Comme chaque année, le 2 mai constitue la journée mondiale des mots de passe. Et comme chaque année, les conseils pleuvent pour demander aux internautes de faire un effort pour leur sécurité en ligne. Par exemple, de ne pas renouveler sans raison un mot de passe, ou bien d’éviter de réutiliser le même mot de passe.
Ces incitations ne viennent pas sans raison. En informatique, on a coutume de dire que les problèmes se situent entre la chaise et le clavier (PEBCAK, soit Problems Exist Between Chair And Keyboard). En clair, l’origine d’un souci sera plutôt à chercher du côté d’une mauvaise manipulation d’un particulier — par exemple, en cliquant au mauvais endroit.
C’est la même chose en sécurité informatique. Si celle-ci était représentée par une chaîne constituée de nombreux maillons, le plus faible d’entre eux serait aussi entre la chaise et le clavier. Or, la force d’une chaîne correspond à la solidité du maillon le plus faible. Plus celle-ci est basse, plus la chaîne risquera de rompre, malgré la présence d’autres maillons très robustes.
Ce n’est bien sûr pas toujours l’internaute qui est en tort, mais il faut admettre qu’une bonne partie des menaces est orientée vers lui. C’est lui qui se fait avoir par des scams, qui clique sur des liens vérolés, qui utilise les mêmes mots de passe, ou bien qui n’a pas activé la double authentification. La liste des périls est longue.
Une fois n’est pas coutume, cette journée mondiale du mot de passe ne sera pas l’occasion de repointer la responsabilité de l’internaute — même s’il est évidemment préférable qu’il utilise des mots de passe forts et uniques pour chaque service en ligne et qu’il réfléchisse à utiliser un gestionnaire de mots de passe pour les conserver efficacement.
« admin / password », la combinaison que l’on ne veut plus voir
Pour une fois, ce World Password Day devrait servir de rappel à l’industrie de la tech : vous faites aussi partie de la chaîne de la sécurité informatique. Dès lors, il serait appréciable d’arrêter de caler par défaut des mots de passe bien trop faibles, et répliqués sur l’ensemble des produits et services lancés dans le commerce.
Pour le dire autrement, il faut en finir avec les combinaisons comme « admin / password » ou tout ce qui mobilise de près ou de loin des séquences bien trop élémentaires. On pense à « 123456 », « azerty », et d’autres horreurs du même acabit. À cela, on peut rajouter une autre consigne : les mots de passe sous les dix caractères devraient aussi être rejetés.
Il ne s’agit pas de dire que toute l’industrie de la tech fait preuve de laxisme sur ce terrain : des entreprises du secteur ont déjà pris des dispositions pour éviter de générer des mots de passe par défaut trop basiques au moment de l’envoi de produits à la clientèle. Idem lors de l’inscription à un service sur le net : certains codes trop nuls sont refusés.
Une piste à considérer pour être inspirée d’une toute récente initiative législative au Royaume-Uni. Depuis le 29 avril, le pays applique une nouvelle loi destinée à renforcer la protection des internautes face au risque de piratage et de cyberattaques. En ligne de mire, les objets connectés, en leur fixant des normes de sécurité minimales.
« Le nouveau régime interdit aux fabricants d’utiliser des mots de passe par défaut faibles et faciles à deviner, tels que ‘admin’ ou ‘12345’, et s’il existe un mot de passe commun, l’utilisateur sera encouragé à le changer au démarrage », a expliqué Londres, dans un souci affiché de tuer l’usage de mots de passe trop simples à deviner.
Pour illustrer tout l’enjeu, le gouvernement britannique a cité le logiciel malveillant Mirai, qui avait fait beaucoup de dégâts en 2016. À l’époque, l’attaque avait aussi profité de seuils de sécurité insuffisants dans certains produits connectés, avec des couples d’identifiants et de mots de passe comme « admin / pass » ou « root / root ».
Ainsi, a rappelé Londres, ce sont 300 000 produits intelligents qui ont été compromis durant l’attaque Mirai en raison de la faiblesse des dispositifs de sécurité. Cela a ensuite permis de s’en servir pour attaquer des plateformes et des services en ligne majeurs, et priver d’Internet une grande partie de la côte est des États-Unis. Tout ça, à cause d’une combinaison faiblarde.
Le nouveau texte, qui oblige les fabricants à élever le niveau de sécurité, est d’après le Royaume-Uni une première mondiale pour un pays — même s’il y a eu des initiatives précédentes et plus locales, notamment en Californie. De l’autre côté de La Manche, ce projet était en gestation depuis plusieurs années.
Les meilleurs Gestionnaires de mots de passe
NordPass
- Nouveau venu sur le secteur
- Même groupe que NordVPN
1Password
- Le plus connu et l’un des plus vieux
- Interface modernisée
Dashlane
- Un gestionnaire français
- Surveille le dark web
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.