Publicité en cours de chargement...

Publicité en cours de chargement...

Mots de passe, encore et à jamais

04 oct. 2021 - 17:07,
Tribune - Cédric Cartau
Dans une étude étonnante[1], l’agence britannique National Cyber Security Centre (NCSC) affirme que le mot de passe « Chat-tarte-feuille » est bien plus sûr que « xOsMw$34 ».    

Cette affirmation est en effet étonnante, déjà du simple point de vue mathématique. En effet la combinatoire du second (8 puissance 94) est largement supérieure à celle du premier (60 000 puissance 3) – on pourra certes objecter que la langue française comporte 100 000 mots selon les dictionnaires, mais l’idée est là.

D’autre part, la quasi-totalité des publications sur le sujet conseillent exactement l’inverse : une passphrase (les premières lettres de chaque mot d’une longue phrase) ou un mot de passe carrément aléatoire (tel que proposé par des outils spécialisés tel KeePass, voire les générateurs automatiques intégrés à certains OS – pour lesquels, soit dit en passant, je n’ai jamais vu d’audit de code) sont bien plus efficaces.

La fin de la publication donne une indication sur la raison de ce positionnement. D’une part, le NCSC estime, à tort ou à raison, que la capacité à retenir un mot de passe (et surtout des dizaines, comme c’est le cas pour chacun de nous) est essentielle dans la sécurité puisque l’utilisateur lambda finira par choisir des mots de passe simples à retenir, excluant donc de facto ceux qui sont aléatoires. D’autre part, les mauvaises langues prétendront certainement qu’en conseillant des mots de passe faciles à cracker, les agences gouvernementales pourront plus facilement espionner leurs citoyens – comme si c’était le genre de nos démocraties irréprochables !

Étonnamment, Microsoft qui ferraille depuis des années pour supprimer également les mots de passe (on se demande bien du reste en quoi c’est leur problème) a récemment prétendu avoir une idée géniale basée sur un concept révolutionnaire : il est plus courant de perdre ses mots de passe que ses clés de maison, autant faire confiance à une clé physique (un dongle, un truc du genre YubiKey ou autre). On se frotte les yeux et les oreilles devant un tel niveau d’aberration : pour en revenir aux bases du sujet (que le gars de Micromou ne semble pas connaître), il propose de supprimer le mécanisme « ce que je sais » par « ce que je possède » (le troisième étant « ce que je suis », à savoir la biométrie). Outre le fait que je ne connais aucune étude prouvant que la possession est plus sûre que la connaissance (et il faudrait d’ailleurs se mettre d’accord sur la matrice des risques et des contrôles, bon courage), j’ai plus souvent eu des problèmes de clés USB HS que de clés de maison HS. En ce sens, confier son média d’authentification à un support physique qui peut être corrompu et que l’on ne peut sauvegarder, non merci !

Soyons sérieux : la fin des mots de passe n’est pas pour demain. On peut penser aux empreintes digitales, au timbre de la voix, à la forme des oreilles (authentique), aux battements du cœur et à toutes les joyeusetés habituelles ou inhabituelles, il restera toujours le cas où le média est altéré (coupez-vous ou brûlez-vous le bout du doigt, ça va être juste plus compliqué d’accéder à vos comptes bancaires), perdu, compromis, etc. : il ne vous restera que le bon vieux mot de passe pour les opérations de recouvrement.

Le sujet des mots de passe est hautement complexe. Le risque n’est pas seulement de les perdre, mais aussi de se les faire chiper par ruse, dérober par la force ou corrompre (au sens de perdre leur intégrité). Et comme il faut bien les sauvegarder, la sauvegarde est soumise à la même cartographie des risques. Bref, c’est pas de la tarte, et je ne saurais trop vous renvoyer à l’opus 1 des guides de cyberrésilience de l’Apssis, dédié à la question complexe des mots de passe, qui est toujours disponible ici : 

Bons mots de passe.


[1]    

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.