Sécurité : pourquoi la multiplication des mots de passe pose problème

Chaque internaute a en moyenne plus de 20 comptes accessibles par ce procédé, un casse-tête au quotidien.
Les difficultés d’eBay ont mis en lumière la vulnérabilité des mots de passe, un frein au développement du numérique.

Shutterstock

La semaine dernière, eBay avouait avoir été massivement piraté et recommandait à ses 145 millions de clients de changer le mot de passe de leur compte. Simple mesure de précaution, assurait le site d’enchères afin de calmer les inquiétudes. Mais le cas n’est pas isolé. Plus ­discrètement, Twitter, LinkedIn, Hotmail et toutes les grandes ­plates-formes du Web ont un jour demandé à leurs membres de ­changer leurs mots de passe.

Notre vie en ligne tient souvent à ce fragile assemblage de lettres et de chiffres, difficile à retenir, mais facile à voler. Il y a dix ans déjà, on se creusait la tête pour trouver une alternative à ce système d’authen­tification. Aujourd’hui, non seulement le procédé n’a pas disparu, mais il a proliféré. Selon une étude de F-Secure, 58 % des internautes ont plus de 20 comptes protégés par un mot de passe et un tiers possèdent entre 11 et 20 mots de passe différents. Un véritable casse-tête numérique. « Cela fait plusieurs années que le système atteint sa limite », témoigne Gérome Billois, expert en cybersécurité chez Solucom. Même en entreprise, où il existe des systèmes d’accès plus évolués, « il est encore rare d’avoir moins de trois mots de passe », assure Loïc Guezo, directeur de la stratégie Europe de Trend Micro.

Un verrou si fragile

« Les mots de passe, cela marchait quand la puissance informatique ne permettait pas de les décoder aussi facilement », témoigne Olivier Piou, PDG de Gemalto. Pour craquer un code, un pirate peut utiliser « des annuaires de mots, comme les prénoms par exemple, très utilisés comme mots de passe », complète Loïc Guezo. Ou bien choisir la « force brute », méthode qui consiste à faire défiler toutes les combinaisons possibles. Cela peut prendre quelques minutes ou plusieurs jours, selon la longueur et le degré de complexité du mot à décoder.

Problème  : pour se simplifier la vie, l’internaute a tendance à utiliser des codes d’accès simples, toujours les mêmes, une pratique qui abaisse d’autant le niveau de sécurité. Du coup, en volant une seule base, le pirate peut accéder à plusieurs services. Sur le marché noir, une ligne client, comprenant login, mot de passe… se revend entre 50 centimes et 2 euros. Parmi les escroqueries les plus fréquentes, les pirates détournent des messageries électroniques pour obtenir du carnet de contacts un « prêt » ou une « avance de frais ».

Les initiatives ne manquent pas pour tenter d’enrayer le fléau. La Commission nationale de l’informatique et des libertés (CNIL) a publié un guide de bonnes pratiques. Ses conseils : se doter de mots de passe longs, avec majuscules, minuscules et caractères spéciaux, et en changer régulièrement. La règle n’est pas absolue. « Il faut ­proportionner le mot de passe en fonction du risque. L’internaute peut faire appel à une phrase mnémo­technique », tempère Matthieu Grall, directeur informatique de la CNIL, qui recommande d’adopter des codes complexes pour les sites les plus sensibles. Pour éviter les trous de mémoire, l’internaute peut stocker ses mots de passe dans un coffre-fort électronique, comme Keepass, un outil gratuit estampillé par l’Agence nationale de la sécurité des systèmes d’information (l’Anssi). Mais les taux d’adoption de tels coffres sont faibles.

Le problème réside aussi dans la manière dont les sites sécurisent les bases de données regroupant les mots de passe qu’ils stockent. Même lorsque les données sont chiffrées (brouillées), la sécurité n’est pas garantie, le pirate pouvant parvenir à retrouver les clefs de déchiffrement.

Aujourd’hui, la méthode conseillée consiste à « hacher » les données, autrement dit à leur donner une « empreinte » unique, qui empêche de revenir en arrière et de retrouver le mot-clef. En clair, si l’internaute perd son code, le site ne peut le retrouver et doit lui imposer d’en enregistrer un nouveau. Là aussi, la technique est loin d’être, à ce stade, généralisée.

Sandrine Cassini