Le changement périodique de mot de passe ne sert à rien sans raison valable : un piratage, par exemple. Il vaut mieux en créer un bon, unique, le stocker dans un gestionnaire de mots de passe et n’y toucher qu’en cas de compromission. Sinon, vous perdez votre temps et vous n’améliorez pas vraiment votre sécurité.

Vous actualisez périodiquement votre mot de passe, en pensant que c’est un bon moyen de contrer les pirates informatiques ? C’est la consigne qu’impose votre entreprise à tout son personnel, en croyant suivre une bonne pratique en matière d’hygiène informatique ? Hélas, dans un cas comme dans l’autre, cela ne sert à rien. C’est même contreproductif.

C’est la Commission nationale de l’informatique et des libertés (Cnil) qui le dit. Dans le cadre de la mise à jour de sa recommandation sur les mots de passe du 17 octobre 2022, l’autorité de protection des données personnelles constate que le renouvellement récurrent du mot de passe, en l’absence de menace avérée, est usante pour les individus sans apporter de gains notables.

Super, vous avez changé votre mdp2022 en mdp2023. Quel bond en matière de sécurité !

Pourquoi ? Parce que les internautes ne s’embêtent généralement pas trop à créer un mot de passe très différent du premier, justement parce qu’ils n’ont pas une mémoire infaillible — c’est aussi pour cela que le même mot de passe est souvent utilisé sur de nombreux comptes. De fait, le nouveau mot de passe ressemble assez fréquemment au précédent.

Une personne utilisant, par exemple, la combinaison motdepasse2022 pourrait se dire qu’elle passera à motdepasse2023 si l’instruction de renouvellement arrive l’an prochain. Certes, elle aura fait évoluer son code d’accès. Mais l’écart avec l’autre est extrêmement ténu. Or, les pirates sont susceptibles de tirer parti de cette réalité pour mener leurs attaques.

Il y a en fait un cas, ou plutôt deux, où le changement est vraiment impératif : quand vous vous faites pirater le compte (ou que vous apprenez que le service dont vous êtes membre a fait l’objet d’une fuite de données) et quand le service ou le produit vous attribue un mot de passe par défaut, à plus forte raison lorsque celui-ci est trop faible, comme « admin » ou « 0000 ».

mot de passe
Comme on ne parvient pas à mémoriser des dizaines de mots de passe très complexes, on va forcément au plus simple. Par conséquent, les politiques d’expiration des mots de passe poussent à faire simple. // Source : Mozilla

« De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace », relève la Cnil dans son document actualisé. On peut d’ailleurs faire remarquer que depuis 2016, le Centre britannique de cybersécurité (NCSC) conseille de ne pas actualiser son mot de passe sans raison valable.

De fait, les internautes utilisent des stratégies pour se faciliter la vie. Or, celles-ci sont aux antipodes de ce qu’il faudrait faire, en ajoutant juste un chiffre à la fin, une date, et ainsi de suite. « Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l’expérience utilisateur négative », dit la Cnil. Dès lors, le niveau de sécurité diminue.

L’Agence nationale de la sécurité des systèmes d’information (Anssi), qui assure la protection cyber de l’État et de ses infrastructures essentielles, a une même lecture. Dans ses recommandations relatives à l’authentification multifacteur et aux mots de passe, publiées en octobre 2021, elle note aussi les stratagèmes du public pour réduire l’inconfort de certaines politiques trop pénibles.

« Mettre en place des moyens d’authentification trop contraignants par rapport à l’information ou au service à protéger pourrait se révéler contre-productif […]. Par exemple, un renouvellement de mots de passe trop fréquent pourrait inciter les utilisateurs à noter les mots de passe sur une feuille », prévient l’Anssi. Et l’usage du post-it est vraiment proscrit.

La Cnil met toutefois une exception à sa nouvelle recommandation : le changement de mot de passe peut toujours se justifier dans les cas de comptes critiques, qui ont des privilèges particuliers — un administrateur ou un compteur ayant des droits étendus. À cette règle de renouvellement périodique, il faut aussi inclure les autres bonnes pratiques habituelles.

Plutôt que de changer tous les quatre matins le mot de passe, suivez ces conseils

Nous le disions déjà en 2019 : ce n’est pas votre mot de passe que vous devez changer, ce sont vos pratiques. Si vous vous voulez augmenter votre protection, les mesures à prendre sont les suivantes :

  • Créer un bon mot de passe sécurisé — et chaque code pour un site ou un service doit être unique ;
  • Changer les mots de passe par défaut, ou les changer qu’en cas de piratage ;
  • Activer la double authentification dès que c’est possible ;
  • Utiliser un gestionnaire de mots de passe pour les conserver pour vous (et non pas un post-it) ;
  • Éviter de vous servir d’informations évidentes dans le mot de passe et dans les outils de récupération de mot de passe (les questions secrètes liées à l’oubli du mot de passe).