Petit tour de mot de passe-passe
Il ne se passe plus une semaine
sans que l'on entende parler de mots de passe usurpés. Rien de plus normal dans
une société qui place ces verrous numériques comme principal rempart pour
protéger notre entreprise, notre argent, notre identité, nos données privées de
façon générale.
Certains analystes y voient carrément
un jeu de guerre qui touche la population civile depuis l'avènement du
numérique. Ce n'est sans doute pas sans oublier qu'à l'origine le terme « mot
de passe » vient de l'armée. Dans une approche militaire, vous lancez le « mot
de sommation », c'est-à-dire la question convenue, et le « mot de passe » doit
venir en relation avec la réponse correspondante.
A bien observer la problématique
des attaques, on constatera que trois aspects reviennent de façon récurrente
sur le tapis: la vulnérabilité intrinsèque du mot de passe, la protection de
l'endroit où ils sont mémorisés et la multiplication des couples
login/password.
Les mots de passe que nous
choisissons pour notre quotidien ont tendance à être faciles à retenir. Cette
facilité, si humaine et si pratique, est en réalité une véritable faille de
sécurité. Deloitte Canada, dans son rapport TMT 2013, nous confirme que 90% des
mots de passe utilisés sont trop faciles à faire sauter et ne protègent en
réalité rien du tout. Et un site du gouvernement français nous rappelle que si
un mot de passe utilise minuscules, majuscules et chiffres (càd 62 caractères
différents), rajouter un caractère au mot de passe multiplie le temps de calcul
par 62. L'initiative est donc rapidement très efficace. Mais compliquer n'est
ni une garantie de sécurité absolue ni une simplification de votre condition
humaine. Eh oui, le problème c'est avant tout nous, nous qui avons une mémoire
volatile et qui naturellement utilisons des trucs pour retenir et ne pas
oublier. Car un mot de passe aléatoire s'oublie...très facilement. Et chacun
d'entre nous a déjà vécu un moment de solitude face à l'écran qui réclame le
précieux sésame. Bien entendu, vous avez tenté le coup quand même, et là,
catastrophe: accès coupé. Galère momentanée, ras-le-bol de la technologie,
contact du helpdesk, tout y passera.
Mais n'est-ce pas mieux que
d'avoir un sentiment de viol tel que celui qu'éprouvent les personnes qui découvrent
qu'un imposteur a utilisé les "credentials" d'une application? Car un
délinquant – pour utiliser un mot modéré – qui parvient à s'introduire dans
votre messagerie va certainement chercher des messages pouvant contenir des
mots de passe de votre vie numérique.
En cas d'usurpation, une personne
intègre et honnête qui estime ne pas avoir commis d'impair remettra en cause, à
juste titre, la sécurité du système qui attend, et donc héberge, le mot de
passe. En effet, chacun utilise des solutions ou accède à des sites qui demandent
une authentification faible. Par exemple le mot de passe n'est pas crypté ou on
autorise des mots de passe très faibles (123456 ou password ou encore qwertzu
restent au hit parade) sans autre mesure.
Alors une première leçon à tirer
est d'identifier ces solutions, de les éviter ou de les remplacer dans la
mesure du possible, et de n'y utiliser que des mots de passe uniques sur votre
trousseau. Parlons-en de ce trousseau. Vous ne vous inquiéterez qu'avec
modération quand votre navigateur a enregistré ce mot de passe sur votre
ordinateur personnel (évitez d'accepter un enregistrement sur un poste qui ne
vous appartient pas), mais vous allez vite vous rendre compte que les autres se
multiplient comme des petits pains. Il est courant d'en avoir plus de 30. Cela
commence avec Facebook, puis avec votre messagerie, le code PIN de votre GSM,
l'alarme du domicile, les PIN de vos cartes, le récent mais oh combien pénible
3DSecure...et c'est au travail que les choses se compliquent car on va vous
demander parfois plusieurs mots de passe forts (comprenant au moins 10
caractères et mêlant des lettres, des chiffres et des symboles). Et
l'informaticien vicieux qui pourrit votre vie a mis une règle qui impose un
renouvellement tous les mois, qui se souvient des anciens mots et qui rejette
les incrémentations. C'est là que la majorité des gens commettent la faute
magistrale, le post-it ou le calepin des secrets cachés. Laissez les trainer
par inadvertance et vos ennemis, vos mauvais collègues, vos enfants vous dirons
MERCI, pour certains ce sera la presse!
Pour rappeler les bases de la
sécurité informatique, rappelons la métaphore brillante rédigée par une très
sérieuse université du Wyoming: les mots de passe, c’est comme des
sous-vêtements, il faut les changer souvent, il faut garder le mystère, il ne
faut pas les partager avec ses amis, il ne faut pas les laisser trainer partout
et plus ils sont longs, mieux ils protègent.
Est-ce la panacée? Non, nous
venons de le voir. Pour y remédier, les solutions qui proposent de l'authentification
multifactorielle apportent le premier pilier de la réponse efficace. Elles
permettent à l'individu de diminuer la force de son mot de passe en combinant
les preuves qui vous identifient avec forte présomption. Les solutions les plus
connues au Luxembourg sont bien entendu celles proposées par LuxTrust néanmoins
une pléthore de moyens basés sur le son, l'image, des images personnelles, de
la biométrie ont vu le jour au cours des 10 dernières années. Le deuxième
pilier est certainement la surveillance et la capacité à intervenir dès qu'une
suspicion de piratage fait surface. Des professionnels doivent être à même
d'assurer un monitoring quasi constant. Le troisième pilier sera de mettre en
place pour soi-même, si votre organisation ne vous y engage pas, une politique
de sécurité des mots de passe. Pour les particuliers, le Luxembourg n'est pas
en reste en vous proposant de nombreux conseils sur le site beesecure.lu.
Et quand vous aurez, comme moi,
plus de 60 mots de passe, un réceptacle blindé pourra accueillir ce que votre
mémoire défaillante ne peut soutenir. Je ne parle pas d’un produit Google ou
d’un DropBox dont la sécurité est reconnue faible, encore moins d’un cloud tel
Megaupload qui a défrayé l’actualité, pensez-donc à une solution de coffre-fort
virtuel hébergée Luxembourg, un pays qui permet de réellement protéger vos
données sensibles. Vous aurez certes un nouveau sésame et l'obligation
d'utiliser une authentification forte comme un token mais vous pourrez y écrire
en totale confidentialité les autres mots de passe oubliables que vous auriez
mis dans votre calepin des secrets.
Article publié dans le journal AGEFI (www.agefi.lu) - Mensuel de février 2013
Article publié dans le journal AGEFI (www.agefi.lu) - Mensuel de février 2013
Aucun commentaire:
Enregistrer un commentaire