Le supplice des mots de passe

02/12/04 à 00:00 - Mise à jour à 01/12/04 à 23:59

Source: Datanews

Personne ne le contestera: indispensables, les mots de passe sont aussi une plaie.

La plupart d'entre nous - et je suis du nombre - ne se soucient guère de gérer soigneusement leurs mots de passe et autres codes PIN. Leur importance ne cesse pourtant de croître. Combien de mots de passe tapez-vous chaque jour? Le moins possible, naturellement: notre cerveau de primate ne peut en retenir une infinité. En ce qui me concerne, je ne crois pas pouvoir dépasser dix. Or, il faut bien plus de dix mots de passe et codes PIN pour exploiter cartes, sites Web, serveurs, PC et services. Et chaque semaine, de nouveaux codes d'accès viennent allonger la liste. Pour payer avec une carte de crédit, par exemple, nous allons bientôt devoir taper les quatre chiffres du code. Si vous êtes comme moi, vous utilisez un nombre limité de mots de passe et codes d'identification pour plusieurs cartes et services. Peut-être ne les changez-vous que rarement, voire jamais. En vous servant du même code d'accès en différents points, vous affaiblissez sa sécurité. Si votre code est visible en un endroit, rien n'empêche le malfaiteur d'en abuser ailleurs. Tiré par les cheveux? Moins qu'il n'y paraît. Jusqu'à présent, je ne me suis laissé piéger qu'une fois par une action de 'phishing'. Ce qui m'a sauvé, c'est que j'avais modifié la présentation d'Internet Explorer par rapport aux réglages standard. Un beau jour, donc, un e-mail provenant en apparence de chez PayPal me signale un problème dans mon compte et m'invite à contrôler mes données en cliquant sur le lien. Celui-ci menait à une page ressemblant comme deux gouttes d'eau à celle de PayPal, avec une URL correcte. Pour me connecter, il fallait naturellement que je tape mon nom et mon mot de passe. Aussitôt dit, aussitôt fait. C'est alors que j'ai compris: un code Java superposait l'URL soi-disant correcte à la barre d'adresse d'Internet Explorer! Sur mon PC, la barre d'adresse est un peu plus haute que d'habitude; la fausse URL est ainsi venue se placer sur un menu IE. Et dans ma barre d'adresse, restée visible, je pouvais voir la vraie URL, qui renvoyait à un numéro IP et non au site de PayPal! Si je n'avais pas changé l'apparence de mon IE, j'aurais peut-être transmis Dieu sait quelles données à ces escrocs avisés, sans rien soupçonner. En tout cas, ils avaient déjà mon nom et mon mot de passe PayPal, de quoi se connecter à mon vrai compte. Pour les services comme PayPal, j'utilise mon mot de passe le plus lourd. Mais le même mot de passe me sert aussi dans mon application bancaire et dans l'administration de certains serveurs accessible via l'internet. C'est tellement plus facile... Il ne me restait plus qu'à changer de mot de passe sur tous les systèmes concernés. Jusqu'à la prochaine fois... Echaudé, j'ai désormais multiplié le nombre de mes codes d'accès uniques. Je n'essaie pas de les retenir tous: un programme me permet de les stocker sur mon GSM. Un programme lui-même protégé par mot de passe. A quel point celui-ci est-il crypté? Difficile à dire: le concepteur n'en dit mot. Mon portable est donc devenu mon 'single point of failure': s'il est volé, je devrai tout recommencer. Heureusement, je prends des 'back-ups' dans la version PC du même programme. Espérons que personne ne parviendra à y accéder. Les conséquences seraient incalculables. Mais c'est mieux que rien. J'attends avec impatience la nouvelle carte d'identité belge, pour pouvoir l'utiliser partout comme code d'accès.

Nos partenaires