====== Protégez vos comptes en ligne ======

**La plupart des services en ligne que vous utilisez, messagerie, réseaux sociaux, banque en ligne, etc. sont protégés par des mots de passe. Avant de lire ce qui suit vous pouvez tout de suite tester la robustesse de vos mots de passe sur notre [[https://nothing2hide.org/fr/verifier-la-robustesse-de-votre-mot-de-passe/|vérificateur de mot de passe]]. Si le résultat est terrible voire catastrophique, lisez la suite !**

La longueur d’un mot de passe est le facteur principal pour créer un mot de passe solide, capable de résister à une [[https://fr.wikipedia.org/wiki/Attaque_par_force_brute|attaque par force brute]]. Mélanger les chiffres, les caractères spéciaux, les minuscules et les majuscule a souvent pour résultat de créer un mot de passe faible et difficile à retenir. Si, en lieu et place de « mot » de passe, vous utilisez des « phrases » de passe, vous obtiendrez une chaîne de caractère facile à mémoriser et d’une longueur bien supérieure à vos anciens mots de passe.

<callout type="warning" icon="true">

Th$jHTo%46 : **court** et **difficile** à retenir

</callout>

<callout type="success" icon="true">

J’entends le son des cloches le long des pâturages verdoyants : **facile à retenir** et très **difficile à deviner** pour un attaquant

</callout>

===== Utilisez une phrase de passe différente par service =====

Il ne sert à rien d’avoir une longue phrase de passe si vous utilisez cette phrase pour protéger tous vos services en ligne. Si l’un de vos services est compromis, et [[http://www.pcinpact.com/news/63924-sony-pictures-lulzsec-piratage-mots-de-passe-vol-donnees.htm|cela arrive parfois]], tous vos comptes en ligne sont compromis. Il est donc crucial d’utiliser une phrase de passe différente par service.

===== Utilisez un gestionnaire de phrase de passe =====

Avoir une phrase de passe différente par service peut poser problème à ceux d’entre nous qui n’ont pas beaucoup de mémoire. Pas de panique, il existe des outils fiables et sécurisés pour enregistrer l’ensemble de vos mots de passe.

==== En ligne ====


[[https://bitwarden.com/|Bitwarden]], [[https://1password.com/|1password]] ou [[https://www.dashlane.com/|DashLane]] sont des gestionnaires de mot de passe en ligne. Disponibles sous forme d’extension pour [[https://addons.mozilla.org/fr/firefox/addon/lastpass-password-manager/|Firefox]], [[https://chrome.google.com/webstore/detail/lastpass/hdokiejnpimakedhajhdlcegeplioahd?hl=fr|Chrome]] et [[http://extensions.apple.com/|Safari]], ils vous permettent d’enregistrer l’ensemble de vos phrases de passe dans une base de données chiffrée, stockée en ligne et d’y accéder en ligne depuis plusieurs périphériques. L’accès à ce coffre-fort en ligne est protégé par une phrase de passe unique. Si vous utilisez ce type d’outil il est fortement recommandé de choisir une phrase de passe longue et de configurer la [[https://helpdesk.lastpass.com/security-options/google-authenticator/|validation en deux étapes]].

==== En local ====


À l’opposé du spectre il y a [[https://keepass.info/|KeePass]], un gestionnaire de mot de passe local. À la différence des services décrits ci-dessus, [[:protectionnumerique:keepass|KeePass]] ne conserve pas les mots de passe dans une base de données en ligne mais uniquement localement sur votre ordinateur ou smartphone. [[https://keepassxc.org/docs/KeePassXC_UserGuide|La documentation (en anglais) est accessible en ligne]] et permet d'aller assez loin dans l'utilisation de l'outil et notamment de gérer le partage de bases entre plusieurs utilisateurs.

| |Bit warden|Dashlane|Keepass|
|Open source|Oui|Non|Oui|
|Synchronisation entre plusieurs appareils|Oui|Oui|Non|
|Générateur de mots de passe|Oui|Oui|Oui|
|Gratuit|Non|Non|Oui|


===== La double authentification =====

La plupart des services en ligne permettent de mettre en œuvre une mesure de sécurité sécurité supplémentaire : la “[[https://support.google.com/a/bin/answer.py?hl=fr&answer=175197|validation en deux étapes]]”. La validation en deux étapes ou double authentification repose sur l’utilisation de deux facteurs : quelque chose que vous **connaissez**, ici votre mot de passe, et quelque chose que vous **avez**, votre smartphone par exemple. Ainsi pour vous connecter à un service pour lequel vous aurez activé ce système il vous faudra :

   - votre nom d’utilisateur
  - vore mot de passe
  - un code que vous recevrez par SMS ou qui s’affichera sur une application de votre smartphone lorsque vous vous connecterez pour la première fois sur un nouveau périphérique.

Ainsi, sans votre téléphone portable, **il est impossible d’accéder à vos comptes en ligne**. Pour encore plus de sécurité, le code reçu sur smartphone peut être également remplacé par un périphérique d’authentification physique telle qu’une [[https://www.yubico.com/|yubi key]].

Voici les liens directs sur les services les plus connus vous permettant d’activer la double authentification:

  * [[https://myaccount.google.com/security|Google]]
  * [[https://docs.microsoft.com/fr-fr/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide|Microsoft]]
  * [[https://twitter.com/settings/account/login_verification|Twitter]]
  * [[https://www.facebook.com/settings?tab=security&section=approvals&view|Facebook]]
  * [[https://help.instagram.com/566810106808145|Instagram]]

===== Vérifier que vos mails ou mots de passe ne sont pas déjà connus =====

Régulièrement, les sites d’informations sur le numérique annoncent que tel ou tel service a été corrompu, et que des données ont été volées, ou qu’elles ont fuitées. Parfois ces données contiennent des login (nom d’utilisateurs) ou des mots de passe, et sont stockées dans des bases de données. Ces bases de données peuvent être ensuite utilisées par des personnes malveillantes. \\  \\ Vous avez la possibilité de savoir si un de vos mails auraient été dans une de ces bases avec ce site : \\ [[https://haveibeenpwned.com/|Have i been pwned ? (Est-ce que j'ai été piraté ?)]]

FIXME ! Il est possible, si vous ne préférez pas entrer votre adresse mail sur ce site, de faire une recherche localement, ceci nécessite quelques compétences plus techniques. \\  \\ Autrement, si vous utilisez déjà [[https://keepass.info/|keepass ]]comme gestionnaire de mot de passe, il existe un plugin qui permet de tester l’intégralité de votre base de mots de passe : \\
[[https://github.com/andrew-schofield/keepass2-haveibeenpwned|Plugin pour Keepass pour tester les bases de haveibeenpwned]] \\
 \\
Si la réponse est positive, pensez à changer les mots de passe des services concernés.

Note : ces bases de données contiennent parfois des informations qui datent de plusieurs années.

===== Vérifier qui accède à votre compte =====

Lorsque vous vous connectez sur votre boite Gmail, pensez à cliquez sur le lien « détails », en bas de la page. Celui-ci ouvre une fenêtre affichant l’ensemble des connexions récentes à votre boite. Vous serez ainsi à même de déceler une activité suspecte.

<image shape="thumbnail">

{{:protectionnumerique:activite-sur-ce-compte.jpg|activite-sur-ce-compte.jpg}}

</image>

[[https://twitter.com/settings/applications|Twitter]] et [[https://www.facebook.com/settings?tab=applications|Facebook]] offrent également l’équivalent de ce type de service et vous permettent de consulter l’ensemble des applications et sites autorisés à accéder à votre compte.