Apprendre le jargon de la sécurité des mots de passe : texte en clair

En mars 2019, la promesse d'une révolution RGPD s'est brisée net. Et cette fois, ce fut par la voix du vice-président de la sécurité et de la vie privée de Facebook. Dans une déclaration publique, Pedro Canahuti a informé des milliards d'utilisateurs de Facebook, Instagram et WhatsApp que des millions de leurs mots de passe avaient été stockés en clair. Ils pouvaient donc être consultés par n'importe lequel de leurs 40 000 employés. Comme il s'agit de la violation de sécurité la plus importante jamais enregistrée, nous allons nous pencher sur les dangers du texte en clair.

Qu'est-ce que le texte en clair ?

Le texte en clair signifie simplement un langage couramment utilisé au quotidien. Donc, si votre mot de passe est stocké en texte clair, il est visible dans des bases de données potentiellement non sécurisées. En cryptographie, cela fait référence à l'état d'un message avant son chiffrement.

Quand un message en clair est chiffré, les caractères deviennent brouillés et incompréhensibles. Ce texte brouillé est appelé "texte chiffré". En général, il est associé à une clé de chiffrement, laquelle permet à son détenteur de déverrouiller les données brouillées et de les retransformer en informations lisibles (c'est-à-dire de les déchiffrer). Quand nous parlons de chiffrer des mots de passe, nous faisons référence à l'ensemble du processus comme le "hachage des mots de passe".

Le chiffrement se justifie généralement pour les raisons suivantes :

  • Secret et communication confidentielle. Le chiffrement protège les informations contre les tiers non autorisés. Il est donc idéal pour les documents d'État, les secrets commerciaux et les transactions financières.

  • Authentification. Le chiffrement est régulièrement utilisé dans les services bancaires et tout autre compte en ligne, notamment NordVPN et NordPass.

Le texte chiffré équivaut en fait à un langage secret numérique, dont le principe remonte à 1900 ans avant Jésus-Christ. Depuis l'antiquité, l'écriture chiffrée constitue le moyen préféré de l'Homme pour protéger les secrets. Néanmoins, même si le principe de base du chiffrement est le même, de nombreuses choses ont évolué depuis les papyrus et les pigeons voyageurs. Mais en réalité, il y a beaucoup de choses qui ne vont pas avec notre code secret actuel - notamment l'incapacité du monde des affaires à l'utiliser correctement.

Quel est le problème du texte en clair ?

Malgré la panoplie de méthodes de chiffrement disponibles, certaines entreprises stockent encore les mots de passe de leurs clients en texte clair (un format lisible). Cela signifie que toute personne y ayant accès peut lire l'ensemble de vos informations sensibles, comme votre mot de passe, votre date de naissance et votre numéro de carte bancaire. Quand votre mot de passe est stocké en clair, c'est un peu comme s'il était griffonné sur un bout de papier et laissé en évidence devant le monde entier. Alors imaginez la joie d'un pirate informatique lorsqu'il passera par là.

Comment savoir si un site stocke les mots de passe en texte clair ?

La bonne nouvelle, c'est que nous allons vous apprendre à vous protéger. Ainsi, vous n'aurez plus à craindre que votre mot de passe soit visible de tous et potentiellement volé.

Voici deux signaux d'alerte :

  1. Si, après la création d'un compte, vous recevez un e-mail qui contient votre nom d'utilisateur et votre mot de passe, cela peut signifier que le chiffrement utilisé par le site est réversible. Autrement dit, certains employés de l'entreprise savent comment déchiffrer les données et les lire.

  2. Si vous avez des doutes sur un site, cliquez sur "Mot de passe oublié" pour vérifier s'il vous envoie directement votre nom d'utilisateur et votre mot de passe par e-mail. Toutefois, si l'on vous envoie un lien de réinitialisation, votre mot de passe est probablement sûr et a été haché.

Est-il possible de stocker les mots de passe de façon sécurisée ?

Il n'existe pas de moyen infaillible pour savoir si vos mots de passe sont stockés de façon sûre. Les indices que nous avons mentionnés ci-dessus constituent votre meilleure chance de le savoir. Malgré tout, si vous ne pouvez pas contrôler les comportements des autres en matière de mots de passe, vous pouvez contrôler les vôtres. C'est pourquoi nous tenons à vous rappeler deux règles d'or en matière de mots de passe :

  1. Utilisez un mot de passe différent pour chaque site.

    Si vous utilisez le même mot de passe pour plusieurs sites et que l'un d'entre eux le stocke en clair, il ne faudra pas longtemps pour que quelqu'un accède aux informations de votre carte ou à votre adresse. Plutôt que de parcourir les sites en jouant les détectives, il est plus facile de présumer que votre mot de passe n'a pas été haché et salé.

  2. Créez des mots de passe difficiles et aléatoires d'au moins 6 caractères. Pour une sécurité optimale, veillez à inclure des lettres majuscules et minuscules, des caractères spéciaux et un astérisque.

    Cliquez ici pour generate a strong password. Avant cela, rappelez-vous que les mots de passe aléatoires sont impossibles à retenir. C'est pourquoi vous avez besoin d'un bon gestionnaire de mots de passe. Si ce n'est pas déjà fait, découvrez NordPass - un gestionnaire de mots de passe qui utilise le chiffrement XChaCha20 et un processus à connaissance nulle, afin que vos mots de passe résistent à toute épreuve.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.