25 février 2013

Fichus mots de passe

Arrivé au bureau, ce matin, je n'arrivais plus à me rappeler du mot de passe de ma messagerie. Rien de grave. J'avais oublié que la machine m'avait demandé de le changer vendredi matin. Tous les mois et demi, c'est pareil : il nous faut changer les mots de passe du PC et de la messagerie. 

Nous avons tous une quantité effroyable de mots de passe, que ce soit pour le boulot ou pour les loisirs, notamment les réseaux sociaux. J’en compte plus de 15 pour les trucs que j’utilise au quotidien.

Les systèmes nous obligent souvent à en mettre des compliqués, avec des chiffres, les majuscules, des minuscules, des signes bizarres,... et de les changer à l'occasion. La conséquence est simple : on est obligés de les noter, notamment pour les trucs qu'on n'utilise pas souvent. Prenez mon compteur de visites : j'ai un mot de passe pour modifier les paramètres. Je les ai modifiés une fois en six ans... Aucune chance qu'il reste mémorisé dans le navigateur.

Il existe des outils pour gérer ça mais je n'y apporte que confiance assez modeste... Autant j'ai confiance dans des machins comme Google ou comme Apple (une défaillance dans la sécurité leur ferait perdre gros), autant j'ai un doute pour beaucoup de startups...

La question que je me pose : les entreprises ou services qui demandent à leurs clients de changer de mots de passe souvent ou d'en avoir des compliqués ne font-ils pas une erreur ?

L'autre jour, en m'inscrivant à un service, j'ai vu un machin qui me donnait un indicateur du niveau de sécurité : pour être parfait, il me fallait choisir un système extrêmement compliqué. J'étais donc obligé de le noter. Au niveau de la sécurité ce n'est pas génial (pas dramatique non plus, sauf au bureau). 

On arrive à avoir des trucs tellement compliqués qu'on met les mêmes mots de passe partout ou presque. Ou alors on utilise une base et on fait varier un nombre au bout. 

Autre aberration : tous les machins ont un système pour vous faire retrouver le mot de passe si vous l'avez perdu. Généralement, ils vous envoient un mail avec un lien vous permettant de le réinitialiser. Du coup, le type qui arrive à pirater votre messagerie arrive à récupérer un accès à tous vos services. 

Certains, comme Google, vous propose un système d'authentification un peu original. Il est souvent trop compliqué pour le grand public donc peu utilisé par un public "fragile". 

Enfin, on laisse toujours nos navigateurs mémoriser nos mots de passe. Un jour, mon frangin m'a fait une farce et a piraté mon compte Facebook que j'avais laissé ouvert sur le PC de ma mère (tout comme mes autres comptes d'ailleurs). 

A ce sujet, si vous voyez un tweet de ma part laissant entendre que je suis ivre, n'y faites pas attention, c'est mon compte qui aura été piraté par un malfaisant. 

Quelle serait la solution ?

N'allez pas croire que l'avenir viendra de la biométrie. Votre empreinte digitale, par exemple, sera "scannée" et c'est un petit fichier informatique qui sera transmis sur le réseau (internet). Une fois que les fraudeurs auront réussi à piraté ce fichier, vous serez fichu. Une banque arrive à changer un code à quatre chiffres, pas un index ou un iris...

Alors, que faire ?

1. Certains services proposent de vous identifier à partir des comptes Facebook, Google ou Twitter. Des que c'est possible, choisissez cette solution. Si vous mettez un mot de passe, vous aurez tendance à mettre celui que vous utilisez partout. Or vous n'avez aucune raison d'avoir confiance dans la boîte qui géré le nouveau service. 

2. Différenciez les trucs importants (messagerie, Facebook, machin de blogage, …) des multiples services sans intérêts. Mettez à ces derniers toujours le même mot de passe (ou deux ou trois variantes).

3. Détruisez les comptes dans les services que vous n’utilisez pas…

16 commentaires:

  1. Même système au boulot: un changement tous les mois.
    Tu soulignes bien l'absurdité de la chose : on a des mots de passe tellement sécurisés qu'on les note sur un papier pour ne pas les oublier, ce qui revient à faire le contraire de ce qui est recommandé...

    RépondreSupprimer
  2. Sauf pour le mail, je n'ai qu'un seul mot de passe. Les ducons de la sécurité n'ont rien compris, la sécurité, c'est nous !

    RépondreSupprimer
    Réponses
    1. Ce n'est pas toi qui m'avais envoyé tes mots de passe pour Blogger ? Je crois me rappeler que j'avais refusé et je t'avais proposé de me mettre administrateur de tes blogs !

      "La sécurité, c'est nous" : ben oui, mais il faut tenir compte d'un tas de règles...

      Supprimer
  3. C'était il y a une éternité, pour le billet à propos de de mon frère, mais depuis à cause de bloggueur et de gogol+, mon code a changer. ( Pas de beaucoup, hein ! ) ! Mais, tu es toujours déclaré co-admin sur mon ch'tit bloug ! ;O))

    RépondreSupprimer
  4. C'est quoi le mien déjà?

    RépondreSupprimer
  5. bonjour,

    tout est dit, je dois changer d'ordinateur le mien est mort, donc c'est le troisième ordinateur que j'ai dans les mains, je vais faire un renvoi aujourd'hui. J'ai mis pas mal de mot de passe, est-il possible de les récupérer par le revendeur ou autre, je ne suis pas parano mais j'ai toujours un doute sur la fiabilité des mots de passe si compliqué soit-il .
    Joëlle alias jostretto

    RépondreSupprimer
    Réponses
    1. Tu peux regarder dans ton navigateur, il y a peut-être un truc pour voir les mots de passe enregistré (je ne peux pas t'en dire plus, je suis au bureau, les options de mon PC sont bridées). Essaie de ne pas passer par le revendeur... Il aurait accès à tes mots de passe.

      Supprimer
  6. Je viens d'effacer tous mes mots de passe et mon historique, mais ma confiance reste limitée.
    Complètement hors sujet, je pense que je vais casser ma tirelire pour acheter un Apple, je ne connais pas du tout Apple mais je n'ai plus confiance en windows, l'impression d'avoir les mains liées, ils veulent bien tout faire à ma place !!!! Pas trop d'accord -( Bref, tu as ouvert la boite à Pandore avec ces mots de passe que je dois écrire sur des ordi qui ne m'appartiennent pas .
    joelle

    RépondreSupprimer
    Réponses
    1. Je ne connais Apple hors mobiles. Je ne sais pas. Pour la confiance le mieux est de changer méthodiquement des mots de passe avec le nouveau PC.

      Supprimer
  7. Tiens ! Un commentateur anonyme a été foutu dans les spams. Qu'il y reste c

    RépondreSupprimer
  8. Bonjour,

    Ta solution numéro 1 est la pire de toute au niveau sécurité : si ton mot de passe Google est hacké ou récupéré par un vilain garcon, tous les services liés ne te seront plus accessibles ! Donc, ne surtout pas faire cela...
    Il n'y a pas de solution idéale : il faut faire appel à sa mémoire... ou des palliatifs tels que Lastpass.
    Voici un billet que j'avais écrits suite à un article de The Wire ou un journaliste explique qu'il a perdu toute sa vie numérique suite à un hack : http://spiraledigitale.wordpress.com/2012/11/22/pourquoi-nos-mots-de-passe-ne-nous-protegent-plus/
    Si ca peut aider ^^

    RépondreSupprimer

La modération des commentaires est activée. Je vous lis, voire vous publie, après la sieste.