C’est une de ces recommandations qui servent parfois à percevoir le gouffre abyssal entre les bonnes pratiques à suivre en matière de sécurité informatique et la réalité. C’est ce que provoque typiquement la série de conseils que vient de partager l’Agence nationale de la sécurité des systèmes d’information (Anssi), dont la mission est de protéger l’État et certains opérateurs d’importance vitale face aux menaces cyber.
Elle a publié ce vendredi 1er octobre plusieurs suggestions pour améliorer la sécurité de ses mots de passe. On retrouve bien sûr les observations habituelles, que l’on ne cesse de voir être rabâchées d’une année sur l’autre : il faut utiliser un mot de passe par service. Il faut aussi que chaque mot de passe soit assez long et solide. Il ne faut pas les partager avec autrui non plus.
Toutes ces recommandations sont pertinentes, tout comme l’est celle qui suggère qu’il est de bon ton de changer aussi les mots de passe qui sont définis par défaut (vous savez, les fameux « 0000 » ou « admin ») afin de ne pas faciliter la tâche à d’éventuels malandrins du numérique. Par contre, mais l’Anssi n’en parle pas, il n’est pas très pertinent de changer régulièrement ses mots de passe.
Mais dans cet inventaire à la Prévert des bonnes pratiques, un conseil en particulier s’avère marquant, car on pourrait croire — et même espérer — qu’en 2021, après des années de discours sur ce qu’il faut faire et ne pas faire en matière de sécurité, qu’il a bien été intégré. Et pourtant, cette année encore, l’Anssi doit rappeler qu’inscrire un mot de passe sur un post-it « crée un risque important ».
Oui, c’est une bêtise d’écrire un mot de passe sur un post-it
Évidemment, l’Anssi est tout à fait dans son rôle de cyber-garde du corps de la nation en faisant remarquer que, bien entendu, laisser traîner ses mots de passe en clair à la vue de tout le monde est certainement l’une des pires idées possibles. Autant laisser vos clés de voiture, ouvrir la portière et vous en aller. Ou bien les clés de votre domicile bien en évidence à la vue de tous.
Le problème n’est pas que l’Anssi ressasse des conseils qui feraient frémir n’importe quel spécialiste en cybersécurité. C’est de se dire que ce comportement existe encore et qu’il est de toute évidence encore très largement partagé. Les statistiques en la matière varient d’un sondage à l’autre et d’une année à l’autre, mais, comme le pointent les articles de Silicon ou Developez, on est très loin d’un phénomène marginal (entre 30 % et 50 %).
Pourtant, les faits divers malencontreux avec des post-its qui apparaissent par exemple à la télévision ou dans des médias publiés sur les réseaux sociaux existent et montrent bien à quel point c’est une erreur. Le Point rappelait par exemple en 2015 que les mots de passe de TV5Monde ont été diffusés en plein 13 heures. L’armée a connu un souci similaire, avec un tweet montrant une image bien trop bavarde.
Et le problème du mot de passe sur un post-it ne se déclenche pas uniquement pas écran interposé. Dans un open space au travail, il peut y avoir beaucoup de monde qui circule : des collèges bien sûr, mais aussi des visiteurs, des clients ou bien des prestataires. Au domicile aussi, même si on pourrait arguer qu’il y a moins de passage. Et ce n’est pas parce que ce sont des proches qu’il faut faire n’importe quoi quand même.
Alors bien sûr, il y a maintenant l’authentification forte qui se répand et qui garde le compte à peu près sécurisé, même si le mot de passe est compromis. Ce dispositif impose en effet l’inscription d’un deuxième code, temporaire cette fois. Il se récupère en général sur son smartphone, celui-ci ayant été préalablement associé au compte. Ainsi, pour le pirater, il faudrait franchir deux barrières.
L’authentification forte peut certes rattraper le coup d’une négligence survenant avec le mot de passe noté à l’écrit, mais cela reste une situation exposée — en tout cas plus que le scénario où le mot de passe est resté secret. D’aucuns pourront arguer qu’il est difficile de retenir tous ses mots de passe — et c’est vrai ; c’est très difficile de les mémoriser, tout en les rendant longs, complexes et uniques.
Que faire si je n’arrive pas à retenir mes mots de passe ?
C’est pour cela que les gestionnaires de mots de passe existent, comme LastPass, KeePass ou Dashlane. Ils servent de coffre-fort pour vous épargner de tout garder en tête — vous n’avez en fait qu’à retenir le mot de passe principal, qui déverrouille le gestionnaire. On le devine ici : ce mot de passe là doit pour le coup être renforcé au maximum et être totalement unique. On comprend bien pourquoi.
Cette stratégie n’est pas non plus parfaite. Aucune ne l’est absolument. Ces logiciels ont des bugs et des failles, comme n’importe quel programme ; il est possible d’imaginer des attaques spéciales (même si on peut discuter de la faisabilité de certaines d’entre elles). Mais par rapport à un calepin rempli de mots de passe sur une table ? Ou un post-it près de l’écran ? La balance bénéfice-risque n’est pas la même.
Les recommandations de l’Anssi se déroulent dans le cadre du Cybermoi/s. Il s’agit d’une opération de sensibilisation du public concernant les bonnes pratiques pour protéger sa vie numérique. Les thématiques peuvent changer d’une année à l’autre. Mais ce qui est triste, c’est de se dire que la recommandation au sujet des post-it sera toujours valide en 2022 pour le prochain cybermoi/s.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.