Les mots de passe: cauchemar de la sécurité
Dans un petit article fort instructif du Technology Review, on découvre la nature illusoire de la protection offerte par le recours à des mots de passe pour gérer l’accès à nos données personnelles sur internet. Ces conclusions s’appuient notamment sur une analyse statistique des mots de passe dérobés à Sony par les pirates de Lulzsec.
Le chercheur Troy Hunt a ainsi découvert que 50% d’entre eux comprenaient moins de huit caractères, que 4% seulement faisaient appel à trois catégories distinctes de caractères (minuscules, majuscules et chiffres), qu’un tiers pouvaient être trouvés dans des dictionnaires, et que plus de la moitié des mots de passe étaient réutilisés sur d’autres plateformes. Ces chiffres ne devraient pas nous surprendre, puisqu’avec la multiplication du nombre de mots de passe dont nous devons nous rappeler pour accéder à des services ou à nos données “dans les nuages”, nous sommes conduits à faire des compromis entre la facilité d’usage et la sécurité. J’ai ainsi compté un peu plus de 65 mots de passe dans le petit programme dont je me sers pour alléger le travail de ma mémoire défaillante! Ce qui fait dire à Troy Hunt en semi-boutade que le mot de passe le plus sûr est celui dont on ne peut se rappeler.
Mais même si nous étions capable de nous remémorer de longs mots de passe, les logiciels qu’utilisent les pirates pour forcer l’entrée dans les systèmes sont devenus tellement performants qu’ils sont capables de découvrir environ 20% des mots de plus de sept caractères en un laps de temps assez court (environ 10 000 tentatives). Cela implique notamment que le niveau d’entropie d’un mot de passe, c’est-à-dire la nature aléatoire des caractères qui le composent, n’est plus nécessairement un outil de mesure très fiable de sa robustesse.
Pour conclure, l’article explique pourquoi les politiques qui forcent les employés de certaines organisations à changer fréquemment leur mot de passe et à utiliser plusieurs catégories de caractères sont contreproductifs: en effet, les usagers se contentent trop souvent de recycler des mots de passe utilisés ailleurs et de s’appuyer sur des béquilles cognitives assez prévisibles pour d’éventuels attaquants.
This content has been updated on June 29, 2015 at 13 h 29 min.