Alors que les attaques de hackers et les piratages de données se multiplient, l'efficacité de l'utilisation du mot de passe est remise en cause. Pourtant, c'est davantage la manière de l'utiliser et de le choisir qui peut amener une vulnérabilité.
Directeur de recherche au Centre Français de Recherche sur le Renseignement (CF2R).
Spécialiste du cyberterrorisme et de la sécurité aérienne. Après une carrière passée dans plusieurs grandes entreprises du transport aérien, il devient consultant et expert dans le domaine des infrastructures et de la sécurité.
Michel Nesterenko : La première chose à savoir est qu'aucun systéme de protection ne fonctionne à 100%. Le systéme de protection va tout au plus permettre de retarder le moment où l'agresseur craquera le systéme de protection. Prenons un exemple : les systémes de protection des banques de données militaires peuvent tous être craqués par des super-ordinateurs, ceux de la NSA en particulier, la seule question qui se pose est de savoir au bout de combien de temps. Dans certains cas, craquer un systéme va prendre une seconde, dans d'autres cela va prendre un mois non-stop, si pendant ce mois le gérant de la banque de données change son mot de passe, le craquage devra être repris depuis le début. Il faut donc s'interroger sur le rythme auquel on change son mot de passe ainsi que sur la qualité de celui-ci. Si nous avons un mot de passe très complexe que l'on change toutes les semaines ou tous les mois, nous sommes bien protégés. Le mot de passe n'est pas le seul élément auquel il faut prêter attention, il faut rester vigilent avec les logiciels, les mises à jour... En conclusion, le mot de passe est un élément essentiel d'une politique de protection des données quelque soit l'utilisateur, qu'il soit gérant d'une banque de données ou un individu lambda. Il faut le changer régulièrement et s'assurer de sa qualité.
Ce phénomène existe depuis les années 1970, rien n'a changé depuis. Dans beaucoup de systémes téléphoniques, les mots de passe sont décidés en usine et publiés dans les manuels d'entretien. Les acheteurs n'ont pas le réflexe de modifier le mot de passe. Il faut faire preuve de plus de vigilence et savoir ce que l'on fait. Or nous n'avons pas d'enseignement relatif à la sécurité informatique dispensé. Et pourtant, nous utilisons internet avant le collége et le lycée. Il faudrait que chaque utilisateur de matériel informatique sache comment protéger son systéme. Il y a un problème d'éducation de base. Elle est essentielle et fondamentale mais est pourtant largement inexistante. La population n'a jamais appris à être vigilante et n'a pas été suffisamment sensibilisée aux dangers. 
Pas besoin de l'améliorer, la sécurité est inhérente au choix de l'utilisateur. Si le mot de passe inclut des lettres en capitales et minuscules, au moins un chiffre, un signe supplémentaire et qu'il est composé de 10 caractéres, il est suffisant. Attention aussi aux mots de passe que l'on peut deviner aisément, par exemple ceux qui contiennent le prénom d'un de ses parents ou de l'être aimé. Oubliez les mots de passe avec un code à 4 chiffres, après quelques recherches sur internet et un bon logiciel, on peut facilement le craquer.
Si on stocke son mot de passe sur un post-it collé à l'écran de son ordinateur, cela n'a pas vraiment d'intéret. Idem s'il s'agit d'une feuille volante ou glissée dans son porte-feuille, si quelqu'un le trouve, cela ne sert à rien.
Des logiciels existent pour stocker les mots de passe, ils sont plus ou moins bons mais en avoir un est déjà trés bien. C'est une petite banque de données, on y accède par un mot de passe, il vaut mieux en mettre un très compliqué. On rentre ensuite toutes les données, nos différents mots de passe, identifiants, codes... On sauvegarde tout cela sur une disquette ou une clé USB. Il faut aussi penser à changer régulièrement le mot de passe principal. Il existe aussi de petites applications qui sont disponibles sur smartphones.
Ces logiciels sont cryptés, pour avoir accés aux données il faudrait réussir à le craquer, une tache difficile. De plus, une option permet d'effacer le contenu de son téléphone lorsqu'il y a plus de trois erreurs de mots de passe, d'où l'intéret d'avoir sauvegarder ses données sur une disquette, un CD ou une clé USB.
Il y a toujours des alternatives. Par exemple des sytémes biométriques comme la reconnaissance de l'iris ou de l'empreinte digitale. Apple va sortir un smartphone avec ce systéme. Ce genre de systéme permet de se passer de mot de passe. Quant aux entreprises, elles peuvent utiliser des VPN (réseaux privés virtuels), ce qui permet de communiquer en toute sécurité là où le dispositif est installé. C'est un moyen de communication sécurisé.
L'individu lambda ne peut pas savoir de facon directe et certaine. On peut juste emettre cette hypothése si on remarque une activité anormale sur un compte ou si on recoit une quantité de spam anormale. Cela peut vouloir dire que nous avons été piraté mais cela peut aussi signifier que c'est le compte d'un de nos contacts qui a été piraté. En cas de doute, mieux vaut changer de mot de passe. Pour les entreprises, il est possible de savoir si elles ont été piratées suite à une enquete d'activité sur le réseau dans lequel elles se trouvent ou via un logiciel.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !