My Jalis - Actualité digitale et décryptage de tendances My Jalis - Actualité digitale et décryptage de tendances My Jalis - Actualité digitale et décryptage de tendances My Jalis - Actualité digitale et décryptage de tendances
Tendances, entrepreneuriat, innovations et actualité digitale : Sur le web, oubliez les [(m0ts2Pa$$3)] : préférez les « mots de passe faciles à retenir »
RETOUR
Leader ship - Fiches techniques

Sur le web, oubliez les [(m0ts2Pa$$3)] : préférez les « mots de passe faciles à retenir »

Créer un bon mot de passe

21/08/2017

Laissez tomber tout ce qu’on vous a appris en matière de mot de passe sur internet. Bill Blurr, le Pape des recommandations dans ce domaine, a tourné casaque.

Vous vous êtes probablement déjà retrouvé dans ce genre de situation un jour.


Vous êtes devant votre ordinateur. Vous avez repéré une bonne affaire sur un site de vente en ligne. Ou vous êtes excité à l’idée de rejoindre vos proches sur un nouveau réseau social. À chaque fois, vous devez remplir un formulaire pour vous inscrire. Vous vous acquittez aisément de cette tâche lorsque vient le moment fatidique : la définition de votre mot de passe.

 

La quadrature du net

Un casse-tête car vous avez entendu dans les médias de sombres histoires de sécurité informatique : tel site s’est fait pirater, tel utilisateur s’est fait voler ses données, tel autre s’est vu « cracker » son compte...

Ça ne rigole pas.


Et ça fait d’autant moins marrer que vous vous rappelez avec stupeur avoir cédé à la facilité dans le passé. Vous vous remémorez avec nostalgie votre premier compte mail créé avec le mot de passe « azerty ». Facile à retenir et rapide à taper. Puis est venu le moment de votre première inscription sur un site de e-commerce avec le password « 12345 » (ou plutôt &é »’ parce que vous n’aviez pas appuyé sur la touche Caps Lock). Et ainsi de suite : votre nom et prénom, votre date de naissance, votre commune… Et puis, devant l’accumulation de mots de passe à retenir, vous vous êtes mis à les réutiliser.

 

Sauf que les temps ont changé : les piratages de Sony, de la chaîne TV5 Le Monde ou encore du Parti démocrate aux États-Unis (entre autres) sont passés par là. Sans parler des actes de cyberguerre, de sabotage informatique ou de cybercriminalité avec tous ces hashtags qui se finissent en « leaks ». Tout cela a contribué à créer un climat anxiogène qui fait réfléchir à deux fois avant de taper sur son clavier. Et encore, puisque vous avez entendu parler de l’existence de logiciels permettant de mémoriser les touches rentrées (keylogger) : bonjour l’angoisse !


Puisque le monde vous a déclaré la guerre, vous vous êtes donc retroussé les manches. Lancé dans un brainstorming, vous avez essayé différentes combinaisons de mots, de chiffres et de caractères à l’instar d’un État-major échafaudant des plans d’attaque. Sérieux, vous avez suivi des tutoriels sur le sujet. Suite à une « formation en ligne ouverte à tous » (« Massive Open Online Course » ou MOOC), vous vous êtes mis à utiliser un générateur de mot de passe. Vous avez adopté une « hygiène de sécurité informatique » comme disent certains experts.

Finalement, vous l’avez trouvé. Le Saint Graal. Le password réputé « incrackable » pour lequel vous avez sué sang et eau. Certes, il est un peu long à retenir mais c’est le prix à payer pour la sécurité.

Mauvaise nouvelle : tous ces efforts ont été vain.

 

 


Des mots de passe qui ne passent plus

L’aveu est de taille. Et pour cause, il vient de Bill Blurr, ancien manager au National Institute of Standards and Technology (NIST). Vous ne connaissez peut-être pas son nom. Pourtant, ce Monsieur est à l’origine de toutes les fameuses recommandations que vous avez suivies scrupuleusement en matière de mot de passe. Elles sont compilées dans un document de 2003 qui fait office de Sainte Bible à destination des administrations, des sociétés et des universités.


Aujourd’hui à la retraite, Blurr a fait des révélations fracassantes dans les colonnes du Wall Street Journal. Il a déclaré que ses lignes de conduite étaient désormais obsolètes. En fait, elles n’ont jamais été effectives.

Élaborer des « pass » compliqués ne sert donc à rien. Au contraire, ils sont même plus faciles à pirater. Ainsi, Tr0ub4dor&3 pourrait être cracké en trois jours alors que « correcte cheval batterie agraphe » prendrait 550… années ! À quoi bon à ce que la population mondiale passe 1 300 ans par jour à taper des passwords (selon un chercheur de Microsoft Corp) si leur sécurité n’est même pas assurée !

Le pire est que les règles édictées par Bill Blurr n’ont aucun fondement : pas de données ni d’études. Rien d’étonnant : elles datent de 2003 où on ne disposait pas des informations pertinentes pour saisir le phénomène. Pressé par l’Institut, Blurr s’est donc basé sur un livre blanc des années 80 (sic) conçu à une époque où le web n’existait pas !


Que faut-il faire alors dorénavant ? Dans un dernier rapport, le NIST recommande de recourir à des phrases longues, faciles à mémoriser et sans caractères spéciaux. Pas besoin également de renouveler son mot de passe tous les 90 jours. De son côté, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose deux méthodes :

l’une consiste à « traduire » des mots par des lettres, des chiffres ou d’autres caractères ;
l’autre retient la première lettre de chaque mot d’une phrase.

De nouvelles recommandations à suivre donc.


En attendant les prochaines.

 

 

 

Article rédigé par Thierry Randretsa

A lire aussi

Vous aussi,
Partagez l'actualité de votre entreprise