France

Les mots de passe vous tracassent ?

Le votre est-il sécurisé ?

La tyrannie des mots de passe ; elle colonise la vie moderne.

Ces petits dictateurs nous refusent l’accès à nos comptes bancaires, nos photos de bébé, nos contrats de téléphone, et même notre chauffage. Ils se reproduisent à l’infini comme des bactéries, et pourtant, comme les couvercles Tupperware, on ne trouve jamais celui dont on a besoin.

Nos mot de passe sont parfois, nos petits amis, nos petites amies, nos enfants, nos animaux de compagnie. Un hacker talentueux et motivé pourrait probablement trouver le vôtre dans le temps qu’il vous a fallu pour lire ce paragraphe.

La plupart du temps, le fait de ne pas pouvoir se souvenir de votre mot de passe est simplement irritant. Mais parfois, l’amnésie du mot de passe peut changer la vie. Après avoir rendu public son compte de perte de mot de passe pour une valeur d’environ 220 millions de dollars, le programmeur allemand Stefan Thomas, 33 ans, a déclenché une conversation sur les mots de passe, la perte et la façon dont on fait le deuil d’une fortune qu’on ne récupérera jamais.

Thomas avait trois copies de ses mots de passe bitcoin sauvegardées sur des disques durs et une clé USB, mais les deux premières versions ont échoué en raison de mises à jour logicielles, et la clé USB est protégée par un mot de passe. Si Thomas entre dix fois le mot de passe de manière incorrecte, les données sont effacées. Il lui reste deux tentatives, et il ne se souvient pas du mot de passe. Lorsque nous parlons, Thomas est remarquablement optimiste. “Il y a des jours où je lui en suis presque reconnaissant”, dit-il joyeusement.

“Il y a eu des semaines où je me suis couché dans mon lit, en regardant le plafond, complètement désespéré”, dit-il. “Je passais des heures à essayer de trouver des moyens de récupérer les données, je sautais, je courais vers mon ordinateur et j’essayais, mais ça ne marchait pas, alors je recommençais à regarder le plafond. Finalement, il a décidé : ça suffit. Il est sorti de son lit et s’est forgé une carrière dans la technologie, avant de fonder sa propre entreprise, Coil.

Tout le monde ne peut pas passer à autre chose après une telle perte. “Je me heurte à un mur de briques”, dit James Howells, la voix s’élevant. “Ils ne veulent même pas en parler avec moi ! Ce qui est tellement idiot, étant donné l’évaluation.” Il fait référence au conseil municipal de Newport, propriétaire et exploitant de la décharge dans laquelle il a accidentellement glissé un disque dur contenant la clé des bitcoins qu’il avait extraits en 2009.

Les bitcoins valent maintenant 210 millions de livres sterling, et le négociant en devises cryptographiques de 35 ans de Newport est si désespéré de les récupérer qu’il a offert 25 % de son butin, soit 50 millions de livres sterling, au conseil municipal de Newport. Le conseil a décliné l’offre de Howells à plusieurs reprises au cours des huit dernières années, en raison du coût.

Aussi gentiment que possible, je demande s’il ne serait pas préférable de laisser tomber ? “Je cherche simplement une occasion de rechercher ce qui m’appartient”, dit-il, l’air misérable. “Et je suis prêt à la partager. Mais il est difficile d’accepter qu’il soit parti sans avoir la possibilité de le chercher. Sachant que le disque dur est là, et qu’il y a encore une chance”.

Nous perdons des choses, nous oublions.

C’est dans notre nature, c’est ce qui nous rend humains. “L’art de perdre n’est pas difficile à maîtriser”. La vie est un continuel abandon à la perte. Certains s’en sortent mieux que d’autres. Nous perdons des vêtements, des livres, des sacs, des téléphones, des amis, de l’argent, des êtres chers, la mobilité et finalement, nous-mêmes. Et surtout, nous oublions nos mots de passe. Une personne moyenne a près de 80 mots de passe, dont elle ne se souvient pratiquement pas.

Les entreprises technologiques sont devenues les gardiennes de vastes tranches de données personnelles, qu’elles protègent pour nous et qu’elles exploitent à des fins lucratives. Une personne qui oublie le mot de passe de son album photos Google pendant de nombreuses années, puis achète un nouveau téléphone qui a fait cette chose miraculeuse que font souvent les nouveaux téléphones et qui a permis de se reconnecter à google si vous avez conservé la même adresse mail. Toute la vie de cette personne en 2013, préservée dans la toile. C’était bouleversant de réaliser que Google se souvient plus de sa vie, que lui-même.

Les mots de passe étant fastidieux, les humains sont très mauvais à cet égard. “Il y a littéralement des milliards de mots de passe violés chaque année”, déclare Gerald Beuchelt, du gestionnaire de mots de passe LastPass. “C’est une épidémie totale. Cela se produit tous les jours”. Un sondage Google/Harris de 2019 a révélé que 52 % des personnes réutilisent leurs mots de passe sur plusieurs comptes, ce qui est une très mauvaise pratique de sécurité.

“Le meilleur mot de passe est un mot de passe aléatoire”, affirme Lorrie Cranor, professeur de recherche sur les mots de passe à l’université Carnegie Mellon. “Mais les gens ne sont pas doués pour générer des mots de passe aléatoires ou pour les mémoriser”. Presque tout ce que vous croyez intuitivement que votre mots de passe n’est pas sécure. “Si vous avez du mal à vous souvenir de vos mots de passe”, dit Lorrie Cranor, “écrivez-les dans un carnet et cachez-le chez vous. Il est très peu probable qu’un hacker puisse accéder à votre maison”.

Selon une étude publiée par le Garner Group en 2017, 20 à 50 % de tous les appels au service d’assistance informatique concernent la réinitialisation des mots de passe. “C’est la plus grosse charge de travail des services d’assistance informatique”, explique Siân John, un stratège en cybersécurité chez Microsoft. “C’est généralement la première semaine de janvier, ou après les vacances d’été – les gens partent en vacances, reviennent et oublient leurs mots de passe”.

Nos mots de passe révèlent une humanité beaucoup plus partagée que nous ne le pensons. Nous pensons tous de la même façon et nous faisons tous des choses similaires, en créant des mots de passe. Les gens pensent qu’ils font preuve d’intelligence en allant en diagonale sur le clavier mais c’est dans tous les dictionnaires de hackers. Une hackeuse avait l’habitude de jouer à un jeu où elle posait cinq questions à ses amis, avant de deviner leurs mots de passe. “Je leur demandais le nom de leurs parents, de leurs frères et sœurs et de leurs enfants, les dates d’anniversaire, le nom de leur animal de compagnie et leur équipe sportive préférée”, dit-elle. “Je réussissais généralement à 70% d’entre eux.”

Nous ne laisserions pas la porte de notre maison ouverte et pourtant, beaucoup d’entre nous laissent leurs comptes numériques vulnérables aux cybercriminels chaque jour, en raison de notre attitude de laisser-faire en matière de sécurité des mots de passe. Parfois, les criminels accèdent à des comptes en utilisant des informations personnelles qu’une personne a partagées en ligne, ou en faisant correspondre des mots de passe provenant de violations de données antérieures mais, de plus en plus, les pirates utilisent également des logiciels de force brute – des programmes qui font correspondre des milliers de mots du dictionnaire jusqu’à ce que quelque chose corresponde. “Vous pouvez forcer la plupart des mots de passe à huit caractères en dix minutes”, explique M. Beuchelt.

Le Forum économique mondial estime que la cybercriminalité coûte à l’économie mondiale 2,9 millions de dollars chaque minute. Environ 80 % de ces attaques sont liées aux mots de passe.

Un anglais, Matt Hall, électricien de 44 ans de Walsall, a perdu ses économies de 52 000 £ à cause d’une violation de mot de passe. Il était en train d’acheter une maison en octobre 2019 lorsqu’un e-mail de son avocat a été intercepté. Les fraudeurs ont remplacé les coordonnées bancaires de son avocat par les leurs. “C’était le pire jour de ma vie”, me dit-il, “à part avoir perdu des membres de ma famille”. Barclays, n’a toujours pas remboursé son argent. Hall n’est pas sûr que ce soit son e-mail qui ait été piraté, ou celui de son avocat – il insiste sur le fait que son mot de passe était sécurisé. Mais il a changé tous ses mots de passe après que cela se soit produit. Comment sont-ils maintenant, je vous le demande ? “Fort !”, dit-il en plaisantant.

L’insistance de la société moderne sur la protection des mots de passe peut priver les personnes âgées de leurs droits, qui trouvent déconcertant le nombre de mots de passe qu’elles sont censées mémoriser. “Elle n’entend pas les questions sur les opérations bancaires par téléphone parce qu’elle est malentendante”, dit Ana à propos de sa mère, Dima, qui a 84 ans, “et puis elle oublie son mot de passe et essaie de mettre le mauvais code”. Ana doit souvent aider ses parents âgés à reconstituer leurs comptes.

L’année dernière, elle a dû conduire Dima à la banque parce qu’elle a bloqué son téléphone acheter a sa banque. Elle ne reproche pas à la banque d’avoir des protocoles de sécurité stricts. “Les gens essaient de voler d’autres personnes”. Mais elle aimerait qu’il y ait un moyen de faciliter les choses. “C’est dommage pour des gens comme mes parents, qui n’ont pas les compétences technologiques nécessaires pour suivre le rythme.

Il existe une solution à tout ce chaos et cette confusion : un gestionnaire de mots de passe. “Ce sont des applications ou des petits logiciels”, dit Beuchelt, “qui stockent tous vos différents noms d’utilisateur et mots de passe dans des coffres-forts sécurisés.” Un gestionnaire de mots de passe comme LastPass (Google en a également une version) va générer de manière aléatoire des mots de passe impénétrables pour tous vos différents comptes, et les stocker pour vous. “Tout ce que les utilisateurs doivent faire, c’est se souvenir de votre mot de passe principal”, explique M. Beuchelt, “et LastPass se souvient du reste”. C’est l’équivalent d’avoir un livre chez vous, avec tous vos mots de passe écrits dedans – seulement numérique et hautement sécurisé.

Bien entendu, votre mot de passe principal doit être extrêmement solide : LastPass recommande un minimum de 12 caractères, mais plus il est long, mieux c’est. Une longue phrase de passe, composée de mots, de chiffres et de symboles aléatoires, qui est prononçable – ce qui signifie que vous êtes susceptible de vous en souvenir – mais qui n’utilise pas d’informations personnelles, cela fonctionne mieux. LastPass ne stocke pas les mots de passe de ses utilisateurs de manière centralisée, ce qui signifie que même si les pirates informatiques étaient capables de pénétrer dans leurs systèmes internes, ils ne pourraient pas s’introduire dans les comptes. “Cela donne aux utilisateurs le plus haut degré de sécurité possible”, explique M. Beuchelt.

J’avais vu des gens qui utilisent des gestionnaires de mots de passe. Qui a la prévoyance d’endurer l’ennui de la mise en place d’un tel gestionnaire ? Mais après avoir murement réfléchit, je me suis converti. J’ai passé un bout d’une après-midi de week-end pluvieux à mettre en place LastPass. Mais ne serait-il pas encore mieux de ne plus jamais avoir à se souvenir d’un autre mot de passe ? Ce jour est presque proche. Nous sommes à l’aube d’un avenir sans mot de passe. “Je dirais, pour les consommateurs ordinaires, que les mots de passe auront disparu d’ici deux à cinq ans.”

Pourquoi ?

La solution est la biométrie. La start-up développent une technologie basée sur les contours uniques des oreilles d’une personne. Il est également possible d’utiliser les capteurs d’accéléromètre qui détectent les mouvements dans les smartphones pour identifier les utilisateurs, en fonction de la façon dont ils tiennent le téléphone. Nous aurons une constellation de données biométriques pas seulement votre empreinte digitale, mais aussi votre voix, la façon dont vous tenez votre téléphone et votre démarche”.

Le directeur de la sécurité et de l’identité de Google, Mark Risher, annonce que Google développe des alternatives high-tech aux empreintes digitales et à l’identification faciale. “Nous voulons être équitables parce que nous avons des utilisateurs dans tous les pays. Les capteurs d’empreintes digitales sont aujourd’hui bon marché et robustes. Les technologies comme les empreintes auditives et les détecteurs de respiration sont plus ésotériques – elles sont encore au stade de projet scientifique. Au fur et à mesure que la technologie se généralisera, nous espérons y investir”.

La clé pour intégrer intelligemment les données biométriques dans nos vies est de s’assurer que les données ne quittent jamais l’appareil. “J’aime la biométrie si elle est locale”, déclare M. Beuchelt. “Si elles sont sur votre propre téléphone ou ordinateur portable et que les informations ne sont pas partagées ailleurs, c’est de la bonne biométrie… Des bases de données centralisées géantes en Inde ou en Chine – ce n’est pas bon. Vous finissez par créer des bases de données extrêmement sensibles qui sont incroyablement précieuses pour les cybercriminels et les régimes oppressifs”. Vous pouvez changer votre mot de passe, mais vous ne pouvez pas changer votre visage.

La tyrannie des mots de passe – elle touche à sa fin. Nous pourrions bientôt vivre sans encombre, sans mot de passe, comme un oligarque dont le chauffeur ouvre les portes. Jusqu’à ce jour, nous travaillons, les sourcils sillonnés, les doigts tapant avec espoir pour retrouver ce mot de passe erroné devant un écran d’ordinateur clignotant sans fin en disant “accès refusé”.

David SCHMIDT

David SCHMIDT

Journaliste reporter sur Davidschmidt.fr. Chroniqueur radio sur Form.fr.

Articles similaires

Donnez-nous votre avis sur cette article !

Bouton retour en haut de la page