Les mots de passe trop simples sur BlackBerry, c'est fini. Le constructeur canadien a décidé de bannir de son prochain système d'exploitation mobile une liste de termes, de combinaisons et de suites trop simples à trouver. 106 mots de passe sont interdits et la liste noire devrait encore s'allonger à l'avenir.

C'est un message qu'il faut sans cesse marteler. La création d'un nouveau mot de passe est une étape qui ne doit pas être négligée, afin d'éviter plus tard quelques ennuis. Trop souvent, les internautes ne font confiance qu'à un seul mot de passe, dont la solidité laisse à désirer. Une fois le mot de passe cassé, l'assaillant n'a plus qu'à chercher les comptes et les profils de sa victime pour accéder à toute sa vie numérique.

La robustesse du mot de passe dépend de plusieurs critères, parmi lesquels la longueur (8 à 10 caractères minimum), sa complexité (majuscules, minuscules, chiffres, symboles spéciaux) et son intelligibilité (ne pas glisser sa date de naissance par exemple ou une suite logique de caractères, pouvant être comprise par l'assaillant). Il est aussi recommandé de changer régulièrement de mot de passe.

Mais ces conseils ont beau être répétés, les mauvaises habitudes ont la vie dure. Aussi, les services en ligne ont le devoir de pallier à ces manquements. Sur certains sites, c'est déjà le cas. Lors d'une nouvelle inscription, le mot de passe choisi par l'utilisateur est vérifié : s'il est trop court ou trop simple, il ne sera pas accepté et un message avertira l'usager qu'il doit choisir un mot de passe plus fort et / ou plus long.

Une autre solution est constituer une liste noire des mots de passe trop simples. Le site RapidBerry a ainsi constaté en début de semaine que les smartphones sous BlackBerry 10 n'accepteront pas 106 mots de passe pour le BlackBerry ID, qui sert en particulier à se connecter à la boutique d'applications du constructeur. Le verrouillage du mobile par un mot de passe n'est pas concerné.

Parmi les mots de passe interdits, on retrouve les traditionnelles suites ("123456", "aaaaaa", "abcdef"…), des combinaisons ("abc123", "a1b2c3"…), des prénoms, des noms communs ou des expressions. Cette liste constitue manifestement un premier jet. À terme, c'est tout les termes du dictionnaire qui pourraient être concernés, et ça ne serait pas forcément une mauvaise chose du point de vue de la sécurité.

Ces restrictions de choix ennuieront vraisemblablement certains utilisateurs, car si BlackBerry a décidé de bannir ces mots de passe de la dixième version de son système d'exploitation, c'est bien parce qu'ils étaient utilisés. Mais en comparaison d'un risque de piratage qui pourrait conduire au saccage de leur vie privée, ces internautes devraient plutôt considérer ça comme un moindre mal.

BlackBerry n'est pas pionnier en la matière. Twitter refuse également plusieurs centaines de termes que le réseau social juge inadéquats pour la création d'un mot de passe. Ce système contrôle en outre le mot de passe, en vérifiant s'il comporte le nombre minimum de caractères pour empêcher que celui-ci ne soit découvert trop vite.

Plusieurs sites web proposent d'évaluer la solidité d'un mot de passe (si vous voulez tester ces services, il est recommandé de taper un autre mot de passe que le sien, par sécurité, ndlr). C'est le cas de How Secure Is My Password ou Lockdown. "Tout peut être cassé, mais l'important ici est de ralentir l'accès aux informations sensibles", rappelle la DCRI, qui estime qu'à partir de 8 caractères, c'est convenable.

En plus de ces mesures, l'activation de l'authentification forte est souhaitable si elle disponible. Celle-ci impose d'inscrire un deuxième code, généré aléatoirement, lors de l'identification (Google et Blizzard proposent cette fonctionnalité via une application mobile). Ainsi, même si le mot de passe est compromis, le compte est encore protégé par la double authentification.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !