La fin des mots de passe : R.I.P

#password #securite #progres #ctnews 

Oui, nous savons que ce n’est pas sécurisé d’utiliser une simple chaîne de caractères ou une suite de nombres comme mot de passe; ni une date ou une donnée perso que la moitié du net peut trouver. On sait aussi que ce n’est pas sûr d’utiliser le même mot de passe sur tous les sites, et pourtant…

Je vous vois déjà faire l’autruche : “Quoi ? Moi utiliser des mots de passe comme 1234, Cindymylove, ou 26051985 ? JA-MAIS !” Mais avouons-le : on l’a tous fait.

Notre mémoire de poisson rouge

On s’est déjà tous retrouvé face à cette barre de saisie dans laquelle on essaye 1,2,3…12 mots de passe, en vérifiant que la touche Maj. n’est pas enclenchée, que l’on n’a pas oublié une lettre…et pourtant rien ne se passe. C’est comme pour mamie Jeanne à la maison de retraite : c’est le trou noir, impossible de se souvenir. C’est d’ailleurs pour cela que la plupart des gens ont entre 1 et 4 mots de passe, qu’ils utilisent sur tous les sites…

Un seul mot de passe, quels impacts ? Si un site est piraté, ou que vous êtes victime d’un “phishing” (ou hameçonnage) le pirate va récupérer vos identifiants. Pour faire simple, un pirate qui possède votre mot de passe unique a donc accès aux comptes de tous les autres sites sur lesquels vous êtes enregistrés. Si au contraire, vous utilisez un mot de passe différent pour chaque site, le pirate n’aura accès qu’à votre compte du site qu’il vient de pirater. L’impact est donc limité !

En attendant la révolution : des applis ou nos navigateurs comme bouées de sauvetage

Pour générer un mot de passe différent pour chaque site, il existe 3 méthodes :

  • Créer un mot de passe à mémoriser, qui servira de base à la création de tous les autres. Par exemple : z4g5d8. Ensuite, on rajoute les deux premières lettres du nom du site internet en début et en fin de votre mot de passe de base. Pour Facebook faz4g5d8ok
  • Faire appel à des générateurs de mots de passe sécurisés tels que motdepasse.xyz
  • Laisser votre chat s’asseoir sur votre clavier

Très honnêtement : le résultat sera quasi identique.

Nous connaissons tous quelqu’un qui fait partie de cette catégorie à part : cette personne qui a littéralement un mot de passe par site, mot de passe qui ressemble à un code de lancement pour la fusée Ariane, mais qui se souvient pourtant de chacun. Celui-là même qui vous expliquera gracieusement qu’il faut être idiot pour mettre sa date d’anniversaire comme “password”. Mais si vous n’avez pas les capacités de mémorisation d’un éléphant centenaire, sachez qu’il existe des applications développées pour vous aider à gérer vos mots de passe. On pense par exemple à 1Password, LastPass, Dashlane ou encore Keeper. Ces applications sont en quelque sorte un casier ou portefeuille de stockage de vos mots de passe (encore faut-il que ceux-ci ne se fassent pas eux-mêmes hacker).

Le W3C à la rescousse

 Conscient des failles de sécurité liées au mot de passe, qui viennent parfois impacter les entreprises (eh oui, si vous êtes directeur Marketing chez Danone et que le mot de passe que vous utilisez au boulot est le même que celui de votre compte Netflix… votre entreprise est exposée au risque), celui-ci est amené à disparaître. En effet, le W3C (Word Wide Web Consortium), l’organisme principal qui gère les standards du web et l’Alliance Fido (Fast IDentity Online), une association d’entreprises qui vise à sécuriser le web, ont annoncé début mars 2019 l’adoption de la spécification Web Authentification (ou WebAuthn). Il s’agit d’une interface d’authentification des utilisateurs aux applications Web à l’aide de clés asymétriques. Cette solution repose entre autre sur la biométrie (reconnaissance faciale ou empreinte digitale par exemple) mais également un appareil mobile ou une clé USB de sécurité Fido. Le dernier élément est l’API WebAuthn qui permet aux navigateurs et sites web d’échanger de manière sécurisée afin de s’identifier. Après analyse de l’empreinte, un serveur envoie un message crypté qui permet de prouver que l’appareil est bien celui de l’utilisateur. C’est donc une solution d’authentification à multiples facteurs. Son entrée en vigueur massive permettra d’entériner la fin des mots de passe : votre cerveau va bientôt pouvoir se reposer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *