Tous les mots de passe ne se valent pas

Les mots de passe sont beaucoup utilisés, car ils permettent de restreindre relativement facilement l’accès à un objet ou l’accès à des informations. Son fonctionnement est simple. Toutes les personnes qui possèdent le sésame peuvent accéder à la ressource protégée.

Une tel dispositif de sécurité est efficace uniquement si le mot de passe utilisé ne peut pas être facilement deviné par un humain et s’il ne peut pas être rapidement identifié par une machine. Ces deux menaces n’ont toutefois pas les mêmes caractéristiques. Un humain a généralement une meilleure capacité intellectuelle et tente de mieux connaître la personne afin de trouver un mot de passe logique (on parle d’« ingénierie sociale ») tandis qu’une machine a une meilleure puissance de calcul et essaie généralement de trouver le mot de passe par la force, en essayant un très grand nombre de mots de passe, de façon aléatoire ou méthodique. Un bon mot de passe doit permettre de se défendre contre ces deux menaces.

De manière générale, plus le mot de passe est long et aléatoire, meilleure est la sécurité. Cela ne veut cependant pas dire que tous les mots de passe devraient être 100 caractères aléatoires. Tout dépend de la nature de la menace et de la criticité de la ressource à protéger. Il peut être acceptable d’utiliser un cadenas avec un code à six chiffres pour restreindre l’accès à un vélo, mais il serait inutile de protéger un document électronique avec un tel code. Dans tous les cas, le plus important est de faire un choix éclairé, en étant pleinement conscient des risques afin de les maitriser au mieux.

Les risques à utiliser un mot de passe court

Un mot de passe court est facilement mémorisable par un humain et peut être saisi rapidement. Il offre cependant une protection limitée, car un humain aurait besoin de peu d’efforts pour le retrouver et une machine trouverait un tel mot de passe en un rien de temps.

Pour illustrer ce risque, imaginons un cadenas à code composé de quatre chiffres. Un tel cadenas permet de choisir un code entre 0000 et 9999, soit exactement 10 000 possibilités. Dix mille possibilités, ça peut paraître beaucoup, mais en réalité, cela est très peu, même pour un humain. Si on considère qu’un humain à la capacité de tester un code par seconde, ce qui n’est pas irréaliste, il lui faudrait, au maximum, trois heures (et un peu de courage) pour tester toutes les possibilités. En réalité, le temps nécessaire serait bien plus court, sauf si le code utilisé correspond au dernier code testé, ce qui serait très malchanceux.

Pour une machine, dans la mesure où ce cadenas serait accessible numériquement, un tel code serait trouvé presque instantanément. Les machines actuelles, même grand public, ont aujourd’hui une très grande capacité de calcul et peuvent tester plusieurs milliers de mots de passe par seconde. Un code ou mot de passe à quatre ou six chiffres, qu’il soit composé uniquement de chiffres ou de lettres, apportent par conséquent une protection très faible.

Les risques à utiliser un mot de passe simple

Le fait que le mot de passe soit composé uniquement de chiffres, composé uniquement de lettres minuscules ou majuscules, composé d’une date (comme une date de naissance) ou qu’il soit limité à une certaine longueur diminue la sécurité du dispositif, car cela réduit le nombre de possibilités. Moins il y a de possibilités, plus une machine a la capacité de trouver rapidement un mot de passe. Ce concept s’applique aussi si le mot de passe suit un format spécifique, prédéfini.

Les risques à utiliser un mot de passe prédictible

Le fait qu’une machine teste « bêtement » toutes les possibilités n’est cependant pas toujours possible parce que des protections peuvent avoir été mises en place. Une telle attaque n’est pas non plus forcément pertinente si le nombre de possibilités à tester implique un temps de calcul conséquent.

Plutôt que d’utiliser la force, un attaquant peut faire preuve d’intelligence ou de malice pour tenter de retrouver le mot de passe. Cela peut se matérialiser par le fait de tester non pas toutes les possibilités, mais uniquement les mots qui ont une certaine signification. Les mots de passe qui font référence aux mots du dictionnaire ou qui font référence à un élément de la vie de l’utilisateur, comme le nom d’un enfant ou d’un animal de compagnie, n’apportent, par conséquent, qu’une protection limitée.

De la même façon, les « techniques » habituelles des utilisateurs, qui consistent à mettre la première lettre du mot de passe en majuscule, à remplacer certaines lettres par un nombre semblable (comme un 4 pour un a ou un 1 pour un i) ou à ajouter une année à la fin du mot de passe, apportent également une protection limitée. Les éventuels attaquants connaissent également ces « techniques » et peuvent aussi les utiliser pour tenter d’identifier les mots de passe.

Les risques à réutiliser un mot de passe

Enfin, le plus grand risque est probablement de protéger plusieurs ressources avec un mot de passe identique. En utilisant un même mot de passe pour protéger plusieurs ressources, un incident sur l’un des dispositifs compromettrait la sécurité des autres dispositifs qui utilisent le même mot de passe. Sur Internet, la probabilité qu’un incident intervienne est élevée, car les systèmes qui conservent les mots de passe ne sont pas nécessairement protégés avec des mesures appropriées^[1] ou subissent des défaillances. Il est donc préférable de protéger chaque compte et chaque ressource avec un mot de passe réellement différent.

Créer un mot de passe robuste

Un mot de passe qui permet de protéger correctement une ressource doit donc être long, unique et peu prédictible. Cela ne permet pas, certes, de garantir une sécurité sans faille, une telle sécurité n’existe pas. Cela permet, en revanche, de renforcer la sécurité du dispositif, de dissuader les éventuels attaquants et d’éviter que les ressources protégées ne soient trop facilement accessibles.

Deux options sont possibles pour générer un tel un mot de passe :

• le créer avec son imagination en saisissant des caractères aléatoires sur son clavier ;
• le créer automatiquement en utilisant un « générateur de mot de passe ».

Un générateur de mot de passe est présent dans les principaux navigateurs et permet de faciliter la vie des internautes lors de la création d’un nouveau compte sur Internet ou lors du renouvellement d’un mot de passe. Des générateurs de mots de passe peuvent aussi être proposés sur Internet. Un générateur de mots de passe en ligne est, par exemple, mis à disposition des internautes sur ce site et permet de créer des mots de passe selon des critères bien précis comme la présence d’un chiffre, d’un caractère spécial ou une taille particulière.

Conserver un mot de passe robuste

Les mots de passe robustes ne sont pas pratiques, car ils sont difficiles à mémoriser. C’est la raison pour laquelle ils ne sont pas plébiscités par les internautes. Il est, en effet, très difficile pour un humain doté d’une intelligence normale de retenir des séries de plus de 20 caractères aléatoires.

Pour conserver ces mots de passe robustes, il est possible de recourir à des « gestionnaires de mots de passe » ou de noter^[2] simplement les mots de passe, sur un papier par exemple. En notant les mots de passe, il est alors possible d’utiliser des mots de passe longs, uniques, et peu prévisibles, car il n’est plus nécessaire de les mémoriser. Bien sûr, l’accès à ce gestionnaire ou l’accès au lieu ou se trouve l’éventuel papier sur lequel est noté le mot de passe doit être sécurisé au mieux, en recourant, par exemple, à plusieurs facteurs d’authentification, s’il s’agit d’un logiciel.