Eh non, changer fréquemment de mot de passe n’est pas du tout la meilleure idée pour protéger vos données personnelles

Atlantico :  Pourriez-vous expliquer pourquoi changer fréquemment de mot de passe facilite l'accès à nos données personnelles ?

Gilles  Dounès : En fait, il s'agit d'une "revue de questions" qui compile et synthétise les résultats de plusieurs études menées indépendamment, sur des problématiques bien précises. C'est d'ailleurs ce balayage global qui lui permet de tirer des conclusions plus générales, et de proposer des recommandations. Les explications sont multiples, mais comme les administrateurs de terrain en font l'expérience quotidiennement, dans 90 % des cas, le problème se situe entre le clavier et le siège de l'utilisateur : c'est-à-dire le facteur humain de la problématique. Il faut tout de même souligner que l'étude est principalement consacrée aux tentatives d'effraction devant le poste, c'est-à-dire que l'attaquant n'est pas à distance en train de tenter de pénétrer sur le système par le réseau, mais qu'il est physiquement devant le clavier ou avec un accès au port USB du poste informatique, ce qui limite tout de même la probabilité générale d'une attaque même si celle-ci est de fait beaucoup plus dangereuse : l'attaquant dispose en théorie de beaucoup plus de temps devant lui pour réussir son effraction.

Cela pose également d'autres problèmes de sécurité : qu'est-ce que cette personne fait là, où elle ne devrait pas être ? Si l'on suit à la lettre les recommandations en matière de sécurité informatique, le mot de passe idéal contient au moins 6, voire 8 caractères, avec au moins 1, sinon plusieurs caractères de différentes catégories : minuscules, majuscules, chiffres, caractères spéciaux. En outre, il doit être plus ou moins facile à retenir par l'utilisateur – et de préférence plus que moins, puisqu'il ne sert à rien de le conserver sur un post-it à côté de l'écran. Pour couronner le tout, il doit être en outre changé fréquemment. Or, l'étude souligne que c'est là précisément que le bât blesse puisque pour un individu normalement constitué, le stock de mots de passe qui répondent aux trois premières catégories n'existe qu'en quantité limitée. En effet, l’empan mnésique, c'est-à-dire la quantité d'informations que l’humain peut garder à l'esprit en même temps, n'est que de 7 éléments en moyenne avec un écart en plus ou en moins de 2 éléments, en fonction des individus. On est ainsi au-delà des capacités moyennes de mémorisation d'un individu normal, raison pour laquelle celui-ci a fréquemment recours à un élément du champ lexical qui est signifiant pour lui : la date de naissance ou le nom de jeune fille de son épouse ou de sa maman pour caricaturer, en remplaçant éventuellement les voyelles par un chiffre visuellement approchant (zéro à la place du O majuscule, 4 à la place du A, etc.)

Dès lors, on voit bien pourquoi le problème se complique, à mesure que les mots de passe se multiplient en fonction des usages, professionnels et personnels, et lorsque l'on demande à l'utilisateur de les changer fréquemment. Pour résoudre cette problématique du stock limité, celui-ci est bien souvent contraint de faire varier le mot de passe à la marge, en faisant évoluer les dates par exemple, quand il n'est pas tenté de cumuler les usages professionnels et personnels avec un même mot de passe, ce qui est sans doute le pire des cas. Or, l'étude montre que plus des contraintes de sécurité sont vécues comme contraignantes justement, à rebours de l'adhésion de l'opérateur, plus les mots de passe que celui-ci fournit sont faibles et susceptibles d'être craqués. Ce qui est d'autant plus problématique que, une fois qu'un mot de passe a été découvert pour une raison ou pour une autre, le mot de passe qui va le remplacer va pouvoir être deviné assez rapidement, en utilisant des outils de permutation de caractères relativement simples.

Faut-il donc garder le même mot de passe pour protéger toutes nos données personnelles ? Si oui, pourquoi ? Dans le cas contraire, pour quelle(s) raison(s) ?

On sait depuis Platon que le mieux est l'ennemi du bien, et qu'il ne sert à rien de s'épuiser dans une quête de la perfection, fût-elle informatique, totalement illusoire puisqu'elle repose en dernier recours sur des humains. Cela n'empêche pas de recommander un minimum acceptable, qui passe en premier lieu par une ligne de séparation stricte entre les mots de passe utilisés dans la sphère professionnelle et ce qui relève d'une utilisation personnelle. Cela peut paraître un truisme, que c'est un clivage qui vaut pour tout ce qui est de l'ordre des usages informatiques, en dépit de la confusion qui tend à s'installer du fait de la généralisation du smartphone en milieu professionnel, mais la jurisprudence est de moins en moins bienveillante à l'égard des salariés en la matière. Ensuite, il faut absolument associer un mot de passe unique à un site ou un poste de travail unique, quitte à ne plus en bouger si cela n'est pas nécessaire. Outre le risque de vol de son mot de passe personnel, existe aussi le risque d’effractions et de vol au niveau du serveur du site lui-même, à l'échelle de l'ensemble des utilisateurs cette fois, qui ne manqueront pas de se retrouver à l'encan sur les forums spécialisés du "DarkNet". Enfin, est-il encore nécessaire de le préciser ? Personne, à part quelqu'un de mal intentionné, ne vous demandera de lui communiquer votre mot de passe par mail. De même, il est important de vérifier la réalité de l'URL sur laquelle on s'apprête à cliquer en passant le pointeur de la souris au-dessus : s'affiche alors la véritable adresse de destination vers laquelle votre clic va vous transporter tel un véritable 'Porte-au-Loin'... Idem pour les pièces jointes, en particulier sur son poste professionnel…

Comment élaborer un mot de passe le plus inviolable possible ?

Toute la contradiction de la situation est résumée dans cette formulation :  "le plus inviolable possible". C'est une problématique vieille comme la pince-monseigneur et le coffre-fort, ou même les pyramides et les pilleurs de tombeaux : de combien de temps l'attaquant dispose-t-il ? À titre d'exemple, le code PIN du téléphone mobile ou de la carte bancaire n'est composée que de quatre chiffres, mais l'utilisateur ne dispose que de trois essais avant de bloquer ceux-ci. Pour ce qui est des mots de passe au sens strict, il existe des logiciels "pass universels" qui génèrent aléatoirement des mots de passe extrêmement solides parce que non-sémantiques, et avec plusieurs procédés de cryptage bout-à-bout, mots de passe dispersés que l'utilisateur active avec son mot de passe personnel unique. Apple, mais Google ou Microsoft, font sûrement de même, proposant sa solution de cloud un mot de passe unique pour l'ensemble de ses machines et de ses appareils, ainsi que des sites auxquels ceux-ci ont accès. Encore faut-il ne pas laisser traîner un peu partout sur les réseaux sociaux des indices qui permettraient à des personnes malveillantes de récupérer ce "maître-mot de passe". Enfin, mais cela va sans dire, avant d'être inviolable, un mot de passe doit être sûr, c'est-à-dire n'être communiqué à personne ou éventuellement immédiatement changé si les circonstances l'exigent…

Existent-ils des moyens alternatifs pour protéger ses données personnelles sans avoir recours aux mots de passe ?

Outre les trousseaux de clés dont il était question auparavant, il est possible d'utiliser des moyens biométriques comme par exemple l'empreinte digitale. C'est une solution qui a été mise en avant depuis le perfectionnement du système par Apple à partir de l'iPhone 5S, mais le fabricant français de disques durs LaCie avait commencé à proposer des solutions de stockage basé sur ce principe il y a déjà 10 ans. Il semble qu'Apple ait tout récemment déposé un brevet pour une reconnaissance faciale de l'utilisateur, qui repose sur l'ossature du visage. On voit bien tout l'intérêt de ce type de solution à la fois légère et sécurisée au moment où l'on cherche à multiplier les paiements par mobile. La cartographie précise de l'iris peut également être une solution, utilisée par certains services de sécurité. Une autre solution peut-être une identification en deux temps, avec confirmation sur un téléphone mobile comme cela est proposé de plus en plus souvent par les fournisseurs de services grands publics comme Google ou Twitter.