À la suite de la diffusion par un chercheur d'une archive contenant 10 millions de mots de passe et les identifiants associés, la question de la sensibilisation du grand public est posée. Mais la méthode employée ne fait pas l'unanimité.

Depuis quelques années, diverses enquêtes ont mis en lumière la faiblesse des mots de passe utilisés par les internautes sur le net. Il y a six ans, une étude notait par exemple que plus de la moitié des sondés (56 %) ne se sert que d'un seul mot de passe sur le web. La situation ne semble pas vraiment avoir changé depuis, à en croire une récente étude statistique menée par Dashlane.

Évidemment, cette situation interpelle. Comment sensibiliser correctement le grand public à la sécurité informatique et faire en sorte que les pratiques évoluent positivement ? Il faut croire que les articles de presse qui reviennent régulièrement sur ce sujet n'ont pas une grande influence. Faut-il donc s'en remettre plutôt aux services en ligne, en contrôlant les mots de passe des nouveaux inscrits ?

LA SENSIBILISATION NE PÈSE GUÈRE

Avec un peu de code informatique, il est possible d'interdire certains mots de passe lors de l'inscription (parce qu'ils sont trop courts, trop faibles ou trop communs), d'imposer un nombre minimal de caractères à respecter (6 ? 10 ? etc) ou encore de contrôler leur qualité, en vérifiant par exemple la présence et le nombre de minuscules, de majuscules, de chiffres et de symboles spéciaux.

Mais dans ce domaine, ces mesures de vérification existent déjà. Google et Microsoft refusent les propositions beaucoup trop courtes. Ils évaluent aussi le niveau de solidité avec une jauge. Concernant BlackBerry, les mots de passe trop simples sont tout simplement interdits. Et Yahoo, pour citer un autre exemple, a choisi de publier une liste noire des mots de passe à éviter.

Il existe aussi des approches beaucoup plus radicales. Le chercheur en sécurité informatique Mark Burnett a publié une archive contenant 10 millions de mots de passe et d'identifiants associés pour encourager la recherche dans le domaine. Il s'agit selon lui de poursuivre un objectif simple, à savoir "rendre l'authentification plus sûre et donc de protéger des fraudes et des accès non autorisés".

LA FIN NE JUSTIFIE PAS LES MOYENS

Sauf que cette méthode est loin de faire l'unanimité.

Le prestataire français Dashlane, qui propose un gestionnaire de mots de passe, juge par exemple que la fin ne justifie pas les moyens. C'est une chose que d'attirer l'attention du public sur la problématique de la faiblesse des mots de passe qui sont utilisés aujourd’hui. C'en est une autre de jeter en pâture des informations potentiellement encore valables.

"Nous ne pensons pas qu’on améliore la sécurité des données personnelles des internautes en diffusant une liste de 10 millions d’identifiants et de mots de passe. Le chercheur Mark Burnett indique qu’une grande partie sont sans doute périmés et hors d’usage mais est-ce une raison pour prendre le risque d’en diffuser certains encore valides ?", nous indique Dashlane.

"On ne procéderait pas de la même façon pour sensibiliser à d’autres menaces  : on ne diffuse pas des maladies pour dire aux gens de se soigner", fait remarquer l'éditeur. "Les conséquences d’un piratage ou d’un vol d’identité peuvent avoir de dramatiques conséquences, ce n’est pas une chose à prendre à la légère"

Partager sur les réseaux sociaux

Articles liés