A en croire les spécialistes, c’est partiellement le cas. La recherche se penche sur la question.
Mais il faut dire que vous – pardon ‘nous’ – sommes en partie fautifs.
Qu’en est-il et que va-t-il se passer ?
Nous faisons bien installer des serrures de sécurité sur la porte de notre appartement, mais nous n’y pensons pas sur notre ordinateur et nos objets connectés.
Tout vient que nous ne savons pas bien mesurer la valeur de l’information et que nous ne la gérons pas bien. Question d’immatérialité.
C’est de notre faute
Nos mots de passe sont beaucoup trop faibles.
Nous utilisons trop souvent le même pour tout.
Nous ne le changeons pas souvent.
J’ai entendu dire par une spécialiste s’adressant à des ados : « ça se change comme on change de sous-vêtements ! »
Nous ne nous souvenons pas de nos mots de passe et les écrivons soit sur un Post It sous le clavier ou collé à l’écran.
Je connais quelqu’un qui dispose d’un carnet où il inscrit tous ses mots de passe… carnet qu’il laisse traîner partout, qu’il transporte partout.
C’est donc une protection faible voire illusoire.
Les attaques
Il y en a qui s’amusent à rechercher – sur notre ordinateur – les fichiers qui stockent les mots de passe – souvent chiffrés -, et à les casser.
Ceux qui nous connaissent un peu – nous sommes si bavards sur les réseaux sociaux et dans nos emails – devinent facilement nos mots de passe.
Pour les autres, ils essayent quelques trucs (je ne vous raconte pas comme ils peuvent être inventifs). Ils se servent entre autres de dictionnaires dans notre langue.
S’ils n’y parviennent pas directement, ils installent sur notre ordinateur un logiciel espion (via un email ou la visite d’un site internet) qui surveille nos actions et nos connexions. Cet outil leur permet d’écouter et d’enregistrer les mots de passe que nous utilisons et dans quels cas.
Cela leur permet de prendre le contrôle de notre ordinateur et d’agir ‘en notre nom’ car ils disposent de notre authentifiant.
Un peu de théorie…
Notre nom, notre adresse email, notre numéro de téléphone mobile, un ‘nom d’utilisateur’ (souvent structuré de manière identique au travail) nous identifient. On appelle cela un ‘identifiant’.
Dans le monde virtuel, où le face à face n’est plus possible (ou nécessaire), on a besoin de s’assurer que l’on parle bien à la bonne personne. On utilise un ‘authentifiant’, quelque chose qui nous authentifie.
Il existe 3 types d’authentifiants :
- quelque chose que nous connaissons : mot de passe, pin code, etc.
- quelque chose que nous possédons : une clé physique, un badge, une photo, un GSM avec une carte SIM, etc.
- quelque chose que ‘nous sommes’ : les marqueurs biométriques (empreintes digitales ou ADN), notre signature (et, pour les plus sophistiqués, sa dynamique), notre voix et ses intonations.
On utilise donc une combinaison identifiant + authentifiant pour se donner l’assurance que c’est bien nous.
Les solutions
Si le mot de passe est faible ou que le gestionnaire de l’actif considère qu’il n’est pas adapté à la valeur de cet actif, on utilisera soit un des autres types soit, c’est mieux, une combinaison de 2 de ceux-ci (voire les 3 pour les plus ‘parano’.)
Par exemple,
- Pour retirer de l’argent au distributeur, notre banque exige notre carte + notre code pin
- Pour ouvrir notre coffre, il nous faut notre carte d’accès, notre clé et un code.
- Dans les films d’espionnage nous en avons vu d’autres…
En Belgique – et je suppose ailleurs également – nous avons une carte d’identité électronique (eID) qui contient, sur une puce, une clé cryptographique unique enregistrée sur un serveur. Elle permet de nous connecter à notre propre dossier de pension ou de remplir notre déclaration d’impôts et de signer ces actions grâce à cette clé.
Il existe, pour notre usage propre
- des clés-USB intégrant un lecteur d’empreinte digitale
- des applications de reconnaissance faciale (grâce à la web-caméra)
- des ordinateurs à commande vocale.
Nous en arriverons vite à ce que tous les intervenants sur Internet exigeront au moins deux moyens d’authentification. En attendant, certains demandent déjà une seconde connexion sur un autre canal … pour être sûr !
J’y reviendrai très vite…
Je vous ai fait peur ? Vous avez des questions ou des propositions ? Des idées lumineuses que personne n’a encore eues ? Signalez-les ci-dessous ; elles pourront être fort utiles.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+
Bonjour Jean-Luc,
Je te remercie pour cet article très intéressant et laisse un commentaire qui se focalise sur les mots de passe dans l’entreprise.
En effet, dans le domaine de l’entreprise, cela fait bien 15 ans que l’on parle de la fin des mots de passe. Déjà KERBEROS, puis les certificats X509, devaient les enterrer. Les mots de passe sont toujours là et pour longtemps encore.
De mon point de vue, la gestion des mots de passe doit doit d’abord s’intégrer aux annuaires LDAP de l’entreprise. Il est nécessaire de privilégier un mot de passe « primaire » pour authentifier l’utilisateur sur l’Annuaire pour accéder au SI, puis des mots de passe « secondaires » pour se connecter aux applications (1 mot de passe différent par application, pas de générique pour savoir qui fait quoi). Les mots de passe primaires peuvent être associés à des profils métier et les mot de passe secondaires à des privilèges locaux aux ressources des applications et des systèmes.
Il est également essentiel d’associer cette gestion des mots de passe à des outils de logs et de reporting qui permettent de gérer les incidents de connexion et de contrôler le respect aux politiques SSI et aux conformités au lois et règlements.
Pour le succès du déploiement des mots de passe dans l’entreprise, il ne faut pas oublier d’impliquer les utilisateurs. En effet, le premier sponsor d’une bonne gestion des mots de passe et d’un déploiement efficient, c’est avant tout l’utilisateur.
Bonjour Dominique
C’est vrai, on en parle depuis longtemps et des solutions devraient – je répète ‘devraient’, mais c’est encore rarement le cas – exister en entreprise.
C’est tout autre chose pour les particuliers et rares sont ceux qui, se voyant imposer une règle au bureau dont on ne leur explique pas la raison et le but, l’appliquent dans leur vie privée.
Avec les conséquences que l’on sait. Raison pour laquelle les fournisseurs de services sur internet recherchent d’autres moyens pour se protéger en contraignant leurs utilisateurs
C’est un sujet sur lequel je reviendrai.
A très bientôt
Bonjour Jean-Luc,
Très instructif ton article sur les mots de passe. Effectivement, tu as bien cerné les 3 failles : mots de passe trop faibles, trop souvent utilisés pour tout, pas assez souvent changés.
Seulement voilà, la difficulté réside dans le fait de trouver des mots de passe complexes (à rallonge souvent avec un nombre de chiffres et lettres interminables), qui ne sont pas toujours acceptés par les sites qui les demandent ! Il m’est arrivé de vouloir enregistrer des mots de passe complexes mais ils ont été rejetés. Alors comment faire pour contourner cette difficulté ?
Quant à moi, j’ai un carnet dans lequel je stocke tous mes mots de passe, mais il ne quitte jamais mon bureau.
Bonsoir Isabelle
Si tu lis l’article ‘Comment choisir un bon mot de passe’ (l’hyper-lien est activé su ‘mots de passe’ juste sous le premier sous-titre), tu trouveras des exemples. La taille recommandée est de 8 caractères.
Je peux te donner d’autres exemples si tu le désires.
Bien cordialement
Jean-Luc