Les experts en cybersécurité vous le rabâchent : vous devez utiliser un mot de passe robuste, de minimum 12 signes, avec des majuscules et des caractères spéciaux. L’Anssi, plus haute institution française sur les questions de cybersécurité, vous le recommande d’ailleurs dans son guide officiel.
Mais alors, pourquoi votre banque vous force-t-elle à utiliser un code uniquement composé de 6 ou 8 chiffres ? La Banque Populaire, le Crédit Lyonnais, la BNP… même certaines néobanques, comme Boursorama, demandent à leurs clients d’utiliser un mot de passe entièrement numérique, et donc faible.
Pour compenser cette faiblesse, la connexion requiert également d’entrer un identifiant unique donné par la banque, et la saisie des chiffres se fait en cliquant avec sa souris (ou ses doigts sur téléphone) sur un « clavier numérique aléatoire », qui dispose les chiffres différemment à chaque tentative de connexion.
Les keyloggers permettent d’enregistrer les informations tapées par la victime. // Source : Louise Audry pour Numerama
En dehors des banques, rares sont les organisations à utiliser ce standard de sécurité, mais certaines institutions, comme l’Assurance Maladie ou la Caisse d’Allocations Familiales, l’adoptent. Tout système de sécurité protège de façon quasi imperméable contre certains scénarios d’attaque et est plus sensible à d’autres. Cet équilibre dans la sécurité doit aussi tenir compte de la facilité d’utilisation du service. Avec ces notions en tête, nous avons essayé de comprendre le choix des banques pour les mots de passe de leurs clients.
Les keyloggers dans le viseur
Le système choisi par les banques françaises a un point fort évident. « L’objectif du clavier numérique aléatoire, c’est de contrecarrer l’efficacité des keyloggers », explique à Cyberguerre Gildas Avoine, chercheur à l’Institut de Recherche en Informatique et Systèmes Aléatoires (Irisa). Les « keyloggers » sont des logiciels malveillants qui enregistrent les mots de passe de leurs victimes. Les plus simples se contentent de surveiller les informations entrées par la victime à certains endroits : ils repèrent par exemple le champ dédié au mot de passe sur les formulaires des pages web. Les plus complexes peuvent quant à eux enregistrer l’intégralité de l’activité du clavier, voire les mouvements de la souris. Bien sûr, ces malwares associent les données enregistrées et l’adresse du site où elles ont été utilisées, de sorte que les hackers puissent ensuite les revendre ou les utiliser à leur propre compte.
Le clavier numérique aléatoire a l’avantage de contrer la plupart des keyloggers. D’un côté, il empêche l’utilisation du clavier, ce qui rend l’enregistrement de la frappe de la victime inutile. De l’autre, il empêche les pirates de déduire un mot de passe à partir des mouvements de la souris, puisque le positionnement des chiffres varie à chaque essai de connexion. Reste un dernier cas, qui permettrait de contourner le système : certains keyloggers prennent des captures d’écran lors de chaque saisie et pourrait donc retrouver sur quel chiffre l’utilisateur a cliqué.
La protection supplémentaire offerte par le clavier aléatoire ne vient pas sans désavantage : pour qu’il ne cause pas trop de friction à l’utilisation, il ne propose que des chiffres. Imaginez essayer de retrouver les lettres de votre mot de passe dans plus de 37 touches (voire plus, avec les caractères spéciaux) disposées aléatoirement : chaque saisie prendrait plusieurs minutes.
Dans un article de 2018, la Cnil, l’autorité française des données, accepte que les banques en ligne proposent des mots de passe uniquement composés de chiffres à condition que ce critère aille de pair avec des « mesures complémentaires », dont l’utilisation d’un identifiant unique dédié à la banque. De son côté, Gildas Avoine s’étonne de cette présentation : « La sécurité ne doit pas reposer sur le nom d’utilisateur. Ce système peut d’ailleurs être contre-productif, puisque l’utilisateur doit se souvenir de deux identifiants au lieu du seul mot de passe. »
Déchiffrer un mot de passe à 6 chiffres est faisable
L’utilisation du clavier numérique aléatoire force donc l’utilisation d’un mot de passe faible. Cette absence d’exigence lors de la création du mot de passe expose d’autant plus les personnes les moins conscientes des enjeux de sécurité. Les mots de passe « 123456 », « 111111 » ou « 000000 » sont très utilisés, et un pirate aura une chance non négligeable qu’il s’agisse de celui utilisé par une de ses victimes. D’autres utilisateurs auront quant à eux choisi leur date de naissance ou celle d’un de leur enfants comme mot de passe. Ces informations sont faciles à trouver, et le mot de passe est donc facile à deviner.
Ensuite, même si le code à 6 chiffres n’était pas devinable par un humain, il peut l’être par une machine. Le nombre de combinaisons possibles avec des chiffres, bien qu’élevé (il y en a un million), est très très loin d’être hors d’atteinte des capacités de calcul des ordinateurs. Heureusement, les sites bancaires limitent le nombre de tentatives de connexion successives à un compte, de sorte qu’un hacker ne puisse pas tenter une liste des mots de passe les plus probables avec l’identifiant de sa cible. Cette protection complémentaire fait d’ailleurs partie des exigences de la Cnil.
« On se dit que l’information ne peut pas être volée du côté de la banque »
Mais il existe un scénario dans lequel un pirate se serait introduit sur les serveurs de la banque, et aurait dérobé une liste des mots de passe. Pour Gildas Avoine, le modèle choisi par les banques écarte cette possibilité : « On se dit que l’information ne peut pas être volée du côté de la banque. On peut donc se permettre d’avoir un mot de passe plus simple.» C’est une prise de risque modérée : les établissements bancaires doivent se plier à des contraintes de sécurité plus élevées que la moyenne. Mais elles ne sont pour autant pas à l’abri d’une fuite de données ou d’une attaque rançongiciel.
Dans ce scénario, le hacker obtiendrait des mots de passe protégés par des techniques comme le « hachage » ou le « salage » puisque la banque ne les stocke normalement pas en clair. Mais même les algorithmes les plus avancés, comme le très utilisé Bcrypt, ne protègent pas parfaitement. Un pirate avec du temps et des ressources informatiques pourra déchiffrer une bonne partie des mots de passe de la liste, ou le faire faire par des cybercriminels spécialisés. Et puisque les mots de passe sont faibles, les chances de réussite du déchiffrement seront d’autant plus élevées.
Une étrange particularité française
Cyberguerre a contacté et relancé plusieurs banques, afin qu’elles expliquent ce choix en termes de sécurité. Certaines ont refusé, d’autres ont ignoré, ou bien laissé traîner notre demande.
Pour Gildas Avoine, plus que l’utilisation du clavier numérique aléatoire, c’est la prédominance du mot de passe dans la sécurité des banques françaises qui lui paraît étonnante : « La France est très en retard sur les dispositifs pour se connecter à son compte bancaire. Dans de nombreux pays — Belgique, Suisse, Luxembourg pour ne citer que nos voisins les plus proches — il y a bien longtemps que l’on utilise un dispositif physique pour se connecter à son compte : une sorte de petite calculette dans laquelle on
enfile sa carte bancaire. »
Dès les années 1990, les voisins des Français ont mis en place d’autres systèmes de connexion sécurisée. Le chercheur, qui habitait alors en Suisse, s’en rappelle : « À l’époque, je recevais déjà des listes de mots de passe à usage unique par la poste ». Composée d’une cinquantaine d’identifiants à barrer une fois utilisés, elle permettait de faire une double authentification, puisqu’il fallait connaître les identifiants choisis par le client et un des mots de passe de la liste pour se connecter.
Une question de coût ?
Ensuite, au début des années 2000, ce système est devenu entièrement numérique grâce aux appareils dédiés à la connexion au compte bancaire. L’utilisateur insère sa carte bancaire dans l’appareil, entre son code, et obtient un identifiant nécessaire à la connexion au compte en ligne. « Avec ce système, un virus ne sera pas capable d’obtenir le secret qui est dans la carte bancaire, car l’appareil n’est pas relié à l’ordinateur », développe Gildas Avoine. En conséquence, même si un pirate parvenait à dérober les identifiants du compte bancaire, il ne pourrait pas les exploiter.
Ces petits appareils dédiés ont fini par arriver timidement en France, mais leur usage est le plus souvent réservé à la confirmation de transaction. Leur usage pour la connexion au compte est au mieux optionnel, au pire impossible. Et ce n’est pas tout : dans plusieurs banques, la double authentification assurée par la petite calculatrice peut être substituée par une double authentification par SMS.
Pourtant, ce standard de sécurité s’avère bien moins efficace : lors d’une attaque ciblée, les pirates peuvent s’emparer du numéro de téléphone de leur victime pour valider la double authentification, grâce à une technique connue sous le nom de SIM swapping. Le tout, à distance. Un tel scénario ne pourrait se produire si la victime utilisait un appareil dédié, puisqu’il faudrait que le malfaiteur parvienne à s’emparer de la carte bancaire — qui contient le « secret » — pour valider la transaction. Pourquoi les banques françaises ne généralisent-elles pas l’usage des petites calculettes ? « J’ai plusieurs fois demandé à des banques, mais je n’ai jamais eu d’arguments convaincants. J’imagine que c’est une question de coût », suppose Gildas Avoine.
Consultez notre comparateur des gestionnaires de mots de passe dans notre section sur la sécurité numérique.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
