Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : 10 minutes environ.

Une « phrase de passe » (ou passphrase en anglais) est un secret qui sert à protéger des données chiffrées. C’est ce qu’on utilise pour chiffrer un disque dur, des emails, des documents… voire comme nous le verrons dans le second tome de cet ouvrage, des clés cryptographiques.

On parle de phrase plutôt que de mot de passe car un seul mot, aussi bizarre et compliqué soit-il, est beaucoup moins résistant qu’une simple phrase de plusieurs mots. On considère qu’une phrase de passe doit être constituée d’au moins 10 mots. Mais plus il y en a, mieux c’est !

Un critère important, mais parfois négligé : une bonne phrase de passe est une phrase de passe dont on peut se souvenir1, ça évite de la noter sur un papier, grave erreur qui rend caduc l’intérêt de se faire une phrase de passe béton. Mais, et c’est tout aussi important, une bonne phrase de passe doit être aussi difficile à deviner que possible. Évitons donc les phrases de passe formées de 15 mots composés de caractères aléatoires qu'on aura oublié à peine 15 minutes après l'avoir trouvé. De même que les paroles de tubes disco des années 80.

Une technique simple pour trouver une bonne phrase de passe, difficile à deviner, mais néanmoins facile à retenir, est de fabriquer une phrase qui n'est pas issue d'un texte existant. En effet, que ce soit des paroles de chansons, le vers d'un poème, ou une citation d'un livre, des outils comme le projet Gutenberg2 rendent de plus en plus facile le test de phrases de passe tirées de la littérature existante3.

Même s'il faut ici vous en remettre à votre imagination, nous pouvons quand même donner quelques pistes quant aux bonnes habitudes à avoir lors du choix d'une phrase de passe.

  1. Fabriquons tout d'abord une phrase dont on se souviendra aisément. Faisons tourner nos méninges un instant.
  2. Trouvons dans cette phrase ce que l'on peut modifier pour la rendre plus difficilement devinable. On peut ainsi penser à y ajouter de l'argot, des mots de différentes langues, mettre des majuscules là où l'on ne les attend pas, remplacer des caractères par d'autres, laisser libre cours à son imagination quant à l'orthographe, etc.

Un conseil toutefois : il est préférable d’éviter les caractères accentués ou tout autre symbole n’étant pas directement disponible sur un clavier américain. Cela peut éviter des problèmes de touches absentes ou difficiles à retrouver, et surtout de mauvais codage des caractères, si l'on est amené à taper notre phrase de passe sur un clavier différent de celui dont on a l'habitude.

Un exemple, prenons cette phrase sans sens apparent :

correct cheval pile agraphe

On peut les transformer ainsi, pour obtenir une meilleure phrase de passe :

korect sheVall-peEla! grafF

Une fois vos données chiffrées avec votre nouvelle phrase de passe, c’est une bonne idée de l’utiliser tout de suite une bonne dizaine de fois pour déchiffrer vos données. Cela permettra d’apprendre un peu à vos doigts comment la taper et ainsi de la mémoriser à la fois mentalement et physiquement.

N'oublions toutefois pas que si trouver une telle phrase de passe n'est pas sans effort, cela ne dispense aucunement d'en trouver une différente par support que l'on chiffre. L'usage d'une même phrase de passe, ou pire d'un même mot de passe, pour une variété de choses différentes, boîtes mail, compte PayPal, banque en ligne etc. peut rapidement s'avérer désastreux si elle est dévoilée. Par exemple si le service de banque en ligne se fait pirater.