Publicité en cours de chargement...

Publicité en cours de chargement...

Mots de passe, encore et à jamais

04 oct. 2021 - 17:07,
Tribune - Cédric Cartau
Dans une étude étonnante[1], l’agence britannique National Cyber Security Centre (NCSC) affirme que le mot de passe « Chat-tarte-feuille » est bien plus sûr que « xOsMw$34 ».    

Cette affirmation est en effet étonnante, déjà du simple point de vue mathématique. En effet la combinatoire du second (8 puissance 94) est largement supérieure à celle du premier (60 000 puissance 3) – on pourra certes objecter que la langue française comporte 100 000 mots selon les dictionnaires, mais l’idée est là.

D’autre part, la quasi-totalité des publications sur le sujet conseillent exactement l’inverse : une passphrase (les premières lettres de chaque mot d’une longue phrase) ou un mot de passe carrément aléatoire (tel que proposé par des outils spécialisés tel KeePass, voire les générateurs automatiques intégrés à certains OS – pour lesquels, soit dit en passant, je n’ai jamais vu d’audit de code) sont bien plus efficaces.

La fin de la publication donne une indication sur la raison de ce positionnement. D’une part, le NCSC estime, à tort ou à raison, que la capacité à retenir un mot de passe (et surtout des dizaines, comme c’est le cas pour chacun de nous) est essentielle dans la sécurité puisque l’utilisateur lambda finira par choisir des mots de passe simples à retenir, excluant donc de facto ceux qui sont aléatoires. D’autre part, les mauvaises langues prétendront certainement qu’en conseillant des mots de passe faciles à cracker, les agences gouvernementales pourront plus facilement espionner leurs citoyens – comme si c’était le genre de nos démocraties irréprochables !

Étonnamment, Microsoft qui ferraille depuis des années pour supprimer également les mots de passe (on se demande bien du reste en quoi c’est leur problème) a récemment prétendu avoir une idée géniale basée sur un concept révolutionnaire : il est plus courant de perdre ses mots de passe que ses clés de maison, autant faire confiance à une clé physique (un dongle, un truc du genre YubiKey ou autre). On se frotte les yeux et les oreilles devant un tel niveau d’aberration : pour en revenir aux bases du sujet (que le gars de Micromou ne semble pas connaître), il propose de supprimer le mécanisme « ce que je sais » par « ce que je possède » (le troisième étant « ce que je suis », à savoir la biométrie). Outre le fait que je ne connais aucune étude prouvant que la possession est plus sûre que la connaissance (et il faudrait d’ailleurs se mettre d’accord sur la matrice des risques et des contrôles, bon courage), j’ai plus souvent eu des problèmes de clés USB HS que de clés de maison HS. En ce sens, confier son média d’authentification à un support physique qui peut être corrompu et que l’on ne peut sauvegarder, non merci !

Soyons sérieux : la fin des mots de passe n’est pas pour demain. On peut penser aux empreintes digitales, au timbre de la voix, à la forme des oreilles (authentique), aux battements du cœur et à toutes les joyeusetés habituelles ou inhabituelles, il restera toujours le cas où le média est altéré (coupez-vous ou brûlez-vous le bout du doigt, ça va être juste plus compliqué d’accéder à vos comptes bancaires), perdu, compromis, etc. : il ne vous restera que le bon vieux mot de passe pour les opérations de recouvrement.

Le sujet des mots de passe est hautement complexe. Le risque n’est pas seulement de les perdre, mais aussi de se les faire chiper par ruse, dérober par la force ou corrompre (au sens de perdre leur intégrité). Et comme il faut bien les sauvegarder, la sauvegarde est soumise à la même cartographie des risques. Bref, c’est pas de la tarte, et je ne saurais trop vous renvoyer à l’opus 1 des guides de cyberrésilience de l’Apssis, dédié à la question complexe des mots de passe, qui est toujours disponible ici : 

Bons mots de passe.


[1]    

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.