Oubliez ce qu’on vous a dit sur les mots de passe: voici les nouvelles règles
– RTBF.be 2017 –
Vous croyez vos mots de passe indéchiffrables? Vous avez tout faux. La plupart des conseils que vous avez reçus pour cadenasser vos PC, téléphones, tablettes et comptes en ligne sont obsolètes. C’est l’auteur de la bible des mots de passe qui fait son mea culpa dans un article du Wall Street Journal. Mais il dit avoir une excuse: il avait reçu peu de temps pour réaliser ce travail. Heureusement, une nouvelle liste de conseils a été publiée pour pouvoir, enfin, créer des mots de passe crédibles.
C’est en 2003 que Bill Burr, employé du NIST (National Institute of Standards and Technology) établit la liste des précautions à prendre pour protéger ses comptes en lignes.
Plus encore que des dictionnaires de mots qu’ils moulinent pour trouver le Sésame, les pirates utilisent des algorithmes qui les aident à dénicher les mots secrets. Le fait de les modifier tous les 90 jours ne servirait donc à rien. Au contraire, il ne faudrait les modifier que s’il existe un soupçon de corruption.
Une nouvelle méthode de sécurisation 2.0
Comme on l’imagine, William Burr, aujourd’hui âgé de 72 ans, n’a pas été chargé de rédiger la version 2.0 des bons conseils pour se protéger des pirates. La nouvelle mise à jour a été rédigée, en juin dernier, par l’expert en sécurité Paul Grassi. Et la première de ces règles est simple: utiliser une phrase facile à retenir. La bande dessinée de Randa Munroe ci-dessous illustre parfaitement l’exercice.
Ces règles, nous les connaissons tous: utiliser une combinaison de chiffres et de lettres, alterner minuscules et majuscules et intégrer des signes accentués et spéciaux. Par exemple, le mot de passe “ALICE” devenait ” @l1C3 “. S’ajoutait l’obligation de modifier son mot de passe tous les 90 jours. Des règles apparemment frappées au coin du bon sens, mais qui n’auraient, selon Bill Burr, aucune efficacité.
Dans l’article du Wall Street Journal, l’auteur du document dit “regretter la plupart des choses qu'[il a] faites”. Sa confession va plus loin encore. Il reconnaît s’être inspiré d’un livre blanc sur la sécurité qui date des années 1980, lorsque le PC avait quelques années à peine et que le Web n’existait pas. La raison de ce travail bâclé est que le document demandé devait être rédigé dans un délai très court. Voilà comment on écrit l’histoire des mots de passe.
12 caractères minimum
En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), recommande d’utiliser des mots de passe d’au moins douze caractères. Pour créer un mot de passe, la méthode phonétique est la suivante: La phrase “J’ai acheté huit cd pour cent euros cet après-midi ” deviendra ght8CD%E7am.
Mais reconnaissons que créer un mot de passe original n’est pas facile. La méthode des premières lettres est plus pratique: la citation “un tien vaut mieux que deux tu l’auras ” donnera 1tvmQ2tl’A.
Si vous avez plusieurs mots de passe…
Si, comme il est conseillé de le faire, vous utilisez un mot de passe différent pour chacun des sites dans lesquels vous êtes inscrits, une solution consiste à utiliser un coffre-fort à mots de passe. Ce casier numérique stocke l’ensemble des identifiant (pseudos, mots de passe, adresses mail, etc) dans le Cloud (un serveur distant). Pour y entrer, il faut bien sûr un mot de passe, mais un seul, qui permet de retrouver tous les autres. Dès l’ouverture d’un site, le coffre fort le reconnaît et y introduit votre code secret. Norton propose cette fonction dans ces solutions de sécurité, mais aussi gratuitement en ligne (Identity Safe), tout comme son concurrent 1Password. Et cela fonctionne pour les différentes plates-formes.
Les mots à oublier
Pour le plaisir, voici les codes d’accès les plus utilisés dans le monde, et donc la moins fiable : “123456”, “qwerty”, “azerty”, “abc123”, “password”, “football”, “welcome”… Sans oublier le plus nul de tous: “0000”.
Et l’avenir dans tout ça ?
Le “simple” mot de passe vit sans doute ses derniers caractères. L’avenir est à l’authentification multi-facteurs qui associe, par exemple un mot de passe, une empreinte digitale et ou une carte à introduire dans un lecteur ou un code à barres à scanner.
Même le selfie sert aujourd’hui d’identificateur de sécurité. C’est le cas chez MasterCard.
L’université de Hong Kong travaille, elle, sur un mot de passe qu’il faut non pas écrire, mais prononcer. L’identification passe ici par la reconnaissance du mouvement des lèvres par la webcam. L’imagination est d’autant plus au pouvoir dans le domaine, que le marché de l’IAM (identity and access management) connaît une croissance annuelle à deux chiffres et devrait peser 13,3 milliards de dollars à l’horizon 2021. De quoi donner des idées à certains.