Qui organise l’enterrement du mot de passe?

Dadada : tel était, semble-t-il, le mot de passe utilisé par le patron de Facebook, Mark Zuckerberg, pour se connecter sur Twitter, Pinterest et LinkedIn.

Comment on l’a appris ? Parce qu’un collectif de pirates est parvenu à extraire son mot de passe d’une liste de 117 millions de données d’enregistrement sur LinkedIn qui traînait en rue et a ainsi pu se connecter sur ses comptes Twitter et Pinterest.

Voilà qui est assez bon enfant, mais les choses auraient pu être différentes. En mettant en relation tous ces réseaux sociaux et services Internet, et le fait que les mêmes mots de passe sont souvent utilisés pour plusieurs services, un ‘pirate’ – ou plutôt un bricoleur habile – peut projeter une attaque pour mettre la main sur votre vie numérique.

La mésaventure survenue à Mark démontre si besoin en était encore la vulnérabilité de notre identité numérique. La faute à LinkedIn en l’occurrence ? Incontestablement : ce service est responsable de la sécurité du stockage de vos données, les miennes et celles de Mark – y compris les mots de passe.

Mais soyons honnêtes : la faute en incombe aussi en partie à Mark qui a utilisé le même mot de passe simple pour plusieurs services. Mark est non seulement un CEO, il est aussi un citoyen ordinaire.

Qui d’entre nous oserait affirmer qu’il utilise un mot de passe différent pour chaque service Internet, messagerie, magasin Web ou réseau social ? Qui oserait prétendre qu’il opte toujours pour une authentification à deux facteurs certes sécurisée, mais fastidieuse ?

Admettons-le : nous préférons la facilité à la sécurité. Et donc, notre mot de passe tel que nous le connaissons reste un talon d’Achille : il ne protège pas nos données et c’est d’ailleurs notre faute.

Le journaliste Mat Honan a expliqué voici 4 ans déjà dans Wired comment sa vie numérique avait basculé suite à la prise de contrôle de ses comptes par des pirates. Parce qu’il utilisait des mots de passe simples pour plusieurs services et qu’il avait en outre reliés entre eux plusieurs de ces services. Les bricoleurs habiles avaient trouvé grâce à des manipulations originales du style ‘mot de passe oublié’ les pièces manquantes du puzzle pour en arriver à prendre le contrôle sur l’ensemble de ses activités numériques.

C’était voici 4 ans. Combien d’utilisateurs finaux sont-ils entre-temps devenus plus prudents ? Les 117 millions de comptes LinkedIn qui sont atterris en rue le mois dernier datent d’ailleurs aussi d’un piratage vieux de 4 ans. Le fait que LinkedIn doive avouer 4 ans après les faits que 117 millions de comptes ont été piratés et non pas 6,5 millions de mots de passe suscite les plus vives inquiétudes. LinkedIn avait-il voulu minimiser l’affaire en 2012 ? Ou n’a-t-il pas été en mesure d’estimer avec précision l’ampleur du piratage ? Et si oui, qu’est-ce qui est le plus grave ?

Cela étant, 117 millions de personnes n’ont pas su durant 4 ans que leurs données – les codes d’accès au plus grand réseau professionnel et, qui sait, d’autres réseaux encore – étaient aux mains de pirates. Comment des mots de passe n’ont-ils jamais été modifiés durant ces 4 ans ? Netflix vérifie déjà de manière proactive lesquels parmi ces mots de passe sont utilisés sur son service de streaming pour ensuite les effacer.

Soyons clairs : en 4 ans, peu de choses ont changé dans la manière dont nous nous connectons et, au pire, dans nos mots de passe. Il est temps qu’une vaste coalition technologique se mette en place pour aborder ce problème en profondeur car les utilisateurs ne le feront pas lorsque l’on sait qu’en 2015, les mots de passe les plus utilisés sont ‘123456’, ‘password’ et ‘qwerty’.

En 2004 déjà, Bill Gates déclarait lors d’une conférence de RSA que le mot de passe vit ses dernières heures, “car il est incapable de protéger des informations critiques.” Voici 12 ans donc. Facebook avait à l’époque exactement 21 jours et LinkedIn accueillait son 500.000e utilisateur seulement. Espérons qu’il ne faille pas attendre 4 ou 12 ans en plus pour assister à l’enterrement du mot de passe.