Mots de passe : pourquoi les mauvaises pratiques ont la vie dure ?
La persistance des mauvaises pratiques entourant les mots de passe demeure un défi majeur en matière de sécurité numérique. Mais pourquoi donc ces habitudes sont-elles aussi tenaces ?
📈 Un besoin croissant de complexité pour les mots de passe
Avec les progrès techniques aujourd’hui à dispositions des « hackers », les exigences de complexité des mots de passe ont considérablement augmenté. Le célèbre tableau de l'entreprise américaine de cybersécurité Hive Systems pour l'année 2023 révèle en effet des évolutions significatives dans la rapidité de piratage des mots de passe.
La méthodologie derrière ce tableau repose sur le décryptage par la "force brute" (laquelle consiste à tenter toutes les combinaisons possibles de mots de passe jusqu'à trouver la bonne), en exploitant des failles de sécurité dans les bases de données mal sécurisées.
Les résultats montrent une accélération significative du piratage, à budget équivalent. En 2023, la location de processeurs plus performants à un coût inférieur permet au pirate de trouver un mot de passe 20 fois plus rapidement qu'en 2022 !
Ces attaques toujours plus sophistiquées nécessitent des défenses robustes, et impliquent donc la création de mots de passe toujours plus complexes.
Mais voilà, après formulation d’un tel constat, c’est à l’étape de la mise en œuvre que les choses se corsent...
🔒 Des authentifications. Des authentifications partout !
Dans une ère très numérisée, un défi supplémentaire apparaît : la multiplication des comptes en ligne. Pour chaque nouveau service, il est nécessaire de créer un nouveau mot de passe avec des exigences de longueur et de diversité de caractères différentes d’une plateforme à une autre.
Les conséquences d’une telle densité de mesures d’authentification ? Les utilisateurs doivent aujourd’hui apprendre à composer avec une multitude de codes d’accès.
On voit dès lors le problème émerger : comment gérer un tel travail de mémoire ?
🤔 Le choix de la facilité, ou le choix de la complexité ? Quelle différence ?
Face à cette prolifération de comptes, les utilisateurs se retrouvent face à un dilemme. « Dois-je générer un mot de passe compliqué et sécurisé, au risque de l’oublier et de perdre l’accès à mon compte, ou dois-je opter pour une solution plus facile, mais probablement plus vulnérable face aux acteurs malintentionnés du monde cyber ? »
Ces deux alternatives sont loin d’être idéales, d’autant qu’il existe de nombreuses dérives propres aux mots de passe. Peu d’entre-nous peuvent se vanter, par exemple, de n’avoir jamais noté quelque part un mot de passe complexe pour être sûr de ne pas le perdre, ou de ne jamais avoir utilisé le même mot de passe pour deux services différents… !
🤷️ Les mauvaises habitudes ont la vie dure :
- Les mots de passe les plus courants en 2023 🗺️ :
Une étude menée par NordPass révèle une liste des mots de passe les plus utilisés dans le monde. Le résultat est sans appel : les petites habitudes (et les petits mots de passe) ont la vie dure ! En France, par exemple, la palme revient au mot de passe « 123456 », utilisé par pas moins de 86 856 personnes.
Cette même étude met en avant une certaine tendance à la négligence des recommandations telles que l'utilisation de mots de passe robustes comportant divers caractères, ainsi que le risque d'utiliser le même mot de passe sur plusieurs comptes.
Or, l'utilisation de mots de passe peu complexes ou réutilisés accroît considérablement la vulnérabilité des comptes. Les hackers exploitent en priorité ces schémas prévisibles, compromettant la sécurité des utilisateurs.
- Le fléau des post-its ou mots de passe enregistrés 📝 :
Si générer un mot de passe long et robuste n’est pas forcément compliqué en soi, le retenir l’est beaucoup plus ! Pour cette raison, les utilisateurs sont parfois contraints de les enregistrer sur des supports facilement accessibles, susceptibles dès lors de tomber entre de mauvaises mains.
Etiquette dissimulée sous le clavier, répertoire à mot de passe entreposé dans un tiroir, ou pire encore, post-it collé à l’écran de l’ordinateur, sont des pratiques plus courantes qu'on pourrait le penser !
Une technique similaire est l’enregistrement des mots de passe directement sur son navigateur internet. Si l’ordinateur utilisé n’est pas suffisamment protégé, une personne peut alors facilement accéder au gestionnaire de mots de passe.
Dans cette hypothèse, la robustesse du mot de passe importe peu, dès lors qu’il suffit à une personne de mettre la main sur le bon support pour accéder au mot de passe exact.
- Dans les deux cas : des mots de passe trop personnels 🙊 :
Au-delà de la technique, il est parfois aisé de deviner certains mots de passe avec un peu de psychologie, et d’ingénierie sociale. En effet, quoi de mieux que de piocher dans des éléments de sa vie personnelle pour la création d’un mot de passe original, et facile à retenir ?
Malheureusement, si utiliser des informations personnelles telles que le nom, la date de naissance ou d'autres données facilement accessibles comme base pour créer un mot de passe peut sembler être une bonne idée, cela présente un risque majeur. Ces informations sont souvent connues ou facilement découvrables par des tiers malintentionnés.
Il en va de même pour des éléments personnels tenant davantage aux goûts de l’utilisateur. A ce sujet, l’étude précitée menée par NordPass montre que des influences culturelles, telles que des références à des films et séries, affectent également les choix de mots de passe (par exemple, le mot de passe « Joker », en vogue après la sortie du film Batman !).
🛡️ Mais alors, quelles solutions pour continuer l’emploi du mot de passe ?
Il n’existe malheureusement pas de remède miracle pour un mot de passe absolument infaillible. Néanmoins, de bonnes pratiques peuvent sérieusement compliquer la tâche des pirates informatiques, et les dissuader de s’en prendre à vous. Voici les recommandations formulées par la CNIL :
Pour le choix de votre mot de passe 💭 :
- Choisissez un mot de passe suffisamment robuste. Contenant par exemple 12 caractères, de 4 types différents, tels que des minuscules, des majuscules, des chiffres ou des caractères spéciaux
- Qui ne laisse rien transparaître de votre identité (n’y incluez donc pas d’information personnelle !)
- Différent pour chaque compte (même s’il y en a beaucoup ; au moins pour les comptes présentant un aspect particulièrement sensible, tels que votre boîte mail, ou votre banque !)
Pour la partie « mémorisation » de votre mot de passe 🧠 :
- N’inscrivez jamais votre mot de passe sur un support facilement accessible par un tiers !
- Vous pouvez faire travailler votre mémoire en utilisant une technique recommandée par la CNIL au moment de la génération de votre mot de passe :
Mémorisez une phrase puis utilisez la première lettre de chaque mot pour créer votre mot de passe. Arrangez-vous pour que la phrase contienne des chiffres et des caractères spéciaux.
- Vous pouvez également jouer la sécurité, et utiliser un gestionnaire de mot de passe. Vous n’aurez alors besoin de retenir qu’un seul mot de passe, lequel vous donnera accès à une base de données sécurisée dans laquelle vous pourrez conserver vos codes d’accès.
- Attention cependant à ne pas perdre votre mot de passe principal ! Autrement, vous perdrez accès à l’intégralité de vos mots de passe.
- Voici trois exemples de gestionnaires de mots de passe recommandés par la CNIL :
Article rédigé par Ninon Maire le 30/11/2023
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
