Écrire un mot de passe sur un post-it est une très mauvaise idée. Si cela semble tombe sous le sens pour les plus aguerris de la technologie, beaucoup de Françaises et Français continuent pourtant à le faire. Preuve en est qu'il faut continuer de marteler ces éléments de pédagogie, qui sont indispensables pour que tout le monde acquière les bons réflexes.

C’est une de ces recommandations qui servent parfois à percevoir le gouffre abyssal entre les bonnes pratiques à suivre en matière de sécurité informatique et la réalité. C’est ce que provoque typiquement la série de conseils que vient de partager l’Agence nationale de la sécurité des systèmes d’information (Anssi), dont la mission est de protéger l’État et certains opérateurs d’importance vitale face aux menaces cyber.

Elle a publié ce vendredi 1er octobre plusieurs suggestions pour améliorer la sécurité de ses mots de passe. On retrouve bien sûr les observations habituelles, que l’on ne cesse de voir être rabâchées d’une année sur l’autre : il faut utiliser un mot de passe par service. Il faut aussi que chaque mot de passe soit assez long et solide. Il ne faut pas les partager avec autrui non plus.

Toutes ces recommandations sont pertinentes, tout comme l’est celle qui suggère qu’il est de bon ton de changer aussi les mots de passe qui sont définis par défaut (vous savez, les fameux « 0000 » ou « admin ») afin de ne pas faciliter la tâche à d’éventuels malandrins du numérique. Par contre, mais l’Anssi n’en parle pas, il n’est pas très pertinent de changer régulièrement ses mots de passe.

Mais dans cet inventaire à la Prévert des bonnes pratiques, un conseil en particulier s’avère marquant, car on pourrait croire — et même espérer — qu’en 2021, après des années de discours sur ce qu’il faut faire et ne pas faire en matière de sécurité, qu’il a bien été intégré. Et pourtant, cette année encore, l’Anssi doit rappeler qu’inscrire un mot de passe sur un post-it « crée un risque important ».

Oui, c’est une bêtise d’écrire un mot de passe sur un post-it

Évidemment, l’Anssi est tout à fait dans son rôle de cyber-garde du corps de la nation en faisant remarquer que, bien entendu, laisser traîner ses mots de passe en clair à la vue de tout le monde est certainement l’une des pires idées possibles. Autant laisser vos clés de voiture, ouvrir la portière et vous en aller. Ou bien les clés de votre domicile bien en évidence à la vue de tous.

Oui, bien sûr, quelle bonne idée. // Source : Léa Hamadi pour Numerama.

Le problème n’est pas que l’Anssi ressasse des conseils qui feraient frémir n’importe quel spécialiste en cybersécurité. C’est de se dire que ce comportement existe encore et qu’il est de toute évidence encore très largement partagé. Les statistiques en la matière varient d’un sondage à l’autre et d’une année à l’autre, mais, comme le pointent les articles de Silicon ou Developez, on est très loin d’un phénomène marginal (entre 30 % et 50 %).

Pourtant, les faits divers malencontreux avec des post-its qui apparaissent par exemple à la télévision ou dans des médias publiés sur les réseaux sociaux existent et montrent bien à quel point c’est une erreur. Le Point rappelait par exemple en 2015 que les mots de passe de TV5Monde ont été diffusés en plein 13 heures. L’armée a connu un souci similaire, avec un tweet montrant une image bien trop bavarde.

Et le problème du mot de passe sur un post-it ne se déclenche pas uniquement pas écran interposé. Dans un open space au travail, il peut y avoir beaucoup de monde qui circule : des collèges bien sûr, mais aussi des visiteurs, des clients ou bien des prestataires. Au domicile aussi, même si on pourrait arguer qu’il y a moins de passage. Et ce n’est pas parce que sont des proches qu’il faire n’importe quoi quand même.

Alors bien sûr, il y a maintenant l’authentification forte qui se répand et qui garde le compte à peu près sécurisé, même si le mot de passe est compromis. Ce dispositif impose en effet l’inscription d’un deuxième code, temporaire cette fois. Il se récupère en général sur son smartphone, celui-ci ayant été préalablement associé au compte. Ainsi, pour le pirater, il faudrait franchir deux barrières.

De nombreuses plateformes déploient maintenant l’authentification à deux facteurs. Ici, l’Epic Games Store.

L’authentification forte peut certes rattraper le coup d’une négligence survenant avec le mot de passe noté à l’écrit, mais cela reste une situation exposée — en tout cas plus que le scénario où le mot de passe est resté secret. D’aucuns pourront arguer qu’il est difficile de retenir tous ses mots de passe — et c’est vrai ; c’est très difficile de les mémoriser, tout en les rendant longs, complexes et uniques.

Que faire si je n’arrive pas à retenir mes mots de passe ?

C’est pour cela que les gestionnaires de mots de passe existent, comme LastPass, KeePass ou Dashlane. Ils servent de coffre-fort pour vous épargner de tout garder en tête — vous n’avez en fait qu’à retenir le mot de passe principal, qui déverrouille le gestionnaire. On le devine ici : ce mot de passe là doit pour le coup être renforcé au maximum et être totalement unique. On comprend bien pourquoi.

Cette stratégie n’est pas non plus parfaite. Aucune ne l’est absolument. Ces logiciels ont des bugs et des failles, comme n’importe quel programme ; il est possible d’imaginer des attaques spéciales (même si on peut discuter de la faisabilité de certaines d’entre elles). Mais par rapport à calepin rempli de mots de passe sur une table ? Ou un post-it près de l’écran ? La balance bénéfice-risque n’est pas la même.

Les recommandations de l’Anssi se déroulent dans le cadre du Cybermoi/s. Il s’agit d’une opération de sensibilisation du public concernant les bonnes pratiques pour protéger sa vie numérique. Les thématiques peuvent changer d’une année à l’autre. Mais ce qui est triste, c’est de se dire que la recommandation au sujet des post-it sera toujours valide en 2022 pour le prochain cybermoi/s.

Partager sur les réseaux sociaux

La suite en vidéo