Cet article fait partie des archives en ligne du HuffPost Québec, qui a fermé ses portes en 2021.

Craquer les mots de passe: un jeu d'enfants

Tous les mots de passe peuvent être déchiffrés, et relativement facilement. Certaines bonnes pratiques permettent de diminuer les risques, mais elles ne mettent aucun mot de passe à l'abri. Partant de là, les mots de passe constituent-ils malgré tout une solution acceptable et compatible avec les exigences de protection des identités et des données?
This post was published on the now-closed HuffPost Contributor platform. Contributors control their own work and posted freely to our site. If you need to flag this entry as abusive, send us an email.

Au mois de mars dernier, la rédaction du magazine américain Ars Technica a fait une expérience plutôt édifiante. Une liste de 16 000 mots de passe encryptés a été confiée au rédacteur en chef de la publication, Nate Anderson, puis à trois experts du "cracking". Après quelques heures de travail, Nate Anderson, pourtant inexpérimenté en la matière, est parvenu à déchiffrer près de la moitié des 16 000 mots de passe. Parmi les trois "crackers" expérimentés, l'un a déchiffré 82 % des mots de passe de la liste en moins d'une heure, tandis qu'un autre est parvenu à casser 90 % d'entre eux en une vingtaine d'heures. En y consacrant un peu plus de temps, la liste complète aurait été déchiffrée.

La conclusion de cette expérience est claire: tous les mots de passe peuvent être déchiffrés, et relativement facilement. Certaines bonnes pratiques permettent de diminuer les risques, mais elles ne mettent aucun mot de passe à l'abri. Partant de là, les mots de passe constituent-ils malgré tout une solution acceptable et compatible avec les exigences de protection des identités et des données?

Mots de passe: est-ce une question d'usage?

Entre autres bouleversements, la révolution du numérique a créé une démarche nouvelle que nous accomplissons presque tous les jours, quand ce n'est pas plusieurs fois par jour: nous identifier et nous authentifier pour accéder à nos comptes et applications en ligne.

Les capacités de stockage, les vitesses de téléchargement et la multiplication des points de connexion -mis à la portée de tous via le cloud- permettent au phénomène de s'accélérer et de toucher de plus en plus d'aspects de notre quotidien privé et professionnel. En quelques années à peine, nous faisons déjà énormément de choses en ligne: accéder à son compte bancaire, payer ses impôts, faire son shopping et payer ses achats, partager des photos, mais aussi accéder à sa messagerie professionnelle, utiliser une application métier ou se connecter à l'intranet de l'entreprise pour gérer ses vacances. Demain, d'autres projets actuellement en test deviendront à leur tour la norme, comme par exemple suivre sa consommation de gaz et d'électricité, gérer la relation élèves-enseignants-parents d'élèves via les ENT (Espaces numériques de travail) ou encore gérer son dossier médical.

Mais, avec cette transformation des usages, est née une problématique qui n'existait pas auparavant. Celle des mots de passe. Ou, plus exactement, des combinaisons identifiant /mot de passe. Non seulement il faut en créer de plus en plus, mais il faut également les choisir de telle sorte qu'elles ne seront faciles ni à deviner ni à déchiffrer. Et, bien sûr, il faut les mémoriser.

Malheureusement, c'est précisément ce qui rend un mot de passe facile à mémoriser qui le rend facile à craquer. Quelles sont les recommandations connues aujourd'hui?

La tentation de la facilité

Tout a été écrit sur les mots de passe trop simples à mémoriser et, donc, à déduire. Faire le choix du prénom de son conjoint ou de la date de naissance de ses enfants est aussi prudent que de laisser la porte d'entrée de son appartement grande ouverte. Surtout à l'heure où il est relativement facile de récupérer un certain nombre d'informations liées à une personne sur les réseaux sociaux et sur le web en général.

Jouer sur la complexité

Plus il y a de caractères différents, plus il y a de combinaisons possibles, et donc moins de probabilités de deviner le mot de passe. Il est ainsi conseillé d'utiliser à la fois des lettres, des chiffres et des caractères spéciaux. L'utilisation des majuscules augmente encore le nombre de possibilités.

Jouer sur la longueur

La longueur d'un mot de passe est un élément sous-estimé pour bénéficier d'un niveau de sécurité plus élevé. Elle représente un facteur important qui influence directement la résistance des mots de passe face aux tentatives de déchiffrage, même si elle ne les immunise pas. C'est pour cette raison que certains sites ou applications demandent un minimum de 8 caractères ou plus.

Il existe donc certaines astuces et conseils que chacun peut appliquer pour renforcer le niveau de sécurité des mots de passe. Ces différents moyens simples, mais certes efficaces permettent de réduire le risque. Plus exactement, leur mise en application permet de ne pas être en première ligne si un site ou une entreprise est victime d'une fuite de données, qu'elle soit frauduleuse ou accidentelle.

Mais ces principes ne rendent pas les mots de passe inviolables, loin s'en faut. Si un non-initié est capable de craquer plusieurs milliers de mots de passe en quelques heures, imaginez ce que peut faire un expert avec les bons outils. C'est ce que montre l'expérience menée par Ars Technica: la très grande majorité des mots de passe peuvent être déchiffrés en quelques heures, et cela est virtuellement à la portée de n'importe qui. En réalité, la protection offerte par les mots de passe est bien mince, et déployer des efforts d'imagination pour constituer les plus complexes n'y change malheureusement pas grand-chose. Rappelons qu'Ars Technica a réalisé son test sur une liste de plus de 16 000 mots de passe encryptés avec la fonction MD5, c'est-à-dire l'une des plus communément utilisées.

Faut-il persévérer avec les mots de passe?

Inutile de préciser que la tendance est à la dématérialisation des procédures et des échanges, qu'il s'agisse de données, de biens ou d'argent. Les projets de modernisation des États sont à l'œuvre partout, le commerce électronique croît de 20% chaque année, et le développement des paiements électroniques stimule la croissance de nombreux secteurs d'activité.

Il n'est pas difficile de se projeter et de savoir que nous allons utiliser de plus en plus de services en ligne, pour de plus en plus de choses. Chacun de ces services nécessitant de s'authentifier, il est évident que nous allons devoir créer et mémoriser de plus en plus de mots de passe. Et, si nous tenons à un minimum de protection, de plus en plus de mots de passe longs et complexes. Pour l'utilisateur, cela deviendra forcément ingérable à un moment ou un autre.

Or, plus les intérêts sont grands et nombreux, plus on se doit protéger le consommateur ou l'entreprise. Plus on veut favoriser la dématérialisation des actes quotidiens, plus la protection de l'identité et des données est centrale.

Même si les bonnes pratiques que nous avons évoquées restent des conseils pertinents et valables, les imperfections des mots de passe - leur vulnérabilité et les limites de l'utilisateur en termes de capacités de mémorisation - sont trop importantes. Les mots de passe, dans leur forme actuelle d'utilisation, peuvent difficilement se concevoir comme une solution fiable et acceptable sur le long terme. Ils sont trop faciles à casser et, si cela était nécessaire, il suffit d'observer la croissance préoccupante des cas d'usurpation d'identité numérique pour prendre la mesure du risque que nous prenons virtuellement chaque jour.

En fait, il existerait bien une solution pour garantir un niveau de protection maximum à un mot de passe: le changer à chaque connexion. Naturellement, cela n'est pas très réaliste à l'usage.

Le salut est dans le téléphone intelligent

Si l'époque est à la "consumérisation des usages" (les usages technologiques privés influencent et orientent les usages professionnels), la relation n'est pas à sens unique. Comme souvent, certaines innovations issues du secteur professionnel finissent par se démocratiser et devenir la norme dans la sphère privée. En sera-t-il ainsi concernant la manière dont nous nous authentifions en ligne?

En matière de sécurité numérique et d'authentification, les secteurs professionnels les plus sensibles (notamment le secteur bancaire) utilisent depuis longtemps l'authentification forte et les mots de passe dynamiques. Il s'agit de mots de passe générés à la demande, et utilisables uniquement pour une opération précise et pendant un laps de temps limité. Ce principe de l'usage unique est l'un des meilleurs facteurs de protection et le garant de la sécurité des données, y compris en cas de fuite ou de vol de fichiers. Si un de vos mots de passe tombe entre les mains d'un hacker, peu importe puisqu'il ne servira plus à rien. La clé, c'est l'usage unique.

Jusqu'à présent, cette technologie était difficilement transposable dans le privé, car elle nécessite de posséder un petit terminal permettant de générer un mot de passe à usage unique et de l'afficher. Trop spécifique, trop contraignant. Mais le consommateur a changé, et il a désormais toujours avec lui un terminal particulièrement puissant et polyvalent: son téléphone intelligent. Cela change tout. Et cela permet de transposer les technologies d'authentification forte et de mots de passe dynamiques chez les consommateurs.

Certaines solutions vont même plus loin en permettant de s'authentifier en scannant un QR code à l'aide de son téléphone intelligent, renforçant encore le niveau de sécurité et la facilité d'utilisation. C'est ce dernier aspect qui va permettre de généraliser l'usage des mots de passe à usage unique: la facilité d'utilisation et l'adoption des consommateurs. Ces derniers ont déjà adopté le geste du QR code pour bien des choses. Il n'y a qu'un pas pour en faire la procédure d'authentification de nouvelle génération.

VOIR AUSSI SUR LE HUFFPOST

Avoir un mot de passe "fort"

8 astuces pour sécuriser sa vie privée en ligne

Close
Cet article fait partie des archives en ligne du HuffPost Canada, qui ont fermé en 2021. Si vous avez des questions ou des préoccupations, veuillez consulter notre FAQ ou contacter support@huffpost.com.