La sécurité informatique est similaire à la sécurité dans le monde réel. Il est nécessaire d’identifier et de connaître les risques pour comprendre et mettre en place les réponses à apporter.

Pour sécuriser son logement, par exemple, on ferme la porte à clé en partant, car on estime qu’il y a une probabilité non négligeable qu’un individu puisse rentrer en notre absence. Lorsqu’on sort pour une minute ou deux pour sortir les poubelles, on ne le fait sûrement pas, car on estime que la probabilité que quelqu’un rentre dans ce laps de temps est plus petite. À tort, ou à raison ? Chacun le juge en fonction de sa perception des risques. Lorsqu’on juge qu’il y a un risque, on prend une mesure pour diminuer ce risque.

En informatique, les internautes ont une moins bonne compréhension des risques, car peu ont les compétences informatiques leur permettant de comprendre le fonctionnement complexe des systèmes. C’est normal, on ne peut pas être expert dans tous les domaines. Faisons donc un petit tour des risques lorsqu’on parle de mots de passe pour bien comprendre pourquoi on recommande certaines pratiques et pas d’autres.

Les risques liés aux mots de passe

Pour sécuriser les données et les comptes des internautes, un mot de passe est utilisé la majorité du temps. On ne laisse d’ailleurs pas les utilisateurs choisir n’importe quel mot de passe, car certains risques ont été identifiés :

  • Le risque qu’un attaquant teste toutes les possibilités pour trouver le bon mot de passe ;
  • Le risque qu’un attaquant utilise une liste de mots connus, comme ceux du dictionnaire, ou ceux contenus dans une base de données de mots de passe issue d’un système défaillant ;
  • Le risque qu’un attaquant devine le mot de passe en utilisant des références personnelles de la personne, comme le nom de son animal de compagnie ou sa date de naissance.

Ces risques ont une forte probabilité de se produire. On recommande donc d’utiliser un mot de passe long, composé de caractères différents, peu prévisible et unique pour éviter qu’ils ne se produisent.

Le problème avec de tels mots de passe compliqués est qu’ils ne sont pas facilement mémorisables. Cela devient même impossible, si on prend en compte le fait qu’un internaute moyen utilise des dizaines de comptes différents par jour : les boîtes e-mails, les réseaux sociaux, les sites d’e-commerce, les démarches administratives, etc.

Certains vont vous faire croire que la solution est de ne pas utiliser un mot de passe, mais une passphrase, c’est-à-dire une phrase à retenir ayant une signification particulière comme JeNeSuisPasUnHér0, en pensant que vous aurez une meilleure capacité à les retenir. Ne les écoutez pas. J’aimerais bien d’ailleurs rencontrer ces personnes qui conseillent aux internautes ce genre de tour de passe-passe pour savoir si eux-mêmes sont capables d’appliquer les conseils qu’ils prodiguent aux autres.

La vérité est qu’un bon mot de passe est forcément un mot de passe que vous ne pouvez retenir. Vous n’avez donc pas d’autre choix que de le noter, d’une façon ou d’une autre.

Les risques physiques et les risques virtuels

Sur le Web, contrairement à un logement physique, un attaquant peut tenter de s’introduire dans notre appareil même s’il est situé à l’autre bout du monde, car Internet fait en sorte que tout le monde puisse communiquer avec tous les appareils du réseau, pour le meilleur comme pour le pire. Cela veut dire que la menace peut venir aussi bien de votre voisin, que d’un Chinois au fin fond de l’Asie. Il y a donc plus de personnes en mesure de rentrer dans votre appareil informatique qu’il y a de personnes en mesure de rentrer dans votre logement, car pour votre logement, il est nécessaire d’être physiquement présent, ce qui limite déjà grandement les risques.

Si vous possédez un document confidentiel, vous avez donc moins de risque à le conserver physiquement chez vous que de le conserver électroniquement sur votre appareil connecté à Internet.

Cela est d’autant plus vrai que vos compétences en sécurité physique sont probablement meilleures que vos compétences en sécurité informatique. Vous savez sans doute bien utiliser un cadenas, une clé, une alarme, un coffre-fort ou une porte blindée, mais vous ne savez probablement pas utiliser un firewall, une clé de sécurité, un VPN ni comment configurer les milliers d’options de Windows.

Même avec des compétences plus avancées en informatique, il reste plus sûr et plus facile de sécuriser un objet physique que des données informatiques. C’est d’ailleurs pour cette raison que les services de renseignement américain conservent leurs documents les plus confidentiels sous forme papier, et pas sous forme numérique :

« Nos secrets les plus sensibles, nous ne les stockons pas sous forme numérique, mais sous forme papier, dans un coffre-fort, dans une pièce fermée à clé accessible seulement par quelques personnes, car les cyber-menaces sont trop importantes. »

— Michael Morell, Ex-Directeur-Adjoint de la CIA, a16z Podcast, For Your Ears Only, 2017, traduit de l’anglais1.

Le fait de stocker physiquement des documents n’a pas que des avantages. Il est, par exemple, compliqué d’y accéder, car il faut être physiquement présent, et il n’est pas facile de les partager avec d’autres personnes, mais la sécurité passe parfois avant tout.

Quel risque à noter votre mot de passe ?

Si la CIA conserve ses secrets sous un document papier, peut-être devriez vous faire de même avec vos mots de passe, et les écrire sur une feuille de papier.

En écrivant votre mot de passe sur un Post-it et en le collant sur son écran, le seul risque que vous prenez est celui d’un attaquant qui entrerait physiquement chez vous, ce qui exclut les milliards d’internautes connectés à Internet qui n’ont probablement pas la motivation ni les moyens de parcourir des milliers de kilomètres.

Bien sûr, certaines personnes ont la possibilité de s’introduire dans votre logement, comme celles vivant sous le même toit ou les amis de passage, mais le risque n’est pas là. En notant son mot de passe et en le collant sur son écran, on cherche à se protéger contre un attaquant inconnu du Web qui vivrait à l’autre bout de la planète, pas à se protéger contre sa femme ou ses enfants. Si vous avez un doute sur la fiabilité de votre entourage, vous avez probablement des problèmes bien plus graves que l’accès à l’un de vos comptes. Vous devriez, par exemple, considérer votre carte bancaire comme compromise, tout comme l’ensemble de vos documents et de vos appareils et la totalité de vos communications.

Le fait de mettre ses mots de passe par écrit n’a pas que des avantages. Cela implique notamment la nécessité de transporter un document papier, si on souhaite se connecter autre part que chez soi, et cela nécessite aussi de recopier ses mots de passe chaque fois que l’on souhaite se connecter.

Une alternative, plus pratique, consiste à noter ses mots de passe dans un document électronique sur l’un de ces appareils, ou d’utiliser des outils adaptés comme des gestionnaires de mots de passe. Pour connaître votre mot de passe, un attaquant devrait alors trouver un moyen d’accéder à la machine, soit physiquement, soit par le réseau Internet, mais si cela arrivait, il aurait la capacité de connaitre votre mot de passe dans tous les cas, qu’il soit noté ou pas, car il aurait, entre autres, la possibilité d’installer un logiciel espion qui enregistrerait les frappes de vos claviers et n’aurait donc aucun problème à l’enregistrer la première fois que vous le saisissez.

Sécuriser l’accès à ses appareils

Que vous notiez ou pas votre mot de passe par écrit ou dans un document électronique sur votre appareil, l’accès physique et logique à votre appareil doit rester la priorité. Des mesures doivent être prises en fonction des risques auxquels vous faites face. Si vous considérez que la probabilité qu’une personne malintentionnée puisse entrer dans la pièce où se trouve votre appareil, vous devriez probablement y mettre un verrou.

La NSA, organisme américain de renseignement, pense par exemple que c’est un risque réel. Non seulement ils chiffrent le contenu de leurs disques, mais ils les retirent tous les soirs des appareils de leur ambassade pour les stocker dans un coffre-fort, dans l’éventualité où un attaquant entrerait physiquement dans leurs locaux, malgré les mesures de sécurité prises par ailleurs :

« À [l’ambassade US de] Genève, nous devions extraire les disques durs des ordinateurs chaque nuit et les mettre dans un coffre-fort. Ces disques étaient en plus chiffrés. »

— Edward Snowden, Permanent Record, traduit de l’anglais2.

Vous n’êtes probablement pas la NSA et vos secrets ne sont probablement pas enviés par l’ensemble de la planète. Vous pouvez donc, peut-être, ignorer le risque que quelqu’un s’introduise physiquement dans votre logement et dérobe votre matériel. Cela ne veut pas dire que ça n’arrivera jamais, mais que la probabilité que cela arrive n’est pas assez grande pour justifier une mesure de protection, et même si cela arrivait, votre problématique serait probablement de savoir si votre assurance rembourse votre appareil ou pas, plutôt que de savoir si son contenu fera la une des journaux.

Nos ministères devraient, par contre, prendre ce risque au sérieux, car ce risque semble non négligeable au vu de certains événements récents :

« Marlène Schiappa [ministre déléguée auprès du ministre de l’Intérieur (sic)] a déposé plainte contre X mercredi 2 juin après la disparition d’un disque dur dans "un ordinateur professionnel" appartenant au ministère de l’Intérieur […]. Le vol a eu lieu "dans un bureau du ministère", a-t-on appris de même source. »

Même si la ministre a indiqué3 que le disque ne contenait « absolument aucune donnée importante », cela reste extrêmement préoccupant d’un point de vue de la sécurité.

Un problème identique est d’ailleurs intervenu4 lors de l’introduction de militants au Capitole, aux États-Unis, où des ordinateurs portables de personnes gouvernementales ont été volés.

L’accès physique aux équipements doit être la principale priorité pour assurer la protection et la confidentialité des données, car il n’y a absolument aucun intérêt à mettre des mesures de protection logicielle si un attaquant peut accéder physiquement aux locaux. Si une personne s’introduit physiquement, il peut non seulement copier et voler le contenu des appareils, mais il peut aussi déposer un appareil espion dans n’importe quel objet de la pièce pour connaître les futures communications.

Que faire de son mot de passe

La meilleure solution est donc d’écrire son mot de passe sur une feuille de papier, et de la conserver avec vos autres documents confidentiels, dans votre bureau ou votre portefeuille par exemple. Vous pouvez aussi les noter électroniquement dans un document ou dans un gestionnaire de mots de passe. Bien sûr, l’accès à votre portefeuille ou à votre machine doit être protégé.

Ces conseils ne font cependant pas l’unanimité, pour des raisons que j’ignore, même si quelques experts reconnus de la sécurité informatique se sont déjà exprimés en ce sens :

« L’industrie de la sécurité [informatique] a donné un mauvais conseil pendant 20 ans. Les entreprises ne devraient pas interdire à leurs employés d’écrire leurs mots de passe, car cela incite les gens à utiliser les mêmes mots sur plusieurs systèmes. »

— Jesper Johansson, Expert en sécurité informatique, (ex-)Microsoft, traduit de l’anglais5.

Un autre gourou de la sécurité a également indiqué qu’il était préférable de noter ses mots de passe :

« Les gens ne peuvent pas correctement se remémorer les mots de passe […] et sont beaucoup plus en sécurité s’ils choisissent d’écrire un mot de passe trop compliqué à retenir. Nous sommes tous doués pour sécuriser les petits bouts de papier. Je recommande aux gens de noter leurs mots de passe sur un petit bout de papier et de le conserver avec leurs autres petits papiers de valeur : dans leur portefeuille. »

— Bruce Schneier, Maître de conférences à Harvard Kennedy School, Membre au conseil d’Administration de l’EFF, traduit de l’anglais6.

Enfin, le National Cyber Security Centre (NCSC), organisme national de cybersécurité anglais, a également indiqué qu’il est préférable de noter un mot de passe robuste que de mémoriser un mot de passe faible, même s’il y a un risque que le lieu où est stocké le mot de passe soit découvert :

« Bien qu’il y ait un léger risque que les mots de passe soient découverts dans le lieu de stockage, ce risque est compensé par le fait que les utilisateurs ont la possibilité d’utiliser des mots de passe uniques et forts pour tous leurs comptes importants. »

Le plus important n’est probablement pas d’appliquer bêtement les conseils de telle ou telle personne, mais de bien analyser les risques pour les comprendre et apporter les bonnes réponses. Faites-vous votre propre avis en fonction de votre situation et faites vos propres conclusions.

Il est aussi important de rappeler que les mots de passe ne sont pas les seules méthodes d’authentification. D’autres facteurs d’authentification8 peuvent être utilisés comme les applications d’authentification9 ou les clés de sécurité, même si leur apport n’est pas sûr à 100 %, surtout si l’accès à l’appareil est compromis. Aucune solution n’est sûre à 100 % de toute manière.

MAJ du 28/05/2021 : Ajout de la citation de la NCSC.

Notes et références

  1. Michael Morall de la CIA à propos du stockage de documents sensibles : « For our most sensitive secrets, we don’t store it digitally, we store it on paper in a safe in a room with a lock on it, that only a handful of people can get access to. The cyberthreat is so serious, that we store it digitally. » (source : a16z Podcast, For Your Ears Only, 2017).
  2. Edward Snowden décrit que les disques des appareils électroniques étaient retirés chaque nuit : « In Geneva, we’d had to haul the hard drives out of the computer every night and lock them up in a safe - and what’s more, thos drives were encrypted. » (source : Permanent Record, Edward Snowden)
  3. Marlene Schiappa à propos de la perte de son disque dur : « Il s’agit du disque dur d’un ordinateur, mais ne contenant absolument aucune donnée importante. » (source).
  4. Un ordinateur portable de la porte-parole de la Chambre des Représentants, Nancy Pelosi, et du Sénateur démocrate, Jeff Merkley, ont été volés pendant l’attaque du Capitol (source).
  5. Jesper Johansson indique que les personnes devraient écrire leurs mots de passe : « Jesper Johansson says the security industry has been giving out the wrong advice on passwords for 20 years. Companies should not ban employees from writing down their passwords because such bans force people to use the same weak term on many systems, according to a Microsoft security guru. » (source).
  6. Bruce Schneier recommande d’écrire les mots de passe : « Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We’re all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet. » (source).
  7. Le NCSC indique par rapport au fait de noter les mots de passe : « While there is a small risk of passwords being discovered in the storage location, this is outweighed by the benefits of users being able to use unique and strong passwords across their important accounts. » (Source).
  8. Les mécanismes d’authentification sont présentés dans la vidéo « Comment renforcer la sécurité de vos accès et être mieux protégé face aux attaques ».
  9. Le fonctionnement des applications d’authentification est expliqué dans l’article « Les applications d’authentification pour améliorer la sécurité de vos comptes ».