Mots de passe : et si on se trompait depuis 14 ans ?
13
Août
Créer des mots de passe avec des lettres, des chiffres et des caractères spéciaux ne sert à rien. Et c’est l’inventeur du concept qui le dit.
Faites le test. Demandez à un proche s’il utilise des mots de passe élaborés pour son compte Facebook ou sa boîte mail. Sa réponse sera souvent affirmative. Et pour cause : la plupart des internautes recourent à des combinaisons complexes de lettres, de chiffres et de caractères spéciaux pour protéger leurs données.
Mais d’où vient cette idée d’utiliser des mots de passe comme « E7cb0/pe », « Pa$$wOrd » ou « Monkey1 ! » ?
Tout a commencé dans les années 2000 avec la publication d’un « guide » des bonnes pratiques à destination de l’administration américaine, comme le souligne le « Wall Street Journal », qui a retrouvé son auteur. L’occasion pour lui de raconter la genèse de ce projet et aussi d’avouer que tout était bidon…
Ni expérience, ni test
En 2003, Bill Burr, aujourd’hui à la retraite, est cadre supérieur à l’Institut national des normes et de la technologie (NIST), une agence fédérale américaine. L’ingénieur de formation planche sur l’amélioration de la sécurité des mots de passe des agences fédérales. Mais l’Américain ne dispose d’aucune donnée fiable pour travailler.
Pressé par sa direction, le chercheur rend quand même un rapport circonstancié, détaillant toutes les mesures à prendre pour s’assurer d’un maximum de sécurité lors de la création d’un mot de passe. Sur huit pages, le cadre de 58 ans, qui s’est inspiré d’un ouvrage écrit dans les « années 1980 », explique notamment qu’il faut changer « régulièrement » de mots de passe. « Tous les 90 jours », précise-t-il dans son rapport.
C’est également Bill Burr qui préconise de complexifier les mots de passe avec une variation de lettres, minuscule et majuscule, de numéros et de caractères spéciaux, point d’interrogation, d’exclamation, espaces… Sauf que toutes ses recommandations ne sont fondées sur rien.
Aucune expérience ni aucun test ne viennent les justifier. Comme il l’explique lui-même, les changements « réguliers » de mot de passe sont inutiles, d’autant plus que les utilisateurs optent souvent pour de simples modifications. Passer de « Pa55word ! 1 » à « Pa55word ! 2 », n’empêche pas les hackers de pénétrer un système, explique aujourd’hui Bill Burr.
L’une des publications les plus influentes
Pourtant, en moins de quinze ans, le petit « guide » du NIST est devenu une véritable Bible. Ses conseils ont fait le tour de la planète, et pas seulement dans les administrations publiques. Dans le cadre de leur politique de sécurité informatique, les entreprises du monde entier recourent à ces principes, comme le rappelle le « Wall Street Journal ».
Sans compter les dizaines, voire les centaines de millions d’utilisateurs qui protègent leurs données avec des mots de passe complexes. Des chiffres qui donnent d’ailleurs le tournis quand on sait que la population mondiale passe plus de « 1.300 ans par jour » à taper des mots de passe, selon le directeur de la recherche de Microsoft.
Un code abandonné
Cette gigantesque arnaque n’a été découverte que récemment. C’est à l’occasion de travaux pour la réédition du guide de Bill Burr que des membres du NIST ont confirmé leurs soupçons. Des travaux universitaires montraient depuis 2003 que les mots de passe avec plusieurs mots sont plus difficiles à déchiffrer que les mots de passe courts, complexes et sans réelle signification.
Pour lire l’intégralité de l’article depuis sa source, cliquez sur ce lien
