Tout au long du mois d'octobre est organisé en France l'évènement Cybermoi/s : il s'agit de sensibiliser le public aux bonnes pratiques pour protéger sa vie numérique. Trois conseils simples sont notamment donnés. Mais l'un d'eux est de plus en plus contesté.

Octobre est arrivé, et avec lui une initiative dont vous allez peut-être entendre parler tout au long du mois. Sous l’égide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), un service français qui s’occupe de la protection informatique de l’État et des opérateurs d’importance vitale, s’ouvre le « cybermoi/s », une opération qui se focalise sur la sécurité dans l’environnement numérique.

En réalité, le « cybermoi/s » — qui comme son nom le suggère propose de rehausser la protection de son « moi numérique » tout au long du mois d’octobre, et même au-delà — est simplement la déclinaison française d’un rendez-vous européen ancien, le Mois Européen de la Cybersécurité. La première édition remonte à 2012 et à l’époque seuls 8 pays membres avaient rallié le programme.

La France n’en faisait alors pas partie.

Sensibiliser avec des conseils simples

Mais il n’est jamais trop tard pour bien faire : « Coordonné par l’ANSSI, le Cybermoi/s donnera la parole aux ministères, associations, organisations professionnelles et autres acteurs clés impliqués dans des actions de sensibilisation à la sécurité du numérique », explique le cybergarde du corps de la nation. Et il ne s’agit pas de s’adresser qu’aux professionnels et aux spécialistes : le public aussi est visé.

anssi
L’emblème de l’Anssi. // Source : Anssi

C’est ce qu’explique l’ANSSI sur son site dédié : « La sécurité numérique ne se résume pas à des algorithmes de cryptologie très complexes », observe-t-elle. Pour se prémunir de certaines actions malveillantes, ou pour éviter de faire face à de bien pénibles déconvenues provoquées par une mauvaise manipulation ou une défaillance matérielle, de simples gestes peuvent aussi faire la différence.

Consciente qu’il n’est pas forcément productif de multiplier les conseils — le risque étant de n’en retenir aucun –, l’ANSSI concentre son propos autour de trois messages simples : des messages qui ne surprendront personne, tant ils sont rabâchés depuis des années par tout le monde, mais qui restent globalement pertinents. Hélas, le fait que ces conseils soient encore répétés en 2019 montre aussi que le discours n’imprime pas.

Ces trois recommandations sont les suivantes :

  • Installez les mises à jour quand elles sont disponibles ;
  • Changez les mots de passe de vos comptes ;
  • Faites des sauvegardes régulièrement.

Ces trois mesures pourraient constituer le socle minimal de la sécurité informatique : les mises à jour permettent de colmater des brèches qui pourraient sinon être exploitées par des personnes malveillantes. Le changement de mot de passe vise à empêcher un accès frauduleux à un compte, ou à y mettre un terme. Quant à la sauvegarde, elle vous sauvera la mise en cas de perte de tous vos fichiers sur le PC.

Pour l’ANSSI, il s’agit là de « bons réflexes pour sécuriser ses usages et son alter ego cyber et connecté », qui sont « très simples à adopter au quotidien, chez soi ou au travail ». C’est d’autant plus indispensable que « nous sommes toutes et tous de plus en plus actives et actifs sur nos outils numériques », « quels que soient notre âge, notre vie familiale, notre métier ou nos passions ».

Faut-il vraiment changer ses mots de passe ?

Pourtant, un bémol peut sans doute être apporté concernant la deuxième suggestion : le changement des mots de passe. Cette consigne, qui est toujours serinée, se trouve être de plus en plus contestée aujourd’hui. C’est le cas du Centre national de la cybersécurité, une instance gouvernementale britannique. À ses yeux, le changement forcé du mot de passe est contreproductif, surtout s’il est régulier.

Il est de prime abord très curieux de voir un organisme spécialisé dans la sécurité émettre une opinion défavorable sur le changement de mot de passe. Pourtant, les arguments qu’elle avance pour déconseiller cette pratique (à l’exception, bien sûr, du cas où votre compte vient de se faire pirater. Dans ce cas, il vous faut procéder à sa réinitialisation au plus vite pour éviter tout saccage) s’avèrent pertinents.

Sécurité ordinateur mot de passe code
Certaines recommandations méritent peut-être d’être actualisées. // Source : Microsoft

Une personne qui est contrainte de changer de mot de passe, régulièrement ou non, risque de choisir un nouveau code qui est identique à un autre code qu’elle utilise déjà ou qui est proche de l’ancien (ce qui le rend plus facile à retrouver). Du fait de ce changement, elle va peut-être avoir du mal à le mémoriser et le noter sur un papier ou dans un fichier, ce qui l’exposera à des regards indiscrets.

À ces difficultés s’ajoutent l’oubli, ce qui imposera de repasser quelques fois par la case de la réinitialisation, et la fatigue de la mémorisation : parce qu’il y a en principe un paquet de mots de passe à retenir (ne dit-on pas qu’il faut en théorie un code par service, pour éviter un effet boule de neige en cas de découverte d’un mot de passe ?), la voie de la facilité peut être privilégiée, avec des codes de plus en plus basiques.

« Plus les usagers sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système », constante l’instance britannique. Dès lors, il peut être paradoxal qu’une agence aussi experte que peut l’être l’ANSSI maintienne une telle recommandation.

D’autres conseils pour les mots de passe

Il existe d’autres bonnes pratiques liées aux mots de passe qui peuvent être mises en avant : l’activation de la double authentification, service qui est maintenant généralisé sur toutes les grandes plateformes (réseaux sociaux, webmails, sites de e-commerce…) et l’emploi d’un gestionnaire de mots de passe, comme LastPass, KeePass ou Dashlane. Il s’agit d’un logiciel qui agit comme un coffre-fort numérique.

Dashlane est un service qui propose la double authentification. // Source : Numerama

Bien entendu, le fait de regrouper tous ses mots de passe dans un programme spécifique fait dudit programme une cible de choix. Mais comme toujours, il s’agit de faire la balance des risques et des bénéfices : en utilisant un tel service, vous pourrez plus facilement gérer un mot de passe unique par compte et faire en sorte que chaque mot de passe respecte les bonnes pratiques en la matière (longueur, complexité, etc.).

D’ailleurs, même si vous vous faites pirater votre trousseau numérique, l’activation la plus large possible de la double authentification vous permettra de limiter la casse, voire de vous protéger, puisque ce service agit comme un deuxième mur de protection : pour le franchir, il vous faut avoir accès à un dispositif physique (en général, un smartphone ou une clé USB de sécurité U2F).

Puisqu’il s’agit du premier mois de la cybersécurité auquel participe la France, sans doute les messages à disposition du public s’affineront au fil des jours et des éditions. Et peut-être que ces réflexions se trouveront aussi dans les divers évènements qui sont organisés sur tout le territoire (la liste est consultable sur le site de l’ANSSI). D’ici là, les deux autres conseils restent tout à fait pertinents.

À lire sur Numerama : Ce n’est pas votre mot de passe que vous devez changer, ce sont vos pratiques

Partager sur les réseaux sociaux