Le mot de passe le plus utilisé ces derniers mois est… « password ». Une vaste étude menée par le spécialiste NordPass montre que le chemin est encore long à parcourir avant que la sensibilisation sur les enjeux fondamentaux de la sécurité informatique ne porte ses fruits.
NordPass, l'un des grands noms du secteur des gestionnaires de mots de passe et de la sécurité informatique, vient de dévoiler les résultats d'une vaste enquête menée en collaboration avec des chercheurs et des scientifiques sur les pratiques des internautes et des utilisateurs de logiciels. Le constat est toujours aussi unanime : les bonnes pratiques ont du mal à être adoptées. La liste des sésames préférés donne le sourire. Cette année, c'est l'inaltérable « password » qui est en tête des références trouvées dans une base de données gigantesque de plus de 3 To de comptes utilisateurs. Les éternels « 123456 », « Qwerty », « iloveyou » ou « guest », ainsi que les plus surprenants « dragon » ou « donald », en hommage à l'ancien président américain, figurent également en bonne place. Ces listes, qui fleurissent chaque année, montrent que les internautes n'ont pas encore mesuré l'ampleur des risques liés à ce manque de diligence dans le choix de leurs mots de passe. Pire, la plupart sont utilisés pour de nombreux comptes. Il suffit qu'un pirate arrive à en déchiffrer un pour avoir accès à l'ensemble des données et services d'une personne. Dans les faits, un mot de passe sur trois est condamné à être cracké estime SécuritéInfo, autre spécialiste de la question. Il faut un tiers de seconde pour un algorithme de force brute, ceux qui testent toutes les possibilités, pour mettre à jour une chaîne de sept caractères. Il ne faut pas plus de 7 secondes à la machine pour en faire de même si l'on ajoute des chiffres et si l'on joue sur les majuscules. Pour que le mot de passe commence à résister, il doit être composé de neuf signes, comprenant des majuscules et des minuscules, des chiffres et un symbole spécial. Même là, il ne faudra que deux jours à un ordinateur puissant pour venir à bout de la protection. Pour dormir sur ses deux oreilles, il faut miser sur une douzaine de signes. Difficile, ensuite, de s'en souvenir…
Les gestionnaires à la rescousse
Les usagers ne sont pas les seuls responsables de cet état de fait. Rares sont les sites, les services et les logiciels qui ne demandent pas aujourd'hui la création d'un compte. L'internaute croule sous une montagne d'identifiants. Les navigateurs modernes intègrent des fonctionnalités de génération et de conservation des mots de passe. Hélas, leur fiabilité est toute relative. L'une des solutions réside dans le recours à un gestionnaire de mots de passe. Ces logiciels peuvent être comparés à un trousseau de clés qui conserve religieusement toutes les informations de connexion utilisées pour accéder aux sites ou aux applications mobiles. L'un des critères de choix est la compatibilité du service avec l'ensemble des plateformes sur lesquelles on est amené à surfer, que ce soit Windows, MacOs, Linux, iOS ou Android. Les gestionnaires les plus évolués sont capables de générer des identifiants à usage unique robustes et même de conserver en sécurité des données de paiement. Aux oubliettes, donc, le petit carnet de notes avec tous les mots de passe écrits au crayon à papier ou les post-it éparpillés. Les experts en sécurité informatique sont toutefois formels, la sécurité par mot de passe est faillible. C'est pourquoi de plus en plus de services tentent de s'en soustraire, via la reconnaissance biométrique (empreintes digitales, reconnaissance faciale, etc.) ou encore l'authentification à plusieurs facteurs (validation par SMS ou par application mobile, par exemple). Aucun dispositif n'est parfait, mais certains sont tout de même plus fragiles que d'autres.
