Chapitre 13 Choisir une phrase de passe

Durée : Dix minutes environ.

Une « phrase de passe » (ou passphrase en anglais) est un secret qui sert à protéger des données chiffrées. C’est ce qu’on utilise pour chiffrer un disque dur ou des documents, voire, comme nous le verrons dans le second tome de cet ouvrage, des clés cryptographiques.

On parle de phrase plutôt que de mot de passe car un seul mot, aussi bizarre et compliqué soit-il, est beaucoup moins résistant qu’une simple phrase de plusieurs mots. On considère qu’une phrase de passe doit être constituée d’au moins dix mots. Mais plus il y en a, mieux c’est !

Un critère important, parfois négligé : une bonne phrase de passe est une phrase de passe dont on peut se souvenir¹⁵⁰. Cela évite de la noter sur un papier, grave erreur qui rend caduc l’intérêt de se faire une phrase de passe béton. Mais, et c’est tout aussi important, une bonne phrase de passe doit être aussi difficile à deviner que possible. Évitons donc la phrase de passe formée de 15 mots composés de caractères aléatoires qu’on aura oubliée à peine 15 minutes après l’avoir trouvée, autant que les paroles d’un tube disco des années 80.

Une technique pour trouver une bonne phrase de passe, difficile à deviner, mais néanmoins facile à retenir, serait de fabriquer une phrase qui n’est pas issue d’un texte existant. En effet, que ce soit des paroles de chansons, le vers d’un poème, ou une citation d’un livre, des outils comme le projet Gutenberg¹⁵¹ rendent de plus en plus facile le test de phrases de passe tirées de la littérature existante¹⁵².

Toutefois, l’utilisation de l’expression « phrase de passe » peut conduire à vouloir choisir une phrase qui a du sens, ce qui aurait comme désavantage de perdre le côté aléatoire qui renforce la sécurité du mot de passe.

Il faut donc s’en remettre à son imagination pour créer une phrase de passe et voici quelques pistes quant aux bonnes habitudes à avoir lors du choix d’une phrase de passe :

1. Choisir dix mots au hasard qui n’ont rien à voir les uns avec les autres, par exemple en ouvrant un ou des livres aléatoirement et en gardant le premier mot sur lequel nos yeux tombent.
2. Souvent des logiciels nous imposent de mettre des chiffres ou des caractères spéciaux. Il est alors possible de trouver dans ces mots des choses à modifier. Sachant que cette étape n’est vraiment pas nécessaire du point de vue de la sécurité et risque surtout de rendre la phrase plus difficile à se souvenir. Il peut s’agir d’ajouter de l’argot, des mots de différentes langues, mettre des majuscules ou des espaces là où on ne les attend pas, remplacer des caractères par d’autres, laisser libre cours à notre imagination quant à l’orthographe, etc.
3. Se fabriquer un moyen mnémotechnique pour s’en souvenir. Exemple : broder une structure narrative avec ces mots peut aider à se souvenir de la phrase de passe.

Il est préférable d’utiliser uniquement les caractères qu’on trouve dans toutes les variantes de clavier ; autrement dit d’éviter les caractères accentués ou tout autre symbole spécifique aux langues locales. Cela peut éviter des problèmes de touches absentes ou difficiles à retrouver, et surtout de mauvais codage des caractères, si l’on est amenée à taper notre phrase de passe sur un clavier différent de celui dont on a l’habitude.

Afin de générer une phrase de passe de dix mots pris au hasard, on peut aussi utiliser le gestionnaire de mots de passe KeePassXC.

Par défaut, cet outil inclut une liste de mots en anglais, mais il est possible de lui spécifier une autre liste de mots¹⁵³ en rajoutant cette dernière, sous la forme d’un simple fichier texte contenant un mot par ligne, dans le dossier /usr/share/keepassxc/wordlists. Cette opération doit être effectuée en tant que superutilisatrice.

Il faut ensuite démarrer KeePassXC et aller dans le menu Outils puis Générateur de mot de passe. Dans l’onglet Phrase de passe, on peut choisir la liste de mots à utiliser (si plusieurs sont disponibles) ainsi que le nombre de mots. La phrase de passe ainsi générée apparaît juste au-dessus.

Le nombre de mots nécessaires pour qu’une phrase de passe soit difficile à deviner varie selon la taille de la liste de mots. L’indicateur Entropie, situé à droite, en dessous de la phrase de passe, donne ainsi une mesure de cette difficulté : plus l’entropie est grande, mieux c’est. Une bonne phrase de passe requiert une entropie de 128 bits environ.

Un exemple, trouver au hasard dix mots :

sembler bridge frein payante sortant autruche dater licences degauchir piller

Si un logiciel exige d’ajouter des symboles ou des chiffres, on peut faire des phrases, sans beaucoup se compliquer la vie. Par exemple :

Sembler bridge frein payante. Sortant autruche, dater licences ! degauchir +piller-1984

Et on pourra imaginer une phrase, avec ces mots, qui serve de moyen mnémotechnique :

Il peut sembler que jouer au bridge mette un frein car elle est payante. En sortant l’autruche, dater ses licences ! Dégauchir et piller, sans surveillance

On pourra alors, au choix, utiliser la liste de mots aléatoires uniquement ou bien la phrase complète comme phrase de passe. Dans le second cas, il faudra cependant faire attention à l’utilisation de caractères spéciaux, comme mentionné plus haut.

Une fois les données chiffrées avec notre nouvelle phrase de passe, c’est une bonne idée de l’utiliser tout de suite une bonne dizaine de fois pour déchiffrer les données. On peut même la noter sur un bout de papier au moment de sa création pour être sûre de s’en souvenir quand on l’utilisera la première fois (il faut évidemment penser à détruire le papier dans un deuxième temps). Cela permettra d’apprendre un peu à ses doigts comment taper cette nouvelle phrase et ainsi la mémoriser mentalement et physiquement.

Enfin, n’oublions pas que si trouver une telle phrase de passe n’est pas sans effort, il faut en plus en trouver une différente pour chaque support que l’on chiffre. L’usage d’une même phrase de passe, ou pire d’un même mot de passe, pour une variété de choses différentes, peut s’avérer désastreux si elle est dévoilée.

De plus, on ne doit jamais utiliser comme mot de passe pour un service en ligne une phrase de passe qui sert aussi à verrouiller un secret cryptographique. En effet, si ce service en ligne se faisait pirater notre phrase de passe serait alors connue des pirates et potentiellement vendue à d’autres personnes.

---

150. Randall Munroe, 2014, Complexité du mot de passe.↩︎

151. Wikipédia, 2017, Projet Gutenberg.↩︎

152. Dan Goodin, 2013, How the Bible and YouTube are fueling the next frontier of password cracking (en anglais).↩︎

153. On peut par exemple utiliser la liste de mots en français proposée par mbelivo. Il est cependant nécessaire de l’adapter au format utilisé par KeePassXC, ce que l’on peut faire grâce à la commande suivante exécutée dans un terminal depuis le dossier où se trouve le fichier en question :
     cut -d' ' -f2 < wordlist_fr_5d.txt > wordlist_fr_5d_keepassxc.txt↩︎