La cybersécurité est un enjeu critique pour les entreprises. Toutefois, l’importance des mots de passe est encore négligée, alors que les idées préconçues sur leur efficacité continuent d’être répandues.
Dans une entrevue accordée au Wall Street Journal, le chercheur William E. Burr a reconnu s’être trompé lorsqu’il a émis, en 2003, ses recommandations sur un mot de passe sécuritaire dans une publication du National Institute of Standards and Technology. Le chercheur préconisait alors de choisir un mot de passe contenant une lettre minuscule, une lettre majuscule, un caractère spécial et un chiffre. Or, il admet aujourd’hui que ces recommandations ne valent pas grand-chose, puisque ce type de mot de passe reste facile à découvrir pour un pirate informatique.
La nouvelle tendance est plutôt d’utiliser une « phrase de passe », soit un mot de passe constitué de cinq à sept mots aléatoirement choisis. Ces mots doivent être aléatoires pour que la phrase de passe soit efficace, alors il n’est pas question de choisir les paroles de votre chanson préférée. Des logiciels comme Diceware ont été créés pour faciliter le choix de ces mots par pur hasard. Il suffit de lancer virtuellement les dés… et de mémoriser.
Delphine Pramotton, présidente du cabinet Pradel Conseil, spécialisé en cybersécurité, constate cependant que ces phrases de passe sont encore peu utilisées. Il faut faire beaucoup de sensibilisation pour que les utilisateurs n’emploient pas une phrase de passe trop facile à deviner. « On doit trouver un équilibre entre la règle et le pragmatisme », souligne-t-elle.
Elle donne l’exemple d’un proverbe auquel on change un mot et ajoute un caractère spécial, un chiffre et une majuscule. Ce proverbe a peu de lien direct avec l’utilisateur et est donc plus sécuritaire qu’une date d’anniversaire. Il doit toutefois être changé tous les mois. Les systèmes de l’entreprise doivent aussi être synchronisés, pour éviter de se retrouver avec trop de mots de passe.
Une autre manière de sécuriser son système est d’utiliser l’authentification multifacteurs, comme le Google Authentificator. Ce système lie votre compte à votre téléphone cellulaire, par exemple, et vous envoie un code de validation unique. Ainsi, même si quelqu’un vole votre mot de passe, il ne pourra accéder à votre compte, puisqu’il n’aura pas votre appareil en main. Cette méthode est particulièrement utile pour les connexions à distance, donc pour les entreprises dont certains employés travaillent de chez eux.
Les pires mots de passe
Les mots de passe peuvent être faciles à découvrir pour un pirate informatique, mais certaines personnes choisissent un mot de passe tellement simple que n’importe qui pourrait le découvrir en jetant un coup d’œil à leur clavier. Voici les sept pires mot de passe.
- Les suites de chiffres, comme « 12345 »
- QWERTY, les six premières lettres d’un clavier anglophone
- Les mots « mot de passe » ou « password »
- Des mots issus du dictionnaire comme « musique » ou « hockey »
- Le nom d’une personne, que ce soit « Diane » ou « Michael Jackson »
- Un mot écrit en alternant les majuscules et minuscules, comme « CaNaDiEnSdEmOnTrEaL »
- Le même mot de passe que son compte bancaire