Vers la fin des mots de passe ?

1000 mots de passe communs pour 6 millions de personnes

Si vous étiez un hacker, il vous suffirait de cette base de 1000 mots de passe pour avoir 91% de chance de vous connecter à l’un des comptes des 6 millions d’utilisateurs interrogés pour une étude Deloitte. Ce chiffre édifiant montre bien que la prise de conscience des internautes sur cette question de sécurité n’a toujours pas eu lieu. Pire encore, de plus en plus de cas concrets de piratage ont lieu chaque jour, mettant en cause à la fois les services (défaut de sécurisation) et les utilisateurs (trop de manquements aux règles élémentaires).

Le cas Mat Honan est éloquent : ce journaliste de Wired s’est fait pirater tous ses comptes récemment et a perdu de nombreux fichiers personnels, dont des photos de famille. Après avoir raconté ses mésaventures dans son magazine, il vient de signer un article plutôt complet sur la question des mots de passe en expliquant que leur obsolescence était programmée. Il n’a toutefois pas oublié de préciser que la principale faille de sécurité c’était lui : malgré des mots de passe « forts », ses comptes étaient connectés d’une manière ou d’une autre et pouvaient facilement donner l’accès à des espaces privatifs numériques, comme son compte Twitter. Le jeune pirate qui a pu effacer la vie numérique de Honan n’a eu besoin que du compte Gmail du journaliste…

Des solutions provisoires

Vous pensez être à l’abri ? Remettez-vous en question. Si je vous disais que l’on peut déjà en un rien de temps télécharger des listes de mots de passe parmi les plus utilisés et les injecter dans des logiciels qui tentent des connexions automatiquement jusqu’à réussite ? Certaines applications effectuent ce même travail et sont d’ailleurs à la portée de tous. Pire encore, il n’est pas besoin de chercher bien loin les mots de passe les plus faciles à trouver et à se rappeler : 123456, azerty, le nom de la petite dernière ou du chat…Tout cela est tellement évident qu’ils constituent presque une incitation au piratage !

Dans ce cas, les premières recommandations sont simples : Varier les identifiants et mots de passe, ajouter chiffres et caractères spéciaux et éviter les astuces de cow-boy qui ne fonctionnent plus, comme l’écriture 1337. Pour les questions de sécurité, imaginer une réponse qui ne correspond pas à la question (par exemple, quelle est la couleur du cheval blanc d’Henri IV ? Réponse : Actuvirus). Et favoriser les vérifications par téléphone : à moins que le hacker vous ait aussi piraté votre ligne, vous pouvez également recevoir des alertes et des codes de sécurité, bien plus fiables. D’ailleurs cette solution est de plus en plus prisée pour les paiements par carte bancaire sur le net…Sinon vous pouvez toujours passer un générateur de mot de passe en ligne, en prenant soin de stocker tous ceux-ci dans votre webmail.

Le multi-facteur, la seule protection viable à long terme

Google applique déjà la double vérification de ses comptes, à l’aide d’un mot de passe et d’une question additionnelle, comme beaucoup d’autres services. Le géant planche actuellement sur des solutions hybrides de reconnaissance personnelle. La concrétisation de ces recherches serait un anneau qui intégrerait une smartcard et qui authentifierait chaque demande de connexion, sur ordinateur et sur téléphone. Pour le moment les experts de Google utilisent une mini-clé USB baptisée Yubikey pour tester ce service. La biométrie est une piste intéressante mais trop restrictive : il faut à la fois des lecteurs optiques (pour lire les empreintes digitales ou une iris) installés sur tous les périphériques et bien faire attention à son entourage…car une fois la trace physique dérobée, il est très difficile pour la victime de changer ses propres caractères physiques (en attendant que la fiction à la Neuromancer ne devienne réalité).

Certaines sociétés proposent elles différents services pour faciliter l'utilisation des login: création de mot de passe générique et renforcé, cryptage des saisies...jusqu'aux antivirus qui commencent à mettre en avant des modules de protection de l'identité en ligne et qui intègrent des services de sauvegarde de mots de passe. En attendant, la combinaison de plusieurs éléments reste la meilleure option pour se prémunir des intrus potentiels et ne sous-estimez pas vos adversaires invisibles, ils sont peut-être déjà en train de siphonner votre compte en banque…