Pour en finir avec les mots de passe

Mot de passe perplexe

Périodiquement, des conseils tournent sur le web pour la gestion des mots de passe que nous avons pour accéder à différents services. Ils me laissent toujours perplexes pour différentes raisons (par exemple, avoir des machins mnémotechniques pour s’en souvenir n’est pas à la portée du grand public et des andouilles avec une mémoire de serin, comme moi : diversifier les mots de passe oblige à les noter quelque part, ce qui introduit une faille dans la sécurité). Ce week-end, un article a fait le buzz : le premier lascar a avoir donné des conseils reconnaît s’être planté… Il est temps de faire le point sur le sujet voire de donner des éditer aux éditeurs d’application, aux responsables de la sécurité,… Faire le point nécessite nécessairement de rappeler quelques énormités.

En préambule, je précise que ce billet n’a pas vocation à donner des conseils aux utilisateurs mais uniquement à entamer une réflexion auprès de mes trois ou quatre lecteurs.

Commençons par la première énormité : je me fous des mots de passe. Je suis abonné à un tas de services mais il reste peu de mots de passe importants. J’en mets deux de côté : le code confidentiel pour ma carte bancaire et celui pour l’accès à la gestion de mes comptes bancaires. Je mets de côté aussi ceux liés à mon boulot (mais le problème est le même). Il me reste mon mot de passe Google parce que c’est celui de ma messagerie et de mes blogs, hébergés par cet honorable géant mondial. Les autres usages de mon compte Google (mon navigateur Chrome, ma personnalisation Google News,… ont peu d’intérêt). Il reste aussi le mot de passe Twitter et le mot de passe Facebook. Ils sont importants parce qu’ils me permettent de m’exprimer en ligne mais aussi parce qu’ils représentent la clé de mon authentification en ligne. Par exemple, je veux signer une pétition sur le web, j’utilise mon compte Facebook.

La première énormité : j’ai trois mots de passe important (messagerie, Twitter et Facebook) mais je ne les utilise jamais. Ils sont connus du navigateur de mon PC à la maison, le même que celui que j’utilise au bureau et chez ma mère, et de mon iPhone. Ce qu’il faut sécuriser est donc l’accès au smartphone et au navigateur. Tiens ! Je vais quand même donner ceux conseils : mets un mot de passe pour l’accès à ton PC personnel (il y en a un au bureau, je suppose) et un code pour ton smartphone (ou un truc de sécurisation offert par l’industriel). Le deuxième est un rappel : un mot de passe est strictement personnel.

Je résume le premier constat : les mots de passe pour l’accès aux applications ou services étant mémorisés par les systèmes que vous utilisez, ce sont ces systèmes et l’accès à ces systèmes qu’il faut s’efforcer de sécuriser. Que les éditeurs y réfléchissent (ce qu’ils font, d’ailleurs). J’ai cité des mots de passe importants, comme celui pour l’accès à ces systèmes (dont le code confidentiel de la carte bancaire qui permet, par exemple, d’accéder à la puce de la carte). N’en oublions pas certains :

• celui d’accès à la messagerie parce que c’est la messagerie que vous utilisez pour ouvrir les comptes (par exemple, si votre mot de passe de messagerie est divulgué, n’importe quelle andouille pourra utiliser votre compte Facebook en y tapant : « mot de passe oublié », il recevra alors sur votre messagerie un lien pour y accéder ; pour la même raison, le code pour l’accès au smartphone est important : certaines procédures de sécurité passent par les SMS),
• celui d’accès aux comptes bancaires (les raisons semblent évidentes mais il y en a de nouvelles : les banques préparent « l’Instant Payment » - Google est votre ami : de l’ordinateur du commerçant, vous vous connecterez à l’application de votre banque pour déclencher une espèce de virement instantané).

Le fait que je signale certains mots de passe comme très importants ne veut pas dire que d’autres ne le sont pas. Donnez moi votre mot de passe pour le site des impôts et je vous ferai une farce amusante. Par ailleurs, vous ne connaissez pas – et moi non plus – ce qui se cache derrière, les procédures utilisées par les éditeurs pour la sécurisation… parfois victimes de hackers méchants.

Par contre, il y a des mots de passe sans intérêt. Pas plus tard qu’hier, il a fallu que je renouvelle mon abonnement au Canard Enchaîné. Pour payer « en ligne », il faut ouvrir un compte sur le site du Canard, donc utiliser un mot de passe. Je ne vois pas l’intérêt. C’est presque une faute de l’éditeur. Hier, il a fallu que je renouvelle aussi mon abonnement à OVH qui fournit le nom de domaine pour mon blog : je n’ai pas eu besoin de me connecter à mon compte chez eux.

Si je ne vois pas ce qu’un pirate pourrait faire de mon compte au Canard Enchaîné (à part pour changer l’adresse pour voler mon journal, ce qui serait un peu con pour un fraudeur : mettre sa propre adresse…), je ne sais pas quelles sont les mesures de sécurité mises en œuvre par le prestataire du Canard. Il a donc fallu que j’applique les principes habituels de sécurisation : mot « compliqué » et unique (pas utilisé par d’autres services). J’y reviendrai.

Ma première préconisation, pour les éditeurs : ne mettez des mots de passe que quand c’est utile. Pour payer un abonnement, on n’a pas besoin de mot de passe mais d’un numéro d’abonné et d’un numéro de carte…

Je parlais des principes habituels de sécurisation. Prenez le code confidentiel de votre carte bancaire. Il est hyper simple. 4 chiffres. Pas de caractères alphabétiques, pas de signes cabalistiques,… Un type vous pique la carte : il peut faire trois essais. Après, ces terminés. Il a donc en gros 3 chances sur 10000 de trouver votre code. Basta. Ce qui importe est que personne ne voit votre code quand vous le saisissez. Ca devrait être pareil avec les mots de passe pour toutes les applications.

Ma deuxième préconisation, toujours pour les éditeurs. Sécurisez le stockage, la saisie et le transport des mots de passe et ne faites pas chier les utilisateurs. Je ne parle pas des geeks qui me lisent mais du grand public. Je vais traduire pour lui. Si vous êtes né en avril, vous pouvez utiliser « Avril » comme mot de passe. Un potentiel fraudeur ne saura pas que vous utilisez un « mois » comme mot de passe et n’aura donc aucune chance de tomber dessus en trois essais. Par contre, il faut bien que ce truc ne soit connu que de vous et que vous ne l’utilisiez que pour un seul service (s’il est piraté, les hackers sauront alors quel mot de passe vous utilisez pour d’autres services…). Je me répète : ceci n’est pas un conseil, vous ne savez pas quel dispositif de sécurité est « mis derrière » par l’éditeur.

Ma troisième préconisation, encore pour les éditeurs : n’utilisez pas votre propre système d’authentification (de gestion des mots de passe et tout ça). Prenez celui d’un tiers, notamment d’un géant mondial comme Google, Facebook ou Twitter. Je parlais de pétition. Si vous signez une pétition sur Change.org, vous vous identifiez par votre compte Facebook et basta. Pas besoin d’avoir un mot de passe chez Change.org.

Je disais que les mots de passe étaient mémorisés par les systèmes. Du coup, vous ne les utilisez quasiment jamais et vous les oubliez… Vous les utilisez quand vous changez de système (et quand le nouveau système est incapable de se récupère ce qu’utilisait l’ancien) ou quand on vous oblige à le changer (ce qui est très fréquent dans le domaine professionnel mais pas dans le public). Cela relativise l’importance des mots de passe pour le grand public et donc les recommandations que l’on voit périodiquement, par les autorités, les experts. Je suis désolé, mais les gens s’en foutent et vous n’y changerez rien.

Enfin, je parlais de mon abonnement au Canard Enchaîné et du fait que j’ai été obligé de créer un compte. Je suis en vacances et je l’ai fait à partir du PC de ma mère (mais avec un navigateur Chrome « à mon nom »). En fait, c’est l’abonnement de ma mère… J’ai donc choisi un mot de passe au hasard que j’ai scrupuleusement noté sur la facture que j’ai imprimée pour qu’elle puisse le connaître. Ce n’est pas prudent mais bon hein. L’an prochain, je serai à nouveau en congés que l’abonnement arrivera à expiration. J’aurai oublié le mot de passe et ne saurai pas où ma mère à stocké l’impression et elle l’aura oublié (d’autant que l’impression ne sert à rien vu qu’on a reçu un justificatif par mail, il suffit de chercher dans la messagerie si on a besoin de la facture). J’aurai également oublié que j’ai créé le compte avec mon navigateur et pas le sien et donc que mon navigateur aura mémorisé le mot de passe. J’irai donc sur le site du Canard et cliquerai sur « mot de passe oublié ». L’application m’enverra donc un mail avec un lien pour me permettre de le changer et de me connecter.

Ma dernière préconisation, éternellement pour les éditeurs, mais seulement d’applications ou de site où on ne se connecte qu’occasionnellement : supprimez les mots de passe. Mettez sur le site une zone pour saisir l’adresse mail de l’abonné. Vous lui envoyez un lien par mail. Il clique dessus et il est authentifié.

Je ne vais pas résumer ce billet. Faites en bon usage. Et surtout, prenez du recul par rapport aux mots de passe, ce ne sont pas vraiment eux qui font la sécurité vu qu’ils sont mémorisés par des systèmes que vous ne maîtrisez pas.

Vous ne maîtrisez que l’accès à votre PC et à votre smartphone. Quant aux éditeurs, qu’ils nous préparent la sécurité du futur plutôt que de traîner au bistro.