Un carnet pour noter ses mots de passe. Une idée de cadeau de Noël ?

10 décembre 2017securité, noel

Plusieurs fois par an, souvent à l’approche de Noël, je vois passer des tweets comme celui-ci (voici quelques autres exemples) :

Tweet de @manu_thy

Ces tweets sont étonnés ou effrayés, ou énervés, ou un peu moqueurs. Je ne jette pas la pierre à leurs autrices et auteurs, qui pensent sans doute – et à raison – que noter des mots de passe dans un calepin, ce n’est pas très sécurisé. Je me suis moi-même esclaffé plusieurs fois à la vue d’accessoires de ce types, j’avoue1.


Quand nous parlons de mots de passe à notre entourage ou aux utilisateurs de nos applications, nous rappelons souvent qu’il faut éviter d’utiliser le même mot de passe sur plusieurs services2. Et nous leur disons aussi que chacun des mots de passe choisis doit être solide.

En effet :

  • Utiliser le même mot de passe sur plusieurs services, c’est s’exposer à ce que tous ces comptes soient vulnérables dès que l’un d’entre eux se fait pirater. Ou quand la base de données d’un site stockant ses mots de passe de manière non sécurisée fuite sur Intenet. Ca arrive. Souvent.
  • Des mots de passe hyper-simples (et on sait que c’est utilisé, tellement souvent !), ça ne protège pas du tout. À quoi sert un mot de passe que n’importe qui peut deviner en quelques minutes ? Et un pirate peut essayer jusqu’à des centaines de milliers de mots de passe par minute !
  • Enfin, n’oublions pas que certains comptes (comme votre messagerie) donnent accès à plein d’autres (ne serait-ce que par le biais de la fonctionnalité « mot de passe oublié » qui déclenche souvent l’envoi d’un mail). Il est donc primordial de les sécuriser efficacement.

Reste qu’un mot de passe robuste et différent pour chaque site, c’est bien galère à retenir – alors que c’est le mieux pour la sécurité. Finalement, pour pouvoir retenir des dizaines de mots de passe différents et solides, il est indispensable de les écrire quelque part.


Quelques idées de solutions ?

  • Un fichier texte sur le bureau du PC ? Ce n’est pas tout à fait bien sécurisé : si le PC est « hacké », les mots de passe en clair dans un fichier simplement accessible… Pas terrible !
  • Un gestionnaire de mots de passe avec un mot de passe maitre complexe (c’est ce que j’utilise) : oui, c’est l’idéal. Reste à prendre en compte des problèmes éventuels comme la synchronisation entre plusieurs machines ou l’oubli du mot de passe maitre. Et, non, l’utilisateur moyen n’utilisera pas un outil dans le cloud ou payant.
  • Des post-its autour de l’écran ? Ils vont se décoller (vous avez essayé des post-it qui restent collés pendant des années ?), vous allez les perdre, ce n’est pas une solution adaptée si on a un laptop dont on ferme l’écran, vous aurez du mal à les emporter en vacances avec l’ordinateur, …


Alors, finalement, un carnet dans lequel noter les mots de passe, ce n’est peut-être pas une si mauvaise idée ?

Et puis, en cherchant un peu, on trouve plein de possibilités \o/


Je vois au moins deux avantages à utiliser un carnet pour noter les mots de passe :

  • Avoir des mots de passe complexes est plus facile que si vous devez les mémoriser.
  • Et cette approche vous permet de retenir plus de mots de passe différents – peut-être même jusqu’à un par site ou application ?

En fait : ces deux points correspondent exactement aux recommandations que l’on fait régulièrement à notre entourage, non ?


Et le risque, c’est quoi ? Qu’un cambrioleur vienne chez vous pour voler votre carnet de mots de passe ?

Sérieusement, il y a plus de chances qu’il reparte avec votre iphone ou votre TV ou votre ordinateur, ou votre boite à bijoux, ou même votre album de pièces ou de timbres de collection3 !

Et si quelqu’un souhaite vous attaquer vous spécifiquement, il y a plus de chances qu’il passe par un peu d’ingénierie sociale que par un cambriolage à la recherche de votre carnet.


Alors, pourquoi se moquer de ces carnets faits pour noter ses mots de passe ? Je ne suis pas le seul à penser qu’ils sont, pour de nombreuses personnes, une approche qui n’est pas à exclure :

Tweet de @flyosity

Je suis d’accord, un carnet est moins sécurisé qu’un véritable gestionnaire de mots de passe avec stockage chiffré, si vous pouvez en utiliser un. Mais pour 80% des gens autour de nous, je suis convaincu que c’est plus facile à utiliser et que ça les aiderait à sécuriser leurs mots de passe – un peu plus que ce qu’ils font aujourd’hui !


D’ailleurs… Avant de savoir ce qu’était un gestionnaire de mots de passe et de commencer à en utiliser un, j’ai pendant plusieurs années moi-même noté tous mes mots de passe sur une feuille de papier, soigneusement rangée dans un placard – et c’était infiniment plus sûr que le mot de passe simple que j’utilisais partout auparavant !

Du coup, pour conclure : qu’offrez-vous à vos proches pour Noël ?



  1. Se moquer ou critiquer, c’est facile. Comprendre pourquoi ça l’est moins. Admettre que forcer nos utilisateurs à créer et mémoriser des dizaines de mots de passe est peu sympathique est encore plus difficile. Et inventer et mettre en place une meilleure solution, je n’en parle même pas ! [return]
  2. De la sorte, si un service se fait syphonner sa base de données, mots de passe (mal-protégés) inclus, les pirates ne pourront pas juste ré-utiliser ces informations pour accéder à un compte sur d’autres services. [return]
  3. C’est arrivé il y a quelques semaines dans le village où habitent mes parents : une maison un peu isolée a été cambriolée, les albums de timbres de collection sont une des seules choses avec lesquelles sont repartis les voleurs. [return]