Les m0T$ de p4$$3 se ramassent à la pelle...
En 1999, une étude révélait que 50 % des internautes utilisaient leur propre nom, ou celui de leur maman, mari, femme, amant, enfant, chien ou chat, en guise de mot de passe. Deux ans après, rien n’a changé.
azerty, 123456, password, toto, tintin, bonjour, secret, 007... Rares sont les internautes qui prennent vraiment au sérieux la gestion de leurs mots de passe. Une étude, menée par le "registrar" CentralNic auprès de 1 200 salariés, révèle ainsi que 47 % d’entre eux utilisent une déclinaison de leur propre nom, ou de l’un des membres de leur famille (animal de compagnie compris). Un tiers des sondés optent pour le nom d’une personnalité médiatique (sportif, acteur ou actrice, personnage de dessins animés...). Troisième catégorie bien ciblée de sondés : les "obsessionnels", qui, pour protéger leurs secrets, utilisent des mots tels que sexy, étalon, déesse, maîtresse, sans oublier tous ces mots salaces qui, justement, sont censés n’être prononcés que dans la plus stricte intimité. Au final, seuls 9 % des internautes interrogés font montre d’une réelle "conscience informatique" en suivant à la lettre le B-A.BA de la gestion des mots de passe. Car plus ceux-ci sont faciles à retrouver, plus facile sera le piratage du compte informatique de la société, ou du particulier, visé. Ainsi, depuis des années, des "dictionnaires" de mots de passe sont compilés à des fins statistiques en vue de développer des logiciels de "crackage" de mots de passe, capables d’accéder, en quelques minutes ou quelques heures, aux comptes prétendument sécurisés. Toute personne un tant soit peu soucieuse de sécurité informatique et de protection de la vie privée aura donc à cœur d’apprendre à bien choisir ses mots de passe. Au risque de faire les frais de ce qu’on appelle le vol d’identité, qui, selon une étude du Trésor américain, aurait doublé l’an passé.
Plus c’est long, mieux c’est
À qui la faute ? Aux administrateurs système qui donnent un seul et même mot de passe à l’ensemble des salariés de la société qu’ils sont censés sécuriser. Aux internautes utilisant un seul mot de passe pour leurs comptes. À ceux qui n’en changent jamais, sans oublier ceux qui les inscrivent sur un post-it scotché sous le clavier... On ne compte plus le nombre de "responsables" de ce genre de faille de sécurité. On ne le répétera jamais assez : il faut bannir l’utilisation de toute référence aisément identifiable, telle qu’un nom propre, ou commun. Les dictionnaires sus-cités ont généralement intégré l’équivalent d’un Larousse, ou d’un Petit Robert, à leur base de données : dites-vous donc que ne seront considérés comme fiables que les mots (de passe) qui... n’existent pas. Ainsi, il est fortement conseillé de truffer ceux-ci de chiffres et de caractères spéciaux, sans oublier de mixer lettres minuscules et majuscules. Transfert s’écrira ainsi tR4n$f3rT, par exemple. Mais comme Transfert est un mot d’ores et déjà identifié, on préférera choisir quelque chose comme tR ;4n ?$f:3r%T, ce qui aura l’avantage de brouiller les pistes, et puis parce que plus c’est long, mieux c’est. À moins de privilégier un moyen mnémotechnique, ou encore de passer par un logiciel qui créera de toutes pièces des mots de passe que l’on n’a plus qu’à mémoriser. Deux autres techniques bien connues servent cela dit à passer outre le mot de passe. Le " social engeneering", qui consiste à manipuler quelqu’un pour lui faire dire ce qu’il ne devrait pourtant pas révéler, et l’utilisation de "key loggers", petits programmes espions enregistrant tout ce qui est tapé sur un clavier. Raison de plus pour changer de mots de passe à intervalle régulier. Enfin, tout dépend bien évidemment de l’importance du compte à sécuriser.