Atlantico, c'est qui? c'est quoi ?
Dimanche 22 Avril 2018 | Créer un compte | Connexion
Extra

Eh non, changer fréquemment de mot de passe n’est pas du tout la meilleure idée pour protéger vos données personnelles

Contrairement aux idées reçues, selon l'étude de la responsable technologique Lorie Cranor de la Federal Trade Commission, changer fréquemment de mot de passe aurait l'effet inverse de celui escompté, augmentant ainsi le risque que quelqu'un accède aux informations qu'on souhaite protéger.

azertyuiop

Publié le
Eh non, changer fréquemment de mot de passe n’est pas du tout la meilleure idée pour protéger vos données personnelles

Atlantico :  Pourriez-vous expliquer pourquoi changer fréquemment de mot de passe facilite l'accès à nos données personnelles ?

Gilles  Dounès : En fait, il s'agit d'une "revue de questions" qui compile et synthétise les résultats de plusieurs études menées indépendamment, sur des problématiques bien précises.

C'est d'ailleurs ce balayage global qui lui permet de tirer des conclusions plus générales, et de proposer des recommandations. Les explications sont multiples, mais comme les administrateurs de terrain en font l'expérience quotidiennement, dans 90 % des cas, le problème se situe entre le clavier et le siège de l'utilisateur : c'est-à-dire le facteur humain de la problématique. Il faut tout de même souligner que l'étude est principalement consacrée aux tentatives d'effraction devant le poste, c'est-à-dire que l'attaquant n'est pas à distance en train de tenter de pénétrer sur le système par le réseau, mais qu'il est physiquement devant le clavier ou avec un accès au port USB du poste informatique, ce qui limite tout de même la probabilité générale d'une attaque même si celle-ci est de fait beaucoup plus dangereuse : l'attaquant dispose en théorie de beaucoup plus de temps devant lui pour réussir son effraction.

Cela pose également d'autres problèmes de sécurité : qu'est-ce que cette personne fait là, où elle ne devrait pas être ? Si l'on suit à la lettre les recommandations en matière de sécurité informatique, le mot de passe idéal contient au moins 6, voire 8 caractères, avec au moins 1, sinon plusieurs caractères de différentes catégories : minuscules, majuscules, chiffres, caractères spéciaux. En outre, il doit être plus ou moins facile à retenir par l'utilisateur – et de préférence plus que moins, puisqu'il ne sert à rien de le conserver sur un post-it à côté de l'écran. Pour couronner le tout, il doit être en outre changé fréquemment. Or, l'étude souligne que c'est là précisément que le bât blesse puisque pour un individu normalement constitué, le stock de mots de passe qui répondent aux trois premières catégories n'existe qu'en quantité limitée. En effet, l’empan mnésique, c'est-à-dire la quantité d'informations que l’humain peut garder à l'esprit en même temps, n'est que de 7 éléments en moyenne avec un écart en plus ou en moins de 2 éléments, en fonction des individus. On est ainsi au-delà des capacités moyennes de mémorisation d'un individu normal, raison pour laquelle celui-ci a fréquemment recours à un élément du champ lexical qui est signifiant pour lui : la date de naissance ou le nom de jeune fille de son épouse ou de sa maman pour caricaturer, en remplaçant éventuellement les voyelles par un chiffre visuellement approchant (zéro à la place du O majuscule, 4 à la place du A, etc.)

Dès lors, on voit bien pourquoi le problème se complique, à mesure que les mots de passe se multiplient en fonction des usages, professionnels et personnels, et lorsque l'on demande à l'utilisateur de les changer fréquemment. Pour résoudre cette problématique du stock limité, celui-ci est bien souvent contraint de faire varier le mot de passe à la marge, en faisant évoluer les dates par exemple, quand il n'est pas tenté de cumuler les usages professionnels et personnels avec un même mot de passe, ce qui est sans doute le pire des cas. Or, l'étude montre que plus des contraintes de sécurité sont vécues comme contraignantes justement, à rebours de l'adhésion de l'opérateur, plus les mots de passe que celui-ci fournit sont faibles et susceptibles d'être craqués. Ce qui est d'autant plus problématique que, une fois qu'un mot de passe a été découvert pour une raison ou pour une autre, le mot de passe qui va le remplacer va pouvoir être deviné assez rapidement, en utilisant des outils de permutation de caractères relativement simples.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par J'accuse - 24/04/2016 - 11:34 - Signaler un abus Vous voulez connaître mon mot de passe ?

    Pour moi, un bon mot de passe est indépendant de la personne et facile à retenir. J'ai donc choisi une suite de caractères arbitraires et sans rapport avec ma vie, mais bien mémorisée parce que je m'en sers tout le temps et partout, avec des variantes évidentes pour moi suivant le contexte. Connaître tout sur moi et mes proches ne permettra pas de le deviner, je n'ai pas besoin de le noter puisqu'il est bien dans ma tête (pas encore Alzheimer !), et bien sûr je ne le confie à personne. Je pourrais dire qu'il est biométrique sans technologie compliquée, puisqu'il est inscrit dans mes neurones, et aussi impossibles à reproduire contrairement aux empreintes digitales.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Gilles Dounès

Gilles Dounès a été directeur de la Rédaction du site MacPlus.net  jusqu’en mars 2015. Il intervient à présent régulièrement sur iWeek,  l'émission consacrée à l’écosystème Apple sur OUATCHtv  la chaîne TV dédiée à la High-Tech et aux Loisirs.

Il est le co-auteur avec Marc Geoffroy d’iPod Backstage, les coulisses d’un succès mondial, paru en 2005 aux Editions Dunod.

Voir la bio en entier

Je m'abonne
à partir de 4,90€