Mélangez des lettres, des chiffres et des caractères spéciaux. Pas d’utilisation de séquences comme “123456” et “abcdef”. Non moins important : changez régulièrement votre mot de passe. Vous connaissez certainement ces recommandations. Mais ce dernier est remis en question : pour la Federal Trade Commission (FTC), qui réglemente les pratiques commerciales aux États-Unis, l’échange périodique de mots de passe peut en fait affaiblir la sécurité.
Selon Ars Technica, toute l’histoire a commencé en janvier, lorsque la FTC a publié un message sur Twitter encourageant les changements de mot de passe :
Le tweet a été visionné par Lorrie Cranor, professeur d’informatique à l’université Carnegie Mellon qui a repris le département de technologie de la FTC au début de l’année. Elle a manqué le message parce qu’elle n’est pas d’accord avec la pratique suggérée : M. Cranor considère la recommandation de changer les mots de passe périodiquement comme une superstition plutôt qu’un renforcement de la sécurité.
C’est une posture controversée. Les experts en sécurité numérique recommandent le changement périodique du mot de passe pour plusieurs raisons. La principale consiste à empêcher l’accès non autorisé aux services : un pirate peut découvrir le mot de passe de votre compte dans l’entreprise pour laquelle vous travaillez et y accéder discrètement pour obtenir des données confidentielles, par exemple. En changeant la combinaison, cet accès non autorisé est interrompu.
Doutant du réel avantage de cette pratique, M. Cranor s’est entretenu avec d’autres experts en technologie et en sécurité de la FTC pour aborder la question. Elle est sortie de ces conversations avec la mission de donner plus de détails sur le sujet. Les résultats de la recherche ont été conformes aux attentes du professeur, même ainsi, ils sont quelque peu choquants.
Cranor et son personnel ont utilisé une étude de 2010 de l’Université de Caroline du Nord qui a analysé les hachages cryptographiques des comptes expirés de 10 000 étudiants et membres du personnel de l’institution. Ils ont tous passé par des processus périodiques d’échange obligatoire de mots de passe tous les trois mois, ce qui est la norme établie dans la plupart des entreprises.
Les chercheurs ont remarqué, grâce à l’analyse, que les utilisateurs ont généralement tendance à changer le mot de passe en recyclant la combinaison précédente. Ainsi, le mot de passe tArheels#1 finit par être changé en taRheels#1, puis en tarheels#11 et ainsi de suite.
Notez que dans tous les changements, seul un détail ou un autre de la combinaison a été modifié. Cela se produit pour deux raisons : la première est qu’il est beaucoup plus facile de mémoriser un mot de passe légèrement modifié qu’un mot de passe complètement nouveau ; la seconde est que les gens sont agacés de devoir changer leur mot de passe périodiquement (Lorrie Cranor elle-même déteste l’obligation de la FTC de le changer tous les 60 jours) et donc de rendre ce processus aussi facile que possible.
De toute façon, le mot de passe a été changé, ce qui devrait empêcher l’action de ceux qui l’ont utilisé en douce, non ? Le problème est là : le schéma de changement est tellement prévisible que les chercheurs ont pu mettre au point un algorithme capable de “deviner” le changement effectué.
En fin de compte, Cranor a conclu que les changements périodiques de mots de passe constituent une très petite barrière contre les envahisseurs potentiels. Même s’il existe des règles qui rendent difficile le recyclage d’une combinaison, le changement peut être si stressant que l’utilisateur l’écrira sur un morceau de papier ou utilisera un mot facile à retenir comme base, ce qui peut également compromettre la sécurité.
Toutefois, la FTC ne recommande pas ouvertement l’abandon du changement périodique de mot de passe. Pas encore. Des études complémentaires sont nécessaires. Actuellement, la divulgation de l’enquête de Lorrie Cranor’s attire l’attention sur la nécessité de discuter de ce sujet et de donner la priorité à d’autres pratiques de sécurité.
En ce sens, des recommandations telles que le mélange de lettres majuscules et minuscules avec des chiffres et des caractères spéciaux restent valables avec force, ainsi que la non-application de combinaisons évidentes. Pour ceux qui ont des difficultés avec cela, le conseil est le suivant : l’utilisation de gestionnaires de mots de passe peut être une excellente option.
