Informatique : élaborer des mots de passe complexes ne sert à rien
Écrit par Jonathan PIRIOU sur août 13, 2017
Le "Wall Street Journal" révèle que créer des mots de passe mélangeant lettres et caractères spéciaux n'empêche en rien les hackers de passer à l'action.Oublié, les certitudes sur la sécurité des systèmes informatiques. Depuis des années, les internautes entendent sans cesse qu'il est indispensable de changer régulièrement ses mots de passe sur Gmail, Twitter, Facebook et autres réseaux afin de se prémunir contre le piratage. À chaque fois, il faut donc éviter l'écueil du 123456789 et élaborer des combinaisons toujours plus complexes. Or, selon le Wall Street Journal, cela ne sert en réalité à rien…
Le quotidien américain souligne que cette pratique a longtemps été préconisée dans un guide destiné initialement à l'administration américaine. L'auteur de ce guide, Bill Burr, a défini ces règles au début des années 2000. Or, aujourd'hui, il avoue dans le Wall Street Journal que toutes ces mesures de précaution ne sont, plus ou moins, qu'une vaste supercherie. À l'époque cadre supérieur auprès de l'Institut national des normes et de la technologie (NIST), c'est vers lui que l'on s'est tourné pour développer une technique permettant de sécuriser davantage les mots de passe des agences fédérales américaines. Toutefois, il ne dispose d'aucune information tangible sur laquelle se baser pour parvenir à son objectif.
Aucune expérience scientifique
Pressé par sa direction qui redoute les piratages, Bill Burr a tout de même rendu un rapport faisant état de la conduite à adopter afin de sécuriser au mieux ses mots de passe. L'Américain dit s'être inspiré d'un ouvrage écrit dans les années 1980 afin de rendre son rapport, dans lequel il indique notamment qu'il faut changer régulièrement ses combinaisons. Soit environ tous les 90 jours. Il préconise par ailleurs d'élaborer des mots de passe toujours plus complexes, mêlant lettres minuscules, majuscules, chiffres et caractères spéciaux.
Mais, en réalité, ces recommandations ne sont fondées sur aucune expérience scientifique ou technique. Dans les colonnes du Wall Street Journal, Bill Burr explique que les changements réguliers de mots de passe sont inutiles, notamment car, la plupart du temps, les internautes choisissent une simple variation du mot de passe initial. Ce qui n'empêche en rien un pirate de s'introduire dans un système informatique.
Une pratique internationale
Et la supercherie est de taille puisqu'en une quinzaine d'années le guide du NIST est devenu le livre de chevet des agences et administrations publiques, mais aussi des entreprises et de leurs politiques de sécurité informatique et bien sûr des centaines de millions d'internautes. Selon les indications fournies au Wall Street Journal par le directeur de recherche chez Microsoft, la population mondiale passe plus de « 1 300 ans par jour » à inscrire des mots de passe. La méprise aurait pu perdurer si des chercheurs du NIST, chargé de rééditer le guide élaboré par Bill Burr, n'avaient pas émis des soupçons quant à ses recommandations.
Plusieurs études universitaires ont montré depuis 2003 que l'association de plusieurs mots donnait lieu à des mots de passe bien plus complexes à déchiffrer qu'un mélange de caractères hasardeux. Aujourd'hui, Bill Burr confie au Wall Street Journal qu'il « regrette une grande partie » de ce qu'il a pu faire. Au NIST, devant l'ampleur possible des dégâts, « on a tout repris à zéro », indique un chercheur.