Cette semaine, Olivier Pavie, consultant et écrivain/journaliste dans les nouvelles technologies alerte sur les dangers d’une mauvaise stratégie de mots de passe (écoutez le podcast à la fin de cet article).
Le chef de la CIA s’est récemment fait pirater des informations classées secret défense, comment cela est-il possible ? C’est tout simple. Les utilisateurs d’Internet n’ont pas encore compris que la plus grande sécurisation sur Internet tient déjà dans le ou les mots de passe qu’on utilise : tout est dans la stratégie de mots de passe !
Selon le jeune pirate qui a pu accéder à ces secrets d’état, il n’aurait utilisé que de l’ingénierie sociale, c’est-à-dire qu’il se serait renseigné sur le directeur de la CIA, les dates de naissance de ses proches, les prénoms, etc. pour trouver le mot de passe de son compte email. Imaginez que ce brave directeur de la CIA dont le développement de l’acronyme signifie quand même Central Intelligence Agency, c’est-à-dire Agence centrale de l’intelligence, sous-entendu des Etats-Unis, s’est contenté d’utiliser un mot de passe basé sur des informations personnelles.
Les gens pensent que c’est plus simple à retenir, et passez-moi l’expression, ceux sont ceux qui ne pensent pas plus loin que le bout de leur nez. Est-ce qu’ils confient le code de leur compte bancaire en ligne à n’importe qui ? Est-ce qu’ils n’ont pas appris par cœur leur code de carte bancaire pour payer chez les commerçants ? Est-ce qu’ils montrent à tout le monde la combinaison de leur cadenas à code ou de la désactivation de leur système d’alarme ? Vous rendez-vous compte qu’en tant que consultant j’ai eu à expliquer à des patrons d’entreprise que l’on ne met pas le mot de passe de son compte sur un post-it sur le bord de son écran… et eux de me répondre : « oui mais il est trop compliqué » !!!
Il faut que tout le monde comprenne que toutes les meilleures solutions de sécurisation informatique ne serviront à rien tant qu’il y aura ce que j’appelle des irresponsables. Et même si le mot est fort, c’est une évidence. Pour vous dire, j’ai demandé des décharges écrites à certains clients pour qu’ils me disent qu’ils étaient conscients des risques encourus à ne pas utiliser des mots de passe sécurisés ou à utiliser des mots de passe que plusieurs personnes connaissaient dans leur entourage !!!
Alors que faire pour avoir un bon mot de passe ? Un bon moyen de créer un bon mot de passe est par exemple d’utiliser une combinaison de lettres minuscules et majuscules et d’y accoler un code de carte bleue que l’on n’utilise plus, et bien entendu, cette combinaison de lettres n’a aucun lien avec des personnages proches ayant existé dans votre vie, et surtout pas abcd, xyz ou autre suite de lettres très employée. Par ailleurs, il est impératif de ne pas confier ce mot de passe à qui que ce soit. Autre idée complémentaire, si vous avez bien mémorisé ce mot de passe « sérieux », rien ne vous empêche d’en imaginer quelques variantes : les variantes peuvent être très simples à retenir sur un mot de passe complexe.
Comment fait-on alors si on doit autoriser quelqu’un à utiliser son compte à un moment donné ? Cette personne va connaître votre mot de passe… Il y a des moments où il faut confier son mot de passe. Dans le monde de l’informatique professionnelle, il y a des serveurs qui vont autoriser des personnes à accéder à telle information ou telle autre avec son propre compte, il y a aussi la possibilité de déléguer. Dans le monde personnel, il n’y a généralement qu’un seul moyen d’accéder au compte, c’est avec le nom du compte ou le numéro de compte quand il s’agit d’une banque, et à partir de là, on y ajoute le mot de passe que vous seul connaissez.
La seule solution quand on ne peut pas déléguer des droits à un autre compte consiste à changer momentanément son propre mot de passe pour permettre à cette personne d’accéder au compte. C’est le minimum requis pour garder la confidentialité sur votre meilleur système de défense contre le piratage des données, l’usurpation d’identité, … j’en passe et des meilleures.