Les mots de passe: dépassés, mais tellement difficiles à remplacer

 | Paru dans Entreprise romande  | Auteur : Pierre Cormon
visuel visuel

Mat Honan, un journaliste spécialisé dans le web1, pensait être bien protégé: il utilisait des mots de passe solides et différents pour chaque usage. Si des programmes permettent de craquer facilement des mots de passes simples, comme des mots du dictionnaire, craquer ceux qui sont longs et aléatoires demande beaucoup de temps. Et pourtant, des hackers malveillants ont contourné le problème et ont détruit l’intégralité de sa vie numérique en moins d’une heure. Ils ont effacé des années de correspondance, tous ses documents, les photos de sa fille et ils ont usurpé son identité pour publier des tweets racistes.

Comment peut-on s’emparer d’une identité numérique bien protégée? Tout simplement en s’informant sur son détenteur. Lorsque vous avez perdu votre mot de passe, certains services de messagerie électronique vous en fournissent un nouveau, si vous donnez les bonnes réponses à des questions d’identification soumises lors de votre inscription: Quelle école avez-vous fréquenté? Dans quelle ville êtes-vous né? Quel est le nom de jeune fille de votre mère? etc.

Or, avec la migration progressive de notre vie en ligne, un petit malin peut trouver ces réponses, par exemple en épluchant votre profil Facebook. Il peut ainsi solliciter un nouveau mot de passe pour votre e-mail, répondre aux questions d’identification et entrer dans votre messagerie. Là, il peut regarder quels sont les services que vous utilisez et leur demander à leur tour de nouveaux mots de passe, qui seront envoyés à votre adresse e-mail. En quelques dizaines de minutes, il peut ainsi prendre le contrôle de votre vie numérique, même si elle semblait bien protégée.

Les besoins varient

Cela fait longtemps que le secteur cherche des solutions de remplacement à la vulnérabilité des mots de passe. Bill Gates annonçait leur mort en 2004 déjà. Depuis, différentes parades ont été mises au point. Il y a des solutions comme 1Password, qui génère des mots de passe aléatoires, les stocke de manière sécurisée et les restitue quand en cas de besoin. Il y a les solutions associant un mot de passe à une clé USB. Il y a le système Gmail: à chaque connexion depuis un poste inhabituel, il demande un mot de passe complémentaire, qu’il envoie sur le téléphone portable de l’utilisateur. Il y a des solutions, adoptées par les banques, qui combinent un mot de passe et une autre technique d’identification. Il y a la reconnaissance biométrique. Mais aucune de ces solutions n’a réussi à s’imposer à grande échelle.

Aucune d’entre elles n’est en effet à la fois facile d’usage, très sûre, bon marché et facile à réinitialiser en cas de problème. «Il n’y aura probablement jamais de solution de rechange générale, car les besoins varient d’une application à l’autre», remarque Jean-Pierre Hubaux, professeur à la faculté Informatique et communications de l’EPFL. "Si vous devez vous connecter à un site de e-banking, vous acceptez un certain nombre de contraintes. Vous serez d’accord d’utiliser une procédure plus lourde et moins souple que pour d’autres sites et, par exemple, de mettre un peu plus de temps pour vous authentifier. Mais vous ne l’accepterez pas s’il s’agit de se loguer sur un réseau social du type LinkedIn. Chaque application a besoin d’un système qui correspond à ses caractéristiques."

Les mots de passe devraient donc subsister au sein d’un ensemble, qui comprendra également d’autres techniques plus ou moins sécurisées selon les usages. En attendant, quelques précautions permettent de limiter les risques.



1Lire son passionnant article Kill the Password: Why a String of Characters Can’t Protect Us Anymore, disponible en ligne (taper le titre sur un moteur de recherche).


Découvrez d'autres articles

Elastos, l'internet du futur

Elastos, l'internet du futur

18 avril 2019 - Paru dans Entreprise romande

Google et Facebook, qui valent des centaines de milliards de dollars, nous vendent du vent sous une forme séduisante: le pouvoir de se connecter. Le bémol, c’est qu’aujourd’hui, les géants du web...

Lire plus
Internet des objets, un voile sur les étoiles

Internet des objets, un voile sur les étoiles

28 mars 2019 - Paru dans Entreprise romande

Pour chercher notre chemin, le plus simple a longtemps été de tourner nos yeux vers les étoiles. Les temps ont changé.

Lire plus
Vers des procédures douanières entièrement numérisées

Vers des procédures douanières entièrement numérisées

26 novembre 2018 - Paru dans Entreprise Romande

Le système informatique de l’Administration fédérale des douanes est obsolète. Les Chambres fédérales ont voté un crédit de 393 millions de francs pour le renouveler et poursuivre la numérisation...

Lire plus