Sur le web, oubliez les [(m0ts2Pa$$3)] : préférez les « mots de passe faciles à retenir »
Vous vous êtes probablement déjà retrouvé dans ce genre de situation un jour.
Vous êtes devant votre ordinateur. Vous avez repéré une bonne affaire sur un site de vente en ligne. Ou vous êtes excité à l’idée de rejoindre vos proches sur un nouveau réseau social. À chaque fois, vous devez remplir un formulaire pour vous inscrire. Vous vous acquittez aisément de cette tâche lorsque vient le moment fatidique : la définition de votre mot de passe.
La quadrature du net
Un casse-tête car vous avez entendu dans les médias de sombres histoires de sécurité informatique : tel site s’est fait pirater, tel utilisateur s’est fait voler ses données, tel autre s’est vu « cracker » son compte...
Ça ne rigole pas.
Et ça fait d’autant moins marrer que vous vous rappelez avec stupeur avoir cédé à la facilité dans le passé. Vous vous remémorez avec nostalgie votre premier compte mail créé avec le mot de passe « azerty ». Facile à retenir et rapide à taper. Puis est venu le moment de votre première inscription sur un site de e-commerce avec le password « 12345 » (ou plutôt &é »’ parce que vous n’aviez pas appuyé sur la touche Caps Lock). Et ainsi de suite : votre nom et prénom, votre date de naissance, votre commune… Et puis, devant l’accumulation de mots de passe à retenir, vous vous êtes mis à les réutiliser.
Sauf que les temps ont changé : les piratages de Sony, de la chaîne TV5 Le Monde ou encore du Parti démocrate aux États-Unis (entre autres) sont passés par là. Sans parler des actes de cyberguerre, de sabotage informatique ou de cybercriminalité avec tous ces hashtags qui se finissent en « leaks ». Tout cela a contribué à créer un climat anxiogène qui fait réfléchir à deux fois avant de taper sur son clavier. Et encore, puisque vous avez entendu parler de l’existence de logiciels permettant de mémoriser les touches rentrées (keylogger) : bonjour l’angoisse !
Puisque le monde vous a déclaré la guerre, vous vous êtes donc retroussé les manches. Lancé dans un brainstorming, vous avez essayé différentes combinaisons de mots, de chiffres et de caractères à l’instar d’un État-major échafaudant des plans d’attaque. Sérieux, vous avez suivi des tutoriels sur le sujet. Suite à une « formation en ligne ouverte à tous » (« Massive Open Online Course » ou MOOC), vous vous êtes mis à utiliser un générateur de mot de passe. Vous avez adopté une « hygiène de sécurité informatique » comme disent certains experts.
Finalement, vous l’avez trouvé. Le Saint Graal. Le password réputé « incrackable » pour lequel vous avez sué sang et eau. Certes, il est un peu long à retenir mais c’est le prix à payer pour la sécurité.
Mauvaise nouvelle : tous ces efforts ont été vain.
Des mots de passe qui ne passent plus
L’aveu est de taille. Et pour cause, il vient de Bill Blurr, ancien manager au National Institute of Standards and Technology (NIST). Vous ne connaissez peut-être pas son nom. Pourtant, ce Monsieur est à l’origine de toutes les fameuses recommandations que vous avez suivies scrupuleusement en matière de mot de passe. Elles sont compilées dans un document de 2003 qui fait office de Sainte Bible à destination des administrations, des sociétés et des universités.
Aujourd’hui à la retraite, Blurr a fait des révélations fracassantes dans les colonnes du Wall Street Journal. Il a déclaré que ses lignes de conduite étaient désormais obsolètes. En fait, elles n’ont jamais été effectives.
Élaborer des « pass » compliqués ne sert donc à rien. Au contraire, ils sont même plus faciles à pirater. Ainsi, Tr0ub4dor&3 pourrait être cracké en trois jours alors que « correcte cheval batterie agraphe » prendrait 550… années ! À quoi bon à ce que la population mondiale passe 1 300 ans par jour à taper des passwords (selon un chercheur de Microsoft Corp) si leur sécurité n’est même pas assurée !
Le pire est que les règles édictées par Bill Blurr n’ont aucun fondement : pas de données ni d’études. Rien d’étonnant : elles datent de 2003 où on ne disposait pas des informations pertinentes pour saisir le phénomène. Pressé par l’Institut, Blurr s’est donc basé sur un livre blanc des années 80 (sic) conçu à une époque où le web n’existait pas !
Que faut-il faire alors dorénavant ? Dans un dernier rapport, le NIST recommande de recourir à des phrases longues, faciles à mémoriser et sans caractères spéciaux. Pas besoin également de renouveler son mot de passe tous les 90 jours. De son côté, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose deux méthodes :
l’une consiste à « traduire » des mots par des lettres, des chiffres ou d’autres caractères ;
l’autre retient la première lettre de chaque mot d’une phrase.
De nouvelles recommandations à suivre donc.
En attendant les prochaines.
Article rédigé par Thierry Randretsa
You have probably already found yourselves in this kind of situation one day.
You are in front of your computer. You have made a bargain on an on-line sale site. Or you are excited about the idea of joining your close friends in a new social network (réseau social). Every time you have to complete a form to register. You settle easily this task when the fateful moment comes: the definition of your password.
The quadrature of the Net
A headache since you have heard somber stories of IT security via the media: such as a site was hacked, a user was stolen his data, other people saw their account "cracker" ...
That does not laugh.
And that makes all less laugh as you remember with bewilderment to deter people from the facility in past. You remember with nostalgia of your first e-mail account created with the password "azerty ". It is easy to retain and rapid to type. Then came the moment of your first inscription on an e-commerce site with the password "12345 " (or rather &é " because you had not supported with the Caps Lock touch). And so on: your name and first name, your date of birth, your municipality …And then, in front of the accumulation of passwords to be retained, you began reusing them.
Except that the time has changed: the hackings of Sony, the channel TV5 Le Monde or even the democratic Party in the United States (among others) went through it. Do not mention cyber-war acts, IT sabotage or cybercrime with all these hash-tags finishing "leaks" there. All this contributed to create a stressful climate which makes us reflect twice before typing on the keyboard. And even, because you heard about the existence of software allowing to store touches affected (keylogger): hello the anxiety!
Because the world has shown you the war, you were rolled up the sleeves. Being launched in a brainstorming, you tried various combinations of words, figures and characters following the example of a General staff building plans of attack. Being serious, you followed tutorials on the subject. Following a " on-line training open to all " ("Massive Open Online Course" or MOOC), you began using a generator of password. You adopted a " hygiene of IT security " as certain experts say.
Finally, you have found it. Saint Grail. The well-known password "incrackable" is for which you sweated blood. Certainly, it is a little bit long to retain but it is worthy to pay for the security.
Bad news: all these efforts were vain
Passwords which do not pass any more
The confession is considerable. As a result, it comes from Bill Blurr, a former manager in the National Institute Standard and Technology ( NIST). Maybe you do not know his name. Nevertheless, this Sir is responsible for all the famous recommendations which you followed scrupulously with the password. They are compiled in a document of 2003 having served as Saint Bible bound for the administrations, companies and universities.
Today after his retirement, Blurr made deafening revelations in the columns of the Wall Street Newspaper. He declared that his lines of conduct were now obsolete. In fact, they were never effective.
Thus developing "pass" complicated serves nothing. On the contrary, they are even easier to hack. So, Tr0ub4dor&3 could be cracked in three days while "correct horse battery agraphe" would take 550 … years! What's the point of the fact that people in the world spent 1,300 years a day to type passwords (according to a Microsoft Corp researcher) if their safety is not even assured!
The worst is that rules promulgated by Bill Blurr have no foundation: neither data nor studies. Nothing is surprising: they date 2003 when we did not arrange relevant information to seize the phenomenon. Pressed by the Institute, thus Blurr is based on a white paper of the year 80s (sic) designed at a time when Web did not exist!
What is it necessary to make then? In the latest report, NIST recommends to resort to long sentences, easy to memorize without special characters. Also there is no need to renew its password every 90 days. From its part, the National Agency of the Information System Security (ANSSI) proposes two methods:
One consists of "translating" words by letters, figures or other characters;
The other holds the initial letter of each word in a sentence.
Thus of new recommendations to be followed.
When we are waiting for the next ones.
Article written by Thierry Randretsa
