Mots de passe, encore et à jamais

Cette affirmation est en effet étonnante, déjà du simple point de vue mathématique. En effet la combinatoire du second (8 puissance 94) est largement supérieure à celle du premier (60 000 puissance 3) – on pourra certes objecter que la langue française comporte 100 000 mots selon les dictionnaires, mais l’idée est là.

D’autre part, la quasi-totalité des publications sur le sujet conseillent exactement l’inverse : une passphrase (les premières lettres de chaque mot d’une longue phrase) ou un mot de passe carrément aléatoire (tel que proposé par des outils spécialisés tel KeePass, voire les générateurs automatiques intégrés à certains OS – pour lesquels, soit dit en passant, je n’ai jamais vu d’audit de code) sont bien plus efficaces.

La fin de la publication donne une indication sur la raison de ce positionnement. D’une part, le NCSC estime, à tort ou à raison, que la capacité à retenir un mot de passe (et surtout des dizaines, comme c’est le cas pour chacun de nous) est essentielle dans la sécurité puisque l’utilisateur lambda finira par choisir des mots de passe simples à retenir, excluant donc de facto ceux qui sont aléatoires. D’autre part, les mauvaises langues prétendront certainement qu’en conseillant des mots de passe faciles à cracker, les agences gouvernementales pourront plus facilement espionner leurs citoyens – comme si c’était le genre de nos démocraties irréprochables !

Étonnamment, Microsoft qui ferraille depuis des années pour supprimer également les mots de passe (on se demande bien du reste en quoi c’est leur problème) a récemment prétendu avoir une idée géniale basée sur un concept révolutionnaire : il est plus courant de perdre ses mots de passe que ses clés de maison, autant faire confiance à une clé physique (un dongle, un truc du genre YubiKey ou autre). On se frotte les yeux et les oreilles devant un tel niveau d’aberration : pour en revenir aux bases du sujet (que le gars de Micromou ne semble pas connaître), il propose de supprimer le mécanisme « ce que je sais » par « ce que je possède » (le troisième étant « ce que je suis », à savoir la biométrie). Outre le fait que je ne connais aucune étude prouvant que la possession est plus sûre que la connaissance (et il faudrait d’ailleurs se mettre d’accord sur la matrice des risques et des contrôles, bon courage), j’ai plus souvent eu des problèmes de clés USB HS que de clés de maison HS. En ce sens, confier son média d’authentification à un support physique qui peut être corrompu et que l’on ne peut sauvegarder, non merci !

Soyons sérieux : la fin des mots de passe n’est pas pour demain. On peut penser aux empreintes digitales, au timbre de la voix, à la forme des oreilles (authentique), aux battements du cœur et à toutes les joyeusetés habituelles ou inhabituelles, il restera toujours le cas où le média est altéré (coupez-vous ou brûlez-vous le bout du doigt, ça va être juste plus compliqué d’accéder à vos comptes bancaires), perdu, compromis, etc. : il ne vous restera que le bon vieux mot de passe pour les opérations de recouvrement.

Le sujet des mots de passe est hautement complexe. Le risque n’est pas seulement de les perdre, mais aussi de se les faire chiper par ruse, dérober par la force ou corrompre (au sens de perdre leur intégrité). Et comme il faut bien les sauvegarder, la sauvegarde est soumise à la même cartographie des risques. Bref, c’est pas de la tarte, et je ne saurais trop vous renvoyer à l’opus 1 des guides de cyberrésilience de l’Apssis, dédié à la question complexe des mots de passe, qui est toujours disponible ici : 

Bons mots de passe.

[1]