Sécurité informatique : les mots de passe, un problème majeur sur Internet

De nos jours, nous faisons l’expérience quotidienne de sites Internet qui demandent des mots de passe alambiqués composés de majuscules, minuscules, chiffres, d’un nombre minimum de caractères. Certains vous obligent à les changer tous les x temps, quand ils n’enregistrent pas vos anciens mots de passe pour les comparer aux nouveaux afin d’être sûr que vous ne remettez pas les mêmes ! On marche sur la tête. Bien sûr, la sécurisation des données sur Internet doit être prise très au sérieux. Mais en agissant ainsi, c’est le consommateur final que l’on importune. Ces prochaines années se doivent d’être axées vers un monde plus sûr mais aussi plus simple d’utilisation. Décryptage.

L’historicité d’une perversion annoncée

Depuis que le monde est monde, ou plutôt, depuis qu’Internet est Internet, il a de tout temps fallu sécuriser certaines données afin d’une part de les privatiser, et d’autre part de pouvoir les transformer, les analyser, puis les exploiter de manière individuelle. De ce constat et d’un besoin lié à la vie privée est née la nécessité d’avoir un mot de passe pour pratiquement tout. Ce qui était au départ qu’un banal système de sécurisation s’est transformé en une créature difforme où chacun fait un peu tout ce qu’il veut dans son coin, faisant fi de certaines règles de bon sens pourtant déterminantes. Voici quelques exemples que l’on retrouve partout sur la Toile :

  • Des mots de passe enregistrés en clair dans les bases de données
  • Des mots de passe comme 123456, azerty, 111111, 1a2z3e4r
  • Des champs avec obligations insensées de longueurs, lettres, chiffres, caractères spéciaux
  • Des mots de passe stockés on-ne-sait-où par des systèmes d’authentification unique tel Facebook Login
  • Des systèmes de double authentification ordinateur / mobile

Au final, celui qui se fait avoir est toujours le même : le consommateur. Las de fournir des mots de passe telle une vache à lait, il fait ce qu’il y a de pire, il utilise un seul et même mot de passe pour tous les sites Internet où il s’inscrit. En agissant ainsi, et alors qu’il se croit en sécurité, il ne comprend pas la perversité de la chose. Ce n’est pas tant le mot de passe qui est à remettre en cause que le site sur lequel il est utilisé. Ne connaissant pas ses procédures de gestion et de sécurisation, le mot de passe peut très bien se retrouver en clair dans leur base de données. Voici comment on en arrive à avoir un trou de sécurité béant où, d’une simple erreur, on peut remonter tout le fil de vos données personnelles.

Des mots de passe à tire-larigot sur la Toile

Vous vous demandez quels sont les mots de passe les plus employés sur Internet ? De nombreux analystes et sociétés de sécurité informatique ont fait leur petite enquête. Par exemple, ce PDF vous livre les 25 mots de passe les plus courants sur une liste de 10 millions de mots de passe. Pire encore, cette liste propose 1.5 milliards de mots de passe en libre-service ! Ces résultats démontrent l’échec cuisant d’un système arrivé à son paroxysme. Un jour ou l’autre, il devra être remis à plat et repensé dans les moindres détails.

Un exemple de hack enfantin pour avoir des mots de passe

Partons du postulat que vous souhaitez vous inscrire sur le forum d’un site lambda. On vous propose donc de choisir un nom d’utilisateur, de donner votre adresse e-mail et votre mot de passe. Comme d’habitude, vous donnez le mot de passe que vous utilisez tous les jours. Cependant, ce que vous ne savez pas, c’est qu’une personne a mis en place un système pour capter le mot de passe en clair avant qu’il ne soit crypté. Autrement dit, l’administrateur du site prend votre mot de passe en clair et le stocke ailleurs pour une utilisation future. Plus tard, sans vous en rendre compte, en admettant que le mot de passe de votre e-mail soit le même, il pourra s’introduire dans votre messagerie et remonter toutes vos informations. Voire, s’il s’agit d’une personne vicieuse, il vous retrouvera avec votre adresse e-mail sur d’autres sites et réutilisera vos identifiants pour se faire passer pour vous, exploiter vos données, et ainsi de suite. Quant à vous, vous n’y verrez que du feu et vous ne saurez jamais de quel site initial vient le problème, noyé que vous êtes dans l’immensité de sites où vous utilisez à chaque fois le même procédé.

Ne jamais – JAMAIS – faire confiance sur Internet

On dit souvent que le problème intervient entre la chaise et le clavier, dit autrement, que dans la majorité des cas l’utilisateur est en cause. Le problème n’est pas tant le manque d’informations que la naïveté de se croire à l’abri en soumettant un mot de passe compliqué. Lorsque vous ne connaissez pas les protocoles utilisés pour la sécurisation et le stockage de vos données, vous n’avez pas à faire confiance. Qu’il s’agisse de monsieur Dupont, de Google ou de Facebook. Aucune société, nulle part sur le globe, peut se targuer de ne jamais avoir eu une fuite de données. Les usurpations d’identité, les vols de numéros de cartes bancaires, d’adresses e-mail, de mots de passe, de numéros de téléphone, etc. Tout est bon pour retrouver, tracer et exploiter vos données personnelles afin de les revendre aux plus offrants.

L’authentification unique, la fausse bonne idée

Depuis plusieurs années, on peut voir apparaître des systèmes d’authentification unique comme par exemple Facebook Login. Ils ont un avantage certain, celui d’utiliser un seul et unique compte pour une multitude de sites Internet. De fait, plus besoin de s’inscrire partout, vous pouvez désormais d’un simple clique choisir ou non de livrer des informations au site sur lequel vous êtes en train de naviguer. S’il s’agit d’une solution pratique voire relativement sécurisée (soyons toujours prudents), elle pose deux problèmes de taille : la vie privée et la centralisation de l’information. En effet, vous acceptez de livrer toutes vos données à une seule entité (ici Facebook) qui connaîtra vos moindres faits et gestes et les sites et / ou applications que vous utilisez au quotidien avec leur système. Enfin, vous acceptez de mettre tous vos œufs dans le même panier : en utilisant une authentification unique, la divulgation de vos identifiants pourrait permette à une personne mal intentionnée de faire ce qu’elle veut et d’exploiter toutes vos données personnelles. Si, d’un point de vue pratique, l’authentification unique est une révolution, dans les faits il s’agit plus d’un problème éthique voire morale et donc d’une fausse bonne idée. Nous ne le répéterons jamais assez : ne faites jamais confiance sur Internet, qui plus est à une entreprise qui fait de l’analyse de données personnelles son fond de commerce.

La double authentification, une dérive sécuritaire

Si l’absurdité devait porter un nom, ce serait bel et bien la double authentification. Non content de vous proposer un service fiable, cette solution vous oblige à confirmer que vous êtes bien le commanditaire et qu’il ne s’agit pas d’une intrusion. Après avoir entré vos identifiants sur votre ordinateur, vous êtes obligé de valider le tout sur votre mobile. Autrement dit, vous identifier sur deux solutions différentes serait la garantie d’une sécurité maximale. C’est faux. Aucun système n’est fiable à 100%, et si ce n’est pas le système qui a une brèche, c’est le consommateur et sa naïveté qui se chargeront de terminer le travail (Apple en est témoin, plus d’informations dans cet article). Conclusion : le système le plus développé au monde n’empêchera jamais quelqu’un de vouloir s’y infiltrer et d’y parvenir un jour ou l’autre. Il serait donc vraiment très aimable et courtois d’arrêter de monter en gamme sur des systèmes toujours plus intrusifs.

De l’importance de revenir aux fondamentaux

Nous venons de le voir, la sécurité dévie vers des protocoles et des utilisations toujours plus complexes et abusives. S’il faut bien évidemment innover sur la gestion et la sécurisation des mots de passe, il paraît important de revenir aux fondamentaux que sont la communication et l’éducation des internautes. Mais alors, comment allier sécurité et simplicité d’utilisation ?

Des outils pour les utilisateurs

Il est crucial d’utiliser des mots de passe différents pour chaque site Internet. Pour cela, de nombreux générateurs aléatoires existent sur Internet. Par exemple, le site Générateur de Mot de Passe vous offre la possibilité de configurer comme bon vous semble un panel d’options visant à créer des mots de passe complexes et sécurisés, d’une longueur variable. Le site officiel de l’antivirus Norton délivre également un service identique pour générer un mot de passe aléatoire. Enfin, vous pouvez vous tourner vers le site Strong Random Password qui n’est pas en reste en ce qui concerne les options de génération. Bien sûr, une fois que ces mots de passe ont été générés, il convient de les retenir.

Pour cela, plusieurs options s’offrent à vous :

  1. Enregistrer les mots de passe dans le navigateur. C’est l’utilisation la plus courante. C’est bien pour des sites sans prétention qui ne disposent pas d’informations d’une valeur importante à vos yeux. N’oubliez jamais que si quelqu’un utilise votre ordinateur à votre insu, cette méthode lui permettra de se faire passer pour vous ni vu ni connu.
  2. Écrire les mots de passe dans un fichier texte (ou sur une feuille de papier). C’est à proscrire. Dans le premier cas, un simple fichier peut voyager à travers un réseau et se retrouver dans des mains peu scrupuleuses. Le second cas n’est guère plus sécurisant, car vous exportez une information sensible sur un autre support. Quid d’une personne qui s’en empare ou qui fait une simple photocopie ?
  3. Sauvegarder les mots de passe dans un logiciel. Cette solution paraît être la plus appropriée à l’heure actuelle. Plusieurs logiciels de sauvegarde de mots de passe existent. Par exemple, Keepass se propose de sauvegarder tous vos mots de passe dans une base de données interne et cryptée. L’avantage est double : les mots de passe restent sur votre ordinateur (ils ne transitent pas sur le réseau ou dans un cloud). Pour accéder à la liste entière, il suffira d’un mot de passe principal. Il ne vous reste donc plus qu’à retenir un seul mot de passe pour déverrouiller la liste de tous les autres. Une solution simple, pratique, privative et sécurisée.

Une idée à méditer pour les développeurs

Voici une idée permettant d’augmenter la sécurité sans pour autant exaspérer les utilisateurs. Attention : cette solution peut s’avérer (très, voire trop ?) compliquée à mettre en oeuvre ! De plus, elle pourrait poser à certains un problème philosophique.

  1. N’obligez qu’un seul critère. Un mot de passe de minimum 10 caractères !
  2. Utilisez Unicode. C’est peut être la porte ouverte à tous les excès. Mais valider l’utilisation de l’Unicode octroie bien plus de possibilités avec différentes langues (arabe, chinois, etc.) et même des émojis. Un tel système peut s’avérer d’une très grande efficacité mais ne doit pas être pris à la légère car l’utilisation de certains caractères spéciaux peut s’avérer abusive.
  3. Calculez l’entropie. En bout de chaîne, il va falloir calculer l’entropie du mot de passe pour le valider ou non selon des critères bien définis. L’entropie d’un mot de passe, c’est une mesure visant à calculer sa prédictibilité. Le mot de passe doit donc passer par plusieurs étapes : longueur, majuscules / minuscules / chiffres, caractères spéciaux, s’il s’agit d’un mot existant ou imaginaire, s’il contient les mêmes caractères que le pseudonyme (même dans le désordre !), etc.
  4. Expliquez, éduquez puis validez. Vous devez être en mesure de communiquer sur la valeur entropique du mot de passe et donc de son score (par exemple sur 100). Et si, quel qu’en soit le score, l’utilisateur choisit quand même de mettre ce mot de passe, alors laissez-le faire, c’est son libre arbitre. Finissons-en avec la manie de tout imposer pour les autres. Ici, l’explication et l’éducation prime. Le système évalue, l’utilisateur prend la décision finale et en assume les conséquences futures. N’est-ce pas le propre du mot Liberté ?

En conclusion

En conclusion de cet article, il nous paraît essentiel de souligner nos positions en matière d’éducation et non pas d’obligation. Les failles liées aux mots de passe et à la sécurité informatique dans son ensemble ne sont pas un problème binaire fait de noir et de blanc, mais plutôt d’une multitude de gris où de nombreux intervenants peuvent s’avérer être le maillon faible. Trop souvent, l’utilisateur se retrouve dénigré comme étant cet élément défaillant. Pourtant, de nombreuses sociétés sont victimes, chaque jour, de vols de données personnelles tandis que l’utilisateur, lui, n’y est pour rien. Dans cet ensemble d’acteurs, il est important que chacun comprenne sa place et son rôle. L’entreprise se doit de sécuriser ses données sans pour autant harceler son public de procédures trop abusives. L’internaute, quant à lui, se doit de comprendre les enjeux pour mieux agir. Ce n’est qu’en misant autant sur l’éducation que sur la communication que nous créerons un web meilleur.

Vos commentaires