All time Nerds BetterBe Carrières

Docteur Folamour, ou comment j’ai appris à ne plus m’en faire et à aimer les mots de passe

Par Benoît Gagnon – le dans Actualités
Devant de plus en plus de services sollicitant des mots de passe sécuritaires, l'utilisateur moyen doit résister à la tentation de réutiliser les mêmes afin de protéger ses différents comptes.

L’observateur attentif de la scène de la sécurité aura tôt fait de comprendre qu’il est difficile de passer une semaine sans entendre parler du sempiternel dossier des mots de passe. La raison? Il y a de plus en plus de «services électroniques» (services informatiques, services web, comptes d’entreprises, etc.) qui demandent des mots de passe de plus en plus longs et complexes. Ce qui est difficile, voire impossible à gérer pour le cerveau. L’utilisateur de services électroniques se retrouve donc devant une situation où, pour pouvoir fonctionner dans le système, il tente de simplifier au maximum ses mots de passe ou réutilise le même mot de passe dans trop de services.

Des mots de passe trop simples

Il y a de cela quelques années, j’ai mis la main sur trois millions de mots de passe provenant essentiellement de bases de données volées par des pirates informatiques. D’un point de vue de recherche, cette somme d’information était une mine d’or, car elle offrait un échantillonnage important de mots de passe qui sont utilisés dans des situations réelles.

Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!

Quand j’ai décidé de manipuler cette base de données, quelle ne fut pas ma surprise de voir le choix des mots de passe des utilisateurs. Par exemple, parmi les dix mots de passe les plus utilisés, on trouvait «12345» «123456» «54321», «qwerty» et «love». D’un point de vue de sécurité, c’est l’équivalent du micro-cadenas présent sur les valises : c’est beaucoup plus un moyen de tenir les fermetures éclair ensembles que d’empêcher quelqu’un de voler son contenu.

Il faut savoir que les pirates informatiques utilisent ce que l’on appelle des «dictionnaires», soit des bases de données de mots de passe fréquemment utilisés par les utilisateurs. Ces dictionnaires sont utilisés sur des systèmes avec l’espoir qu’un des mots de passe fonctionnera. De prime abord, c’est peut-être simplet, mais c’est généralement efficace. Considérant que «12345» est le mot de passe le plus utilisé dans une base de données de 3 millions de mots de passe, on comprend pourquoi.

La réutilisation comme faille de sécurité

Le second problème issu de la volonté des utilisateurs à vouloir simplifier l’utilisation de leurs mots de passe est la propension à réutiliser le même mot de passe à plusieurs endroits. Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!

Déjà en 2007, une étude démontrait que c’était une conduite endémique. Grosso modo, les utilisateurs de services électroniques avaient une moyenne de 25 comptes demandant un mot de passe. Or, ces mêmes utilisateurs avaient en moyenne 6,5 mots de passe pour gérer l’ensemble de leurs 25 services. C’est une faille de sécurité béante qui, par simple extrapolation, s’est élargie. Il y a désormais encore plus de services électroniques, faisant en sorte que la moyenne du nombre de comptes demandant des mots de passe a dû nécessairement grandir.

Vivre en paix avec les mots de passe

Tout cela étant dit, je dois admettre que je vis très bien avec les mots de passe. Pourquoi? Pour la simple et bonne raison qu’ils vont tôt ou tard disparaître. Alors que les pirates informatiques deviennent meilleurs pour briser la sécurité des mots de passe, principalement par l’utilisation de la force de calcul des cartes graphiques, ces derniers ne peuvent faire autre chose que devenir plus long. Sachant qu’aujourd’hui un mot de passe sécuritaire doit contenir idéalement autour de 16 caractères, on comprend rapidement qu’on en arrive au bout de la méthodologie pour que cela soit humainement viable à gérer au quotidien.

Qu’est-ce que cela veut dire? Que quelque chose viendra remplacer le simple mot de passe. On peut penser au double facteur d’authentification qui est passablement efficace. Il y a aussi les mots de passe visuels qui semblent prometteurs. Sinon, la bonne vieille biométrie semble toujours porteuse sur certains aspects.

En attendant, mes mots de passe sont construits de manière à vouloir dire quelque chose pour moi, comme «JAiÉtéEnChineEn2008» ou quelque chose du genre. Certes, ce n’est pas une panacée, mais c’est bien mieux que «love».

Continuez votre lecture

L’authentification sans mot de passe, une bonne mauvaise nouvelle

L’authentification sans mot de passe, une bonne mauvaise nouvelle

Benoît Gagnon -
Quand l’internaute fait une surdose de mots de passe

Quand l’internaute fait une surdose de mots de passe

Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Benoît Gagnon -
Remplacer les mots de passe par des empreintes cérébrales?

Remplacer les mots de passe par des empreintes cérébrales?

L’empreinte digitale, la clé des paresseux que nous sommes

L’empreinte digitale, la clé des paresseux que nous sommes

Benoît Gagnon -
L’authentification sans mot de passe pourrait bientôt être réalité

L’authentification sans mot de passe pourrait bientôt être réalité

Laurent LaSalle -
Heartbleed : adoptez la validation en deux étapes

Heartbleed : adoptez la validation en deux étapes

Laurent LaSalle -
Comment j’ai appris la fin de M. Net

Comment j’ai appris la fin de M. Net

Benoît Gagnon -
Fuite potentielle de mots de passe chez Amazon

Fuite potentielle de mots de passe chez Amazon

Laurent LaSalle -
Quand la sécurité vous met à risque

Quand la sécurité vous met à risque

Benoît Gagnon -
eBay demande à ses utilisateurs de changer leurs mots de passe suite à une cyberattaque

eBay demande à ses utilisateurs de changer leurs mots de passe suite à une cyberattaque

Laurent LaSalle -
Reddit impose à certains utilisateurs un changement de mot de passe

Reddit impose à certains utilisateurs un changement de mot de passe

Laurent LaSalle -
Les capteurs de votre téléphone pourrait révéler vos NIP et mots de passe

Les capteurs de votre téléphone pourrait révéler vos NIP et mots de passe

Laurent LaSalle -
Bitcoin : pas si simple, pas si sécuritaire

Bitcoin : pas si simple, pas si sécuritaire

Benoît Gagnon -
Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Steve Rodrigue -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.