Mots de passe – t0ut-ç@_p0ur~ri€n!?!

Lc2l'as-es,a-s?

Des années durant, votre employeur vous a formé aux bonnes pratiques en matière de mots de passe, afin de sécuriser au mieux l'accès à vos données professionnelles. Des bonnes pratiques valides aussi dans le cadre privé. Des bonnes pratiques élevées au rang de dogme.

Quasi des tables de la loi du bon usage du mot de passe:

  • ton mot de passe tu n'écriras point
  • ton mot de passe à personne tu ne communiqueras
  • ton mot de passe dans le dictionnaire ne se trouvera pas
  • ton mot de passe aucune information personnelle ne contiendra
  • ton mot de passe au moins 8 caractères comportera
  • ton mot de passe majuscules, minuscules, chiffres et caractères spéciaux combinera
  • ton mot de passe tous les trois mois tu changeras
Mot de passe

Ces recommandations ont donné naissance aux fameuse phrases "faciles à retenir mais difficiles à deviner". Des mots de passe supposés simples et sûrs à la fois.

Exemple:

Les chaussettes de l'archiduchesse sont-elles sèches, archi-sèches?

Les chaussettes de l'archiduchesse sont-elles sèches, archi-sèches?

De la phrase facile à mémoriser, l'on ne retient que les caractères spéciaux et les premières lettres de chaque mot, ce qui donne le mot de passe suivant: Lc2l'as-es,a-s?

Des recommandations toutefois difficiles à appliquer, car le résultat n'est pas si facile que ça à mémoriser, et surtout au vu de la multiplication des accès applicatifs nécessitant un mot de passe souvent différent et avec des contraintes de composition différentes.

En résumé, un casse-tête pour les employés.

Effets de bord:

  • en l'absence de contraintes de composition: prolifération de mots de passes simples voire simplistes du genre 123456, password, qwerty, football, welcome, etc.
  • en présence de contraintes de composition: prolifération de post-it collés sous le clavier avec le(s) mot(s) de passe inscrits dessus

Une couche de plus

Authentication

Au XXIème siècle, suivant le mouvement initié par le monde bancaire en matière d'e-banking, c'est la deuxième couche de sécurité qui devient la norme, afin d'éviter encore un peu mieux les accès frauduleux.

Parmi elles:

  • la couche "carte à code"
  • la couche "codes temps réel"
  • la couche sms
  • la couche biométrique

Les cartes à code contiennent une liste de codes à usage unique à utiliser une fois le mot de passe saisi. Elles ont évolué vers de petits appareils capables de générer un code unique à l'instant t (codes temps réel), plus sûrs que la version papier. Evolution supplémentaire corollaire au développement des téléphones mobiles: une fois entré le mot de passe, un sms est envoyé à l'utilisateur avec le fameux code complémentaire à utiliser dans un court délai pour valider la connexion en deux temps.

La biométrie permet quant à elle de remplacer les clés physiques d'accès aux bâtiments et remplace ou complète les mots de passe d'accès aux logiciels et ordinateurs, que ce soit par le biais de la reconnaissance faciale, rétinienne ou digitale, voire vocale.

L'avènement des smartphones va permettre de démocratiser au fil du temps l'usage de ces pratiques biométriques dans la vie quotidienne.

Mais il n'y a pas toujours de contrainte au niveau de l'utilisateur, malgré la fréquence élevée de vols de smartphones. Il est en effet possible (mais pas recommandé) de ne pas protéger du tout l'accès à son smartphone et à sa ribambelle d'informations privées. Dans le cadre professionnel, bien sûr, la prudence est de mise. Les deux couches de protection devraient être appliquées et couplées avec des outils d'effacement à distance de données confidentielles en cas de vol de l'appareil.

Patatras

Coup de tonnerre cet été: Bill Burr s'est rétracté!

Bill Burr?

Vous ne le connaissez peut-être pas, mais c'est lui qui est à l'origine de l'annexe A de la publication 800-63 du National Institute of Standards and Technology américain.

Et cette annexe A, que contient-elle?

Les sacro-saintes recommandations en matière de composition de mots de passe susmentionnées!

Pourquoi s'est-il rétracté?

Car l'expérience a montré que les mots de passe générés selon ses bonnes pratiques ne s'avèrent au final pas plus sûrs que des passphrases, c'est-à-dire des phrases pas forcément complexes, mais plus longues, et surtout bien plus faciles à retenir pour l'employé et le particulier.

Mot de passe

En effet, selon NBC News, "Tr0ub4dor&3" est craquable en 3 jours, alors que 550 ans sont nécessaires à craquer "CorrectHorseBatteryStaple".

La fréquence de changement (chaque 90 jours) s'avère quant à elle contreproductive, les utilisateurs tendant toujours à apporter des changements mineurs dans un souci de mémorisation facilitée.

De plus, chacun usant des mêmes "trucs" pour construire ses mots de passe, les pirates en ont profité, via des algorithmes adéquats, pour accroître leur e-butin.

Pertinentes aux débuts d'Internet, les préconisations de Monsieur Burr ont ainsi été mises récemment au goût du jour.

Les nouvelles recommandations suggèrent désormais des passphrases d'au moins 4 mots et une fréquence de changement assouplie.

Pas besoin d'une phrase longue comme "LaRacletteDuValaisMiamSuperBonJeMeRégaleSansDiscontinuation" – qui ferait perdre en productivité s'il fallait l'écrire au clavier sans faute plusieurs fois dans la même journée...

Une pseudo-phrase simple comportant juste 4 ou 5 mots collés, du genre: "RacletteValaisMiamMiam" fait tout à fait l'affaire, et se mémorise beaucoup plus facilement que "Lc2l'as-es,a-s?".

Et maintenant?

Mot de passe

Microsoft Windows va plus loin dans la tendance à la simplification en suggérant à ses utilisateurs d'opter pour un code pin plutôt que pour un mot de passe. Pas beaucoup moins sûr qu'un mot de passe ou une passphrase, le code pin a aussi le mérite d'être plus rapide à entrer. Le code pin est lié à un appareil spécifique. Alternative intéressante.

Google (Gmail) et Facebook incitent à utiliser la double couche "mot de passe + sms", sans encore inciter à une simplification du mot de passe.

Alors où va-t-on?

Vers une disparition pure et simple des mots de passe?

Vers une double couche (pin ou passphrase + sms ou biométrie)? C'est l'alternative la plus probable. Et cela donne en outre une palette de choix plus importante.

Il est surtout désormais grand temps de soulager vos employés et de leur faciliter la gestion de leurs mots de passe en mettant fin à leur calvaire mült1-crít€Re!

Ils vous en seront éternellement reconnaissants, tous les trois mois.

Contactez-nous