mardi 14 juillet 2009

« 123456 » ou bien « azerty » ? L'enfer des mots de passe

.
Aurore L. travaille dans le service marketing d'une grande entreprise. Chaque matin, elle commence sa journée en tapant un mot de passe qui la connecte à un réseau, et qu'elle doit changer tous les deux mois.

Pendant la journée, sa mémoire est plusieurs fois défiée par l'électronique, qui lui demande un sésame pour le remboursement des notes de frais, un autre pour rentrer dans le système d'approbation des factures, un troisième pour le système interne des suivis de projet…

Et quand elle rentre chez elle, c'est de nouveau une succession affolante de demandes de codes : pour les boîtes mail, pour payer en ligne ses comptes, pour contrôler les dépenses effectuée avec sa carte (numéro de client et code « ultra secret »), pour se connecter aux réseaux sociaux.

Mais un matin, devant son ordinateur, sa mémoire la trahit. Elle ne se souvient plus de ses mots de passe. Et là, seule face à cet écran qui ne la reconnaît pas, elle comprend que ces quinze jours de vacances l'ont vraiment détendue. Elle oublie et elle mélange ses codes. « Ça a été un vrai handicap. Et le temps de les retrouver, j'avais déjà demandé à en avoir d´autres », se souvient-elle.

Jusqu'à quinze mots de passe dans les entreprises très sécurisées

Pour beaucoup, la sécurité qu'exige Internet finit par empoisonner l'existence. Aujourd'hui, un internaute arrive à utiliser une dizaine de mots de passe pour les différentes activités menées en ligne. Un chiffre peut qui peut atteindre quinze pour ceux qui travaillent dans de grandes entreprises très sécurisées.

A cet effort de mémoire s'ajoute la nécessité d'être original, pour échapper aux attaques des hackers. Des majuscules, des chiffres, des minuscules… En excluant les mots typiques ou les numéros qui ont un lien avec la vie privée.

Avec l'omniprésence d'Internet dans nos vies, le défi semble désormais être celui de l'organisation et de la création de sa propre identité digitale. C'est ce qu'explique le spécialiste en communauté identitaire Trent Adams, de la Internet Society (Isoc) :
« Les utilisateurs doivent apprendre à considérer chaque compte en ligne qu'ils créaient comme faisant partie d'un ensemble qui constitue leur identité digitale. L'astuce est de tenir compte de tous les aspects du cycle de la vie identitaire.

Les technologies sont arrivées à un âge où elles doivent aider à réduire la dépendance à l'usage de multiples mots de passe. Et les gens désirent simplifier leur utilisation. »

L'Isoc s'est donné pour mission d'aider les usagers mieux contrôler leur identité en ligne. Ce qui inclut, bien sûr, la gestion des mots de passe :
« Si nous arrivons à éclairer les utilisateurs sur le besoin de gérer leur propre identité, de manière à respecter la vie privée, les hackers auront du mal à poursuivre leurs attaques informatiques. »

Les utilisateurs tendent à unifier tous leurs mots de passe en un seul. Comme Agathe D., 26 ans, qui travaille dans la publicité des grandes marques :
« C'est une prise de tête incroyable. C'est pourquoi j'ai décidé que la plupart de mes mots de passe personnels devaient être les mêmes, sauf pour ce qui concerne l'argent.

Je préfère que mes amis proches, qui sont les seuls à me voir taper mon mot de passe, lisent quelques mails qui n'ont rien de très secret plutôt que d'oublier les codes et de perdre tout mes mails. Ou encore d'avoir à faire cette démarche des questions secrètes [certains sites demandent, en plus d'un mot de passe, de prévoir une question et une réponse personnelle en cas d'oubli du mot de passe, ndlr]. »

Agathe avoue qu'elle utilise des chiffres et des données personnelles pour composer son code.


Objectif : compliquer la vie des pirates

Le problème d'utiliser le même mot de passe dans plusieurs systèmes, ou de créer des combinaisons faciles (en liaison ou pas avec la vie privée, comme « 123456 », « azerty », « abc123 » ou le prénom), insiste Trent Adams, c'est qu'il est beaucoup plus facile pour le hacker de rentrer dans d'autres comptes s'il parvient à attaquer une première fois :
« La création de mots de passe plus difficiles à déchiffrer est généralement une activité livrée aux professionnels de la sécurité et aux “pirates de l'informatique”. L'utilisateur reste en dehors de l'équation. La situation pourrait s'améliorer s'ils connaissent leur rôle dans la protection des informations ainsi que les options techniques pour la gestion de l'identité. »

Les spécialistes conseillent de mélanger des lettres majuscules et minuscules, des chiffres et des ponctuations, afin d'augmenter le nombre de combinaisons possibles. Dans certains systèmes, « aBc » est interprété différemment de « abc », « AbC » ou « aBC » :
« C'est une bonne manière de se défendre des pirates qui essayent chaque caractère en séquence jusqu'à trouver la bonne combinaison.

Ça leur prendra plus longtemps parce qu'ils devront considérer doublement chaque signe, et encore plus s'il y a des chiffres et des ponctuations incluses. C'est mieux parce que ça force la combinaison à ne pas être un mot, ce qui permet de se défendre de ces « dictionary attack. »




OpenID : un seul identifiant partout
.
Certains sites proposent la création d'un OpenID ,
qui permet de se connecter une fois pour toutes à toute une série de services.
En pratique, l'utilisateur utilise un identifiant unique, sous la forme d'une adresse URL
.
L'authentification est unique sur tous les services web qu'il a liés à son OpenID.
.

Les mots de passe les plus populaires
A éviter absolument :
« password »
« 123456 »
qwerty (l'équivalent d'« azerty » sur le clavier français)
abc123
« letmein » (« laisse moi rentrer » en anglais)
« monkey » (« singe » en anglais)
« myspace1 »
password1
link182
le prénom
Source : InTechnology.com
.
Nathalie Kantt