Pour trouver un mot de passe sûr, les chiffres ou les majuscules ne sont pas forcément utiles

Pour trouver un mot de passe sûr, les chiffres ou les majuscules ne sont pas forcément utiles

L’expert à l’origine des règles de sécurité utilisées par la plupart des sites est revenu sur ses recommandations, quinze ans après les avoir publiées.

Fini les mots de passe alambiqués et truffés de chiffres. L’expert américain des mots de passe «sûrs» revient sur les règles qu’il a lui-même édictées. Ancien employé du National Institute of Standards and Technology, l’agence gouvernementale en charge de l’édiction des normes dans les technologies, Bill Burr a établi en 2003 une liste de préconisations pour protéger ses comptes en ligne. Parmi ses recommandations, l’utilisation de caractères spéciaux, de majuscules et de nombres, ainsi qu’une mise à jour régulière des mots de passe, pour ralentir le travail des hackers. Le document est par la suite devenu une référence en la matière. À la clé, des mots de passe complexes, parfois sans logique et difficiles à mémoriser.

Ces règles seraient aujourd’hui obsolètes, estime désormais l’expert auprès duWall Street Journal . «Je regrette la plupart des choses que j’ai faites», a-t-il confié au média américain, reconnaissant avoir tiré l’essentiel de ses conseils d’un livre blanc des années 1980. Soit bien avant que le Web soit inventé. «Tout cela était probablement trop compliqué à comprendre pour le plus grand nombre et, à vrai dire, ce n’était pas forcément pertinent.»

NotreDamedeParis plutôt que N3v$r M1^d?

Les recommandations de Bill Burr visaient à empêcher des pirates de deviner les mots de passe de leurs victimes, en testant toutes les combinaisons possibles. Elles ont néanmoins eu un effet pervers. En standardisant la manière d’élaborer un mot de passe, elles ont créé de mauvaises habitudes chez de nombreuses personnes. Notamment celle de mettre une majuscule au début ou un chiffre à la fin. Autant de pratiques ques les pirates ont intégrées à leurs algorithmes.

Le Web a bien évolué depuis 2003 et les fuites massives de données de LinkedIn, Tumblr ou encore MySpace ont donné du grain à moudre aux chercheurs. Un dernier rapport du NIST, en juin, préconise désormais l’utilisation de longues phrases, faciles à retenir, au détriment des mots de passe à chiffres et caractères spéciaux.

Le renouvellement d’un mot de passe n’est quant à lui recommandé qu’en cas de soupçon sur le fait qu’il ait été dérobé. L’an passé, une étude des services secrets britanniques avait démontré l’inutilité des mises à jour régulières des mots de passe en entreprise.

En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), recommande d’utiliser des mots de passe d’au moins douze caractères de types différents, en préconisant deux méthodes. La méthode phonétique, pour laquelle «J’ai acheté huit cd pour cent euros cet après-midi» deviendra ght8CD%E7am ; la méthode des premières lettres, pour laquelle la citation «Un tien vaut mieux que deux tu l’auras» donnera 1tvmQ2tl’A, selon deux exemples mentionnés sur le site de l’institution.

Les mots de passe subissent eux aussi des effets de mode. Fortement recommandés ces dernières années, les gestionnaires de mots de passe font désormais l’objet de débats récurrents dans le milieu de la sécurité informatique. Riches en données personnelles, ils constituent une cible de choix pour les hackers. Début juin, l’entreprise OneLogin, qui compte près de 2.000 entreprises clientes à travers le monde, a confirmé avoir été victime de piratage. En juin 2015, LastPass avait fait les frais d’une faille informatique, donnant accès à plusieurs informations de ses utilisateurs.