L’observateur attentif de la scène de la sécurité aura tôt fait de comprendre qu’il est difficile de passer une semaine sans entendre parler du sempiternel dossier des mots de passe. La raison? Il y a de plus en plus de «services électroniques» (services informatiques, services web, comptes d’entreprises, etc.) qui demandent des mots de passe de plus en plus longs et complexes. Ce qui est difficile, voire impossible à gérer pour le cerveau. L’utilisateur de services électroniques se retrouve donc devant une situation où, pour pouvoir fonctionner dans le système, il tente de simplifier au maximum ses mots de passe ou réutilise le même mot de passe dans trop de services.
Des mots de passe trop simples
Il y a de cela quelques années, j’ai mis la main sur trois millions de mots de passe provenant essentiellement de bases de données volées par des pirates informatiques. D’un point de vue de recherche, cette somme d’information était une mine d’or, car elle offrait un échantillonnage important de mots de passe qui sont utilisés dans des situations réelles.
Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!
Quand j’ai décidé de manipuler cette base de données, quelle ne fut pas ma surprise de voir le choix des mots de passe des utilisateurs. Par exemple, parmi les dix mots de passe les plus utilisés, on trouvait «12345» «123456» «54321», «qwerty» et «love». D’un point de vue de sécurité, c’est l’équivalent du micro-cadenas présent sur les valises : c’est beaucoup plus un moyen de tenir les fermetures éclair ensembles que d’empêcher quelqu’un de voler son contenu.
Il faut savoir que les pirates informatiques utilisent ce que l’on appelle des «dictionnaires», soit des bases de données de mots de passe fréquemment utilisés par les utilisateurs. Ces dictionnaires sont utilisés sur des systèmes avec l’espoir qu’un des mots de passe fonctionnera. De prime abord, c’est peut-être simplet, mais c’est généralement efficace. Considérant que «12345» est le mot de passe le plus utilisé dans une base de données de 3 millions de mots de passe, on comprend pourquoi.
La réutilisation comme faille de sécurité
Le second problème issu de la volonté des utilisateurs à vouloir simplifier l’utilisation de leurs mots de passe est la propension à réutiliser le même mot de passe à plusieurs endroits. Cela veut donc dire que si une base de données est compromise et contient le mot de passe de l’utilisateur, ce dernier se voit dans une situation où il est à risque dans plusieurs systèmes. Ce genre de comportement est sûrement peu fréquent me direz-vous? Erreur!
Déjà en 2007, une étude démontrait que c’était une conduite endémique. Grosso modo, les utilisateurs de services électroniques avaient une moyenne de 25 comptes demandant un mot de passe. Or, ces mêmes utilisateurs avaient en moyenne 6,5 mots de passe pour gérer l’ensemble de leurs 25 services. C’est une faille de sécurité béante qui, par simple extrapolation, s’est élargie. Il y a désormais encore plus de services électroniques, faisant en sorte que la moyenne du nombre de comptes demandant des mots de passe a dû nécessairement grandir.
Vivre en paix avec les mots de passe
Tout cela étant dit, je dois admettre que je vis très bien avec les mots de passe. Pourquoi? Pour la simple et bonne raison qu’ils vont tôt ou tard disparaître. Alors que les pirates informatiques deviennent meilleurs pour briser la sécurité des mots de passe, principalement par l’utilisation de la force de calcul des cartes graphiques, ces derniers ne peuvent faire autre chose que devenir plus long. Sachant qu’aujourd’hui un mot de passe sécuritaire doit contenir idéalement autour de 16 caractères, on comprend rapidement qu’on en arrive au bout de la méthodologie pour que cela soit humainement viable à gérer au quotidien.
Qu’est-ce que cela veut dire? Que quelque chose viendra remplacer le simple mot de passe. On peut penser au double facteur d’authentification qui est passablement efficace. Il y a aussi les mots de passe visuels qui semblent prometteurs. Sinon, la bonne vieille biométrie semble toujours porteuse sur certains aspects.
En attendant, mes mots de passe sont construits de manière à vouloir dire quelque chose pour moi, comme «JAiÉtéEnChineEn2008» ou quelque chose du genre. Certes, ce n’est pas une panacée, mais c’est bien mieux que «love».