure d’aller dormir! » est quasi-incassable. (et non ce n’est pas mon mot de passe :p)