Artifaille

Outils pour utilisateurs

Outils du site

Piste :
parcourstransition:v1

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
parcourstransition:v1 [2026/04/08 11:10] – [Sécuriser ses mots de passe avec un mot de passe maître] rbottetparcourstransition:v1 [2026/04/08 12:44] (Version actuelle) – [Focus sur Moxilla/ Firefox] rbottet
Ligne 31: Ligne 31:
 |              ^ Firefox (Libre)           ^ Navigateur non libre (Ex: Chrome)         ^ Avantage du libre | |              ^ Firefox (Libre)           ^ Navigateur non libre (Ex: Chrome)         ^ Avantage du libre |
 ^ Code source   | Ouvert et accessible à tous        | Fermé, non accessible      | Transparence : tout le monde peut vérifier le code, détecter et corriger des bugs ou failles de sécurité | ^ Code source   | Ouvert et accessible à tous        | Fermé, non accessible      | Transparence : tout le monde peut vérifier le code, détecter et corriger des bugs ou failles de sécurité |
-^ Confidentialité  | Forte protection de la vie privée, bloque le pistage par défaut |   Collecte des données utilisateurs pour publicité ciblée    [[https://contrachrome.com/ContraChrome_fr.pdf|Contrat Chrome]]             | Respect de la vie privée ; pas de suivi invasif imposé par défaut |+^ Confidentialité  | Forte protection de la vie privée, bloque le pistage par défaut | Collecte des données utilisateurs pour publicité ciblée    [[https://contrachrome.com/ContraChrome_fr.pdf|Contrat Chrome]]             | Respect de la vie privée ; pas de suivi invasif imposé par défaut |
 ^ Personnalisation    | Très personnalisable via extensions libres, thèmes et réglages         | Limitée aux options du fournisseur        | Liberté d’adapter le logiciel à ses besoins | ^ Personnalisation    | Très personnalisable via extensions libres, thèmes et réglages         | Limitée aux options du fournisseur        | Liberté d’adapter le logiciel à ses besoins |
 ^ Liberté d’usage | Gratuit, possibilité de redistribution, modification | Gratuit mais restreint par licence propriétaire | Liberté de modifier, partager, étudier et adapter le logiciel | ^ Liberté d’usage | Gratuit, possibilité de redistribution, modification | Gratuit mais restreint par licence propriétaire | Liberté de modifier, partager, étudier et adapter le logiciel |
Ligne 88: Ligne 88:
  
  
-==== 💻 Etape 2 : Utilisation au quotidien ====+💻 Etape 2 : Utilisation au quotidien
  
 Pour utiliser votre navigateur en toute tranquillité, nous vous proposons de vous donnez quelques repères : Pour utiliser votre navigateur en toute tranquillité, nous vous proposons de vous donnez quelques repères :
Ligne 139: Ligne 139:
  
  
-^ Action      ^ Commande       ^ Résultat          +^ Action          ^ Commande          ^ Résultat             
-| Désactiver la géolocalisation    | geo.enabled     | False        +| Désactiver la géolocalisation       | geo.enabled          | False           
-| Désactiver la connexion silencieuse lors du survol d’un lien  | network.http.speculative-parallel-limit | 0 |+| Désactiver la connexion silencieuse lors du survol d’un lien       network.http.speculative-parallel-limit | 0 |
  
    
Ligne 176: Ligne 176:
  
 Il existe plusieurs méthodes :  Il existe plusieurs méthodes : 
 +
 ☞ Firefox peut vous proposer automatiquement un mot de passe sécurisé lors de la création d’un compte. ☞ Firefox peut vous proposer automatiquement un mot de passe sécurisé lors de la création d’un compte.
  
Ligne 185: Ligne 186:
  
  
-==== Utiliser Firefox comme gestionnaire de mot de passe ==== + 
 +===== Utiliser Firefox comme gestionnaire de mot de passe ====
  
 💻 **Etape 1 :**  💻 **Etape 1 :** 
Ligne 227: Ligne 230:
  
  
-==== Les principales recommandations de la CNIL ==== 
  
-**L’authentification par mot de passe : devinabilité ou entropie**+===== Les principales recommandations pour les mots de passe de la CNIL ===== 
 + 
 +**1. Vérifier la robustesse : l’entropie** 
 + 
 +* L’entropie mesure __le degré de hasard__ d’un mot de passe : plus il est imprévisible, plus il est difficile à deviner. 
 + 
 +♦ Avant, on utilisait des règles fixes (longueur minimale, mélange de lettres, chiffres et caractères spéciaux). Aujourd’hui, l’entropie permet de comparer la sécurité de différentes méthodes de création de mots de passe. 
 + 
 +-> Exemple : un mot de passe de 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux peut avoir la même sécurité qu’un mot de passe de 14 caractères sans caractère spécial, ou qu’une phrase de passe de 7 mots. 
 + 
 +La CNIL recommande un **minimum de 80 bits d’entropie** pour garantir une bonne sécurité. 
 + 
 +**2. La devinabilité : l’avenir**
  
-**Dès aujourdhui, l’entropie**+La devinabilité évalue __la facilité__ pour un attaquant de retrouver un mot de passe grâce à des algorithmes. 
 +Cela va au-delà de simples règles de complexité : cest une évaluation dynamique de la sécurité réelle du mot de passe choisi.
  
-Pour vérifier la robustesse d’un mot de passe, en l’état actuel de l’art, il est nécessaire de se reposer sur la définition de critères de complexité et de longueur. Pour chaque système d’information, ou chaque traitement de données personnelles, une politique de mots de passe est définie. Cette politique indique les critères qui doivent être respectés pour qu’un mot de passe soit « acceptable » sur ce système. La recommandation de 2017 définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Cependant, cette définition manquait de flexibilité, d’où l’introduction du concept d’« entropie » afin de pouvoir comparer la robustesse de différentes politiques de mots de passe.+♦ La littérature recommande que le mot de passe résiste à au moins **10¹⁴ essais**.
  
-L’« **entropie** » peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. Ici, le terme d’entropie, appliqué à un mot de passe, correspond à son entropie idéale dans l’hypothèse où il serait généré aléatoirementsachant que toute règle de construction d’un mot de passe conduit nécessairement à limiter l’espace des choix possibles, et donc à limiter son entropie pour une longueur donnée. Par exemple, choisir un mot de passe parmi les mots d’une langue revient à limiter très fortement le nombre de combinaisons de lettres possibles en pratiqueEn effet, chaque langue n’admet qu’un nombre limité de suites de lettres, servant à former les syllabes des mots. La tentation, pour de nombreux utilisateurs, de choisir des mots de passe « simples à retenir » facilite les attaques dites « par dictionnaire », dans lesquelles, au lieu de tester par force brute l’intégralité des combinaisons possibles, n’en sont testées qu’un nombre très limité, comprenant des mots du dictionnaire ou des prénoms, ainsi que leurs dérivations « classiques » (par exemple, du mot « kangourou », seront dérivées et testées des combinaisons telles que « k4ng0urou », « kangourou01 », « KaNgOuRoU », etc.).+Pour l’instantles outils pour appliquer cette méthode ne sont pas encore accessibles en françaisLa CNIL surveille les progrès pour pouvoir les recommander plus tard.
  
  
-Ici, ce principe nous permet de définir un niveau minimal générique de 80 bits d’entropie pour un mot de passe sans mesure complémentaire, et de laisser à chacun le loisir de définir sa politique de mot de passeAinsi, les trois exemples suivants sont équivalents en termes d’entropie et répondent tous aux préconisations de la nouvelle recommandation :+**3Conseils pratiques** --o
  
-**Exemple 1** : les mots de passe doivent être composés d'au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles.+★ Utiliser **des mots de passe longs et imprévisibles**ou des **phrases de passe**.
  
-**Exemple 2** : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majusculesdes minuscules et des chiffres, sans caractère spécial obligatoire.+★ Mélanger lettreschiffres et caractères spéciaux si possible.
  
-**Exemple 3** : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.+★ Éviter les mots du dictionnaire ou les informations personnelles faciles à deviner.
  
-Demain, la devinabilité 
  
-La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi. 
-La littérature sur le sujet recommande une résistance aux attaques minimales de 1014 essais. Cependant, au moment de la publication de ces recommandations, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones : la CNIL ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation. 
  
  
Ligne 273: Ligne 285:
   - Ne pas enregistrer vos mots de passe sur un ordinateur en libre accès (en dehors de votre domicile)    - Ne pas enregistrer vos mots de passe sur un ordinateur en libre accès (en dehors de votre domicile) 
  
-==== Pour aller plus loin : ====+===== Le gestionnaire de mot de passe centralisé Keepass =====
  
  
parcourstransition/v1.1775646608.txt.gz · Dernière modification : de rbottet