Docteur Folamour, ou comment j’ai appris à ne plus m’en faire et à aimer les mots de passe

Sécurité

Exclusif

Devant de plus en plus de services sollicitant des mots de passe sécuritaires, l’utilisateur moyen doit résister à la tentation de réutiliser les mêmes afin de protéger ses différents comptes.

L’observateur attentif de la scène de la sécurité aura tôt fait de comprendre qu’il est difficile de passer une semaine sans entendre parler du sempiternel dossier des mots de passe. La raison? Il y a de plus en plus de «services électroniques» (services informatiques, services web, comptes d’entreprises, etc.) qui demandent des mots de passe de plus en plus longs et complexes. Ce qui est difficile, voire impossible à gérer pour le cerveau. L’utilisateur de services électroniques se retrouve donc devant une situation où, pour pouvoir fonctionner dans le système, il tente de simplifier au maximum ses mots de passe ou réutilise le même mot de passe dans trop de services.

Des mots de passe trop simples

Il y a de cela quelques années, j’ai mis la main sur trois millions de mots de passe provenant essentiellement de bases de données volées par des pirates informatiques. D’un point de vue de recherche, cette somme d’information était une mine d’or, car elle offrait un échantillonnage important de mots de passe qui sont utilisés dans des situations réelles.

Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!

Quand j’ai décidé de manipuler cette base de données, quelle ne fut pas ma surprise de voir le choix des mots de passe des utilisateurs. Par exemple, parmi les dix mots de passe les plus utilisés, on trouvait «12345» «123456» «54321», «qwerty» et «love». D’un point de vue de sécurité, c’est l’équivalent du micro-cadenas présent sur les valises : c’est beaucoup plus un moyen de tenir les fermetures éclair ensembles que d’empêcher quelqu’un de voler son contenu.

Il faut savoir que les pirates informatiques utilisent ce que l’on appelle des «dictionnaires», soit des bases de données de mots de passe fréquemment utilisés par les utilisateurs. Ces dictionnaires sont utilisés sur des systèmes avec l’espoir qu’un des mots de passe fonctionnera. De prime abord, c’est peut-être simplet, mais c’est généralement efficace. Considérant que «12345» est le mot de passe le plus utilisé dans une base de données de 3 millions de mots de passe, on comprend pourquoi.

La réutilisation comme faille de sécurité

Le second problème issu de la volonté des utilisateurs à vouloir simplifier l’utilisation de leurs mots de passe est la propension à réutiliser le même mot de passe à plusieurs endroits. Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!

Déjà en 2007, une étude démontrait que c’était une conduite endémique. Grosso modo, les utilisateurs de services électroniques avaient une moyenne de 25 comptes demandant un mot de passe. Or, ces mêmes utilisateurs avaient en moyenne 6,5 mots de passe pour gérer l’ensemble de leurs 25 services. C’est une faille de sécurité béante qui, par simple extrapolation, s’est élargie. Il y a désormais encore plus de services électroniques, faisant en sorte que la moyenne du nombre de comptes demandant des mots de passe a dû nécessairement grandir.

Vivre en paix avec les mots de passe

Tout cela étant dit, je dois admettre que je vis très bien avec les mots de passe. Pourquoi? Pour la simple et bonne raison qu’ils vont tôt ou tard disparaître. Alors que les pirates informatiques deviennent meilleurs pour briser la sécurité des mots de passe, principalement par l’utilisation de la force de calcul des cartes graphiques, ces derniers ne peuvent faire autre chose que devenir plus long. Sachant qu’aujourd’hui un mot de passe sécuritaire doit contenir idéalement autour de 16 caractères, on comprend rapidement qu’on en arrive au bout de la méthodologie pour que cela soit humainement viable à gérer au quotidien.

Qu’est-ce que cela veut dire? Que quelque chose viendra remplacer le simple mot de passe. On peut penser au double facteur d’authentification qui est passablement efficace. Il y a aussi les mots de passe visuels qui semblent prometteurs. Sinon, la bonne vieille biométrie semble toujours porteuse sur certains aspects.

En attendant, mes mots de passe sont construits de manière à vouloir dire quelque chose pour moi, comme «JAiÉtéEnChineEn2008» ou quelque chose du genre. Certes, ce n’est pas une panacée, mais c’est bien mieux que «love».

  • Patrick Desmarais

    J’me permets de partager ma technique… Depuis plusieurs années, j’utilise un algorithme simple à retenir pour moi qui me permet de générer un mot de passe unique à chaque service que j’utilise. Par exemple, l’algorithme pourrait être (je le simplifie un peu pour fin de compréhension) mon prénom avec la première lettre en majuscule (Patrick), suivi de mon année de naissance (disons 72), suivi d’un point d’exclamation (!) et d’une variable spécifique au service utilisé. Cette variable doit toujours être structurée de la même façon. Un exemple pourrait être les 3 premières lettres du service utilisé ou encore, les 4 premières lettres du service et le nombre de caractères dans le nom du service en majuscules (twitter donnerait alors soit twi ou avec la deuxième option twitSEPT). Ceci générerait alors le mot de passe suivant pour twitter : Patrick72!twiSEPT ou encore Patrick72!googSIX pour mon google account. Tout ceci fait en sorte que tous mes mots de passe sont uniques et je n’ai qu’à retenir l’algorithme. Des fois j’arrive même sur des sites où je ne suis pas sur si j’ai un compte ou pas et je n’ai qu’à essayer avec mon algorithme pour savoir.

    Le seul inconvénient est lorsqu’on arrive sur des systèmes qui forcent à utiliser certaines règles de structure de mot de passe (les systèmes du gouvernement par exemple)… Dans ce cas, pas le choix de trouver autre chose mais bon… Ça fait le travail pour la grande majorité des cas!

    En espérant que ça puisse être utile à quelqu’un!

    • http://www.senterre.com/ Éric Senterre

      Je fais pareil! :-)

      Mais ça me désole quand je vois des système qui trouvent mes MDP trop longs ou encore qui n’acceptent pas les caractères outre qu’alphanumérique.

    • LeTechnophile

      Kek chose de similaire ici aussi, et je n’en reviens pas de voir que des sites d’institutions financières FORCENT un certain format: Le mot de passe DOIT commencer par 3 chiffres, ne peut contenir de caractères spéciaux, etc.

      Ça AFFAIBLIT un mot de passe, tout ça parce que le système de base de données (ou, pire, le programmeur!) n’est pas capable de gérer les apostrophes, guillemets ou les symboles du genre $, & et % qui sont utilisés dans certaines opérations entre les données!

      • MClement

        Les 3 chiffre c’est ton mot de passe pour le service téléphonique… Méga faille ! (Desjardins)

  • MClement

    Moi je croit que mot de passe simple + behaviometrie serait la solution… Impossible de forger nos comportements.