David Jennes
La journée ‘Changez votre mot de passe’ génère un faux sentiment de sécurité
Ce 24 novembre, c’est la journée ‘Changez votre mot de passe’. Quasiment chaque jour, on peut lire des communiqués à propos de pirates (hackers), hameçonnage (phishing) ou fuites de données, où des mots de passe pour des sites web de shopping, médias sociaux ou plates-formes médiatiques tombent entre des mains indélicates. Il n’empêche que le changement d’un mot de passe n’est assurément pas la stratégie qui s’impose, selon David Jennes, Digital Security Expert chez Wisemen: ‘Je ne crois pas en la journée ‘Changez votre mot de passe’, mais il est nécessaire d’améliorer l’hygiène des mots de passe. Jusqu’à l’arrivée de solutions sûres à 100%.’
Nous avons tous connu cela: nous ouvrons notre boîte mail et y trouvons un message du service IT qui nous demande de changer notre mot de passe. Ou nous nous déconnectons (par mégarde) de notre plate-forme de diffusion préférée et avec la meilleure volonté du monde, nous ne nous rappelons plus quel était notre mot de passe. Résultat: il nous faut en chercher un autre.
Cela peut paraître étrange, mais je ne suis pas fan d’initiatives telles que la journée ‘Changez votre mot de passe’. L’intention est louable certes, mais elle donne aux gens un faux sentiment de sécurité.
La solution: les clés de passe
Dans un proche avenir, ces problèmes de mots de passe devraient ne plus être qu’un mauvais souvenir. Le secteur prépare en effet une solution définitive pour se connecter de manière sûre et sans mot de passe: les clés de passe (‘passkeys’).
Les passkeys sont des clés en 2 parties qui sont cryptées sur votre appareil personnel. Seule la partie publique – en quelque sorte le ‘nom’ de la clé – est partagée avec le site web ou le service. Il ne s’agit aucunement de fichiers susceptibles d’être copiés ou partagés. Cette clé permet de créer un mot de passe virtuel unique donnant accès au site web ou à l’appli. Ce lien n’est rendu possible que grâce à la biométrie, telle la reconnaissance faciale sur le smartphone. Le mot de passe virtuel n’est pas non plus noté quelque part et ne doit jamais être saisi, ce qui rend impossible toute tentative d’hameçonnage ou de piratage. Une technologie simple et pourtant 100% sûre.
Provisoirement, cette technologie n’est cependant encore appliquée qu’à une échelle restreinte, mais cela va changer dans les prochains mois. Même si les iPhone par exemple proposent déjà des passkeys, ces clés de passe ne sont aujourd’hui encore que très peu utilisées dans la pratique. Les applis et sites technologiques et financiers seront assurément parmi les premiers à les adopter. Je m’attends à ce que nous puissions dans le courant de l’année prochaine travailler avec ces clés de passe chez les acteurs numériques en vue tels Microsoft, Facebook, WordPress, Google ou Twitter. C’en sera alors fini de mots de passe du genre ‘Ob1W4nK3n0b1’.
Gestionnaires de mots de passe: ce qu’il y a temporairement de mieux
Mais en attendant, nous sommes renvoyés à des outils déjà largement utilisés, tels les gestionnaires de mots de passe.
Les gens sont habitués à tenter autant que possible de se souvenir de tout par eux-mêmes. Le site web ou la plate-forme imposent des critères auxquels le nouveau mot de passe doit répondre. Ils choisissent par conséquent une combinaison facile à retenir ou reprennent l’ancien mot de passe auquel ils ajoutent un 1 final. Des variantes simples donc qui se traduisent en fin de compte par de faibles mots de passe. La sécurité n’en sort en tout cas pas améliorée.
Comment y faire face? La technologie évolue continuellement. Les sites web et les applis proposent même des mots de passe aux nouveaux utilisateurs. Ces mots de passe générés automatiquement sur base de combinaisons de signes que personne ne peut retenir, constituent un bon premier pas. Mais le gestionnaire de mots de passe que votre navigateur ou smartphone propose par défaut, le fait pour vous. Il stocke les mots de passe dans un coffre-fort et les propose en cas de besoin. Utiliser ce genre de gestionnaire de mots de passe comme il convient rend vos données plus sûres.
En attendant la technologie des passkeys, le gestionnaire de mots de passe demeure ce qu’il y a de mieux. Pourtant, moins d’un Belge sur dix l’utilise. Il est assurément plus sensé d’inciter les gens à utiliser davantage et mieux ces outils, plutôt qu’à les inviter à créer un nouveau mot de passe (moins sûr).
En prévision de la percée des clés de passe, David Jennes, Digital Security Expert chez Wisemen, prodigue 7 conseils pour une meilleure hygiène des mots de passe:
- Utilisez un mot de passe aléatoire unique par site web ou appli.
- Utilisez des mots de passe de 20 signes ou plus.
- Dans votre mot de passe, recourez à une variation suffisante: les majuscules et minuscules, les chiffres, la ponctuation et d’autres signes peuvent être tous utilisés dans un mot de passe.
- Si vous recevez un message indiquant que votre mot de passe fait partie d’une fuite de données, modifiez-le aussitôt.
- Pour ‘mémoriser’ tous ces mots de passe, utilisez de préférence un gestionnaire de mots de passe. Ce gestionnaire se trouve par défaut dans votre navigateur ou smartphone, ou utilisez un outil comme 1Password ou LastPass. Ces outils génèrent aussi des mots de passe (sûrs), afin que vous ne deviez pas vous-même en inventer un à chaque fois.
- Utilisez autant que possible la biométrie (reconnaissance faciale, utilisation des empreintes digitales…). Connectez-vous sur la base de ‘propriétés’ corporelles qui ne peuvent être piratées, ce qui offre une réelle sécurité supplémentaire. De nombreuses applications bancaires proposent cette option aujourd’hui déjà. En outre, l’utilisation de la biométrie réduit considérablement les risques de vol ou de perte de votre smartphone.
- Vous avez des doutes à propos de savoir si votre compte a été piraté ou peut-être recevez-vous des courriels bizarres? Sur https://haveibeenpwned.com/, vous pouvez vérifier si votre compte est toujours sécurisé.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici