Mots de passe – Résistance

Par Julien Da Sois – Publié le vendredi 01 octobre 2021 à 17h32.

Les Français sont à peine un sur cinq (19%) à avoir un mot de passe différent pour chacun de leurs comptes en ligne. lekkyjustdoit / stock.adobe.com

Piratés, oubliés, détestés… Pourquoi les mots de passe font de la résistance : ENQUÊTE – Date de naissance, nom d’animal de compagnie… Tout est bon pour se souvenir de ces satanés sésames, parfois aux dépens de notre sécurité numérique. Pour longtemps encore ?

Un mot de passe pour Facebook, un autre pour la messagerie, encore un pour la banque, et puis un pour Amazon… La liste pourrait être longue. En moyenne, un internaute gère 25 comptes sur le web, selon des données mondiales relayées par la Cnil (Commission nationale de l’informatique et des libertés). « Les mots de passe, c’est la plaie d’Internet », soupire Gérôme Billois, expert cybersécurité au sein du cabinet de conseil Wavestone, spécialisé dans la transformation des entreprises et organisations. Ces satanés sésames sont justement en ce mois d’octobre au centre du Cybermoi/s, une initiative annuelle soutenue par le gouvernement, destinée à sensibiliser aux bonnes pratiques numériques. Des événements et campagnes de communication sont prévus pour encourager le grand public à mieux protéger ses mots de passe.

Et il y a encore du travail, si l’on en croit les témoignages recueillis par Le Figaro. En effet, les recommandations de la Cnil et de l’ANSI (Agence nationale de la sécurité des systèmes d’information) sont loin d’être respectées par tous. « J’ai seulement trois mots de passe que je fais tourner. Mais comme je ne sais jamais lequel j’ai utilisé, une fois sur deux je suis obligée de cliquer sur « Mot de passe oublié » », raconte Emilie, 35 ans. De son côté, India, 25 ans, admet activer l’option proposée par son navigateur web pour qu’il se souvienne de certains de ses mots de passe, « mais pas pour des sites à risque type banque, courriel, etc. », assure-t-elle. Pour ne pas oublier ses mots de passe, Mathilde, 26 ans, explique les noter « dans (son) agenda papier, ou sur l’application Notes de (ses) ordinateur et téléphone ».

De mauvaises pratiques largement répandues parmi les Français, selon les sondages les plus récents sur le sujet. Le baromètre 2019 de la Cnil sur les pratiques numériques des Français, réalisé avec Médiamétrie, montrait par exemple que près d’un tiers des sondés (31 %) centralisaient leurs mots de passe sur papier. Les internautes sont par ailleurs à peine un sur cinq (19%) à avoir un mot de passe différent pour chacun de leurs comptes en ligne, d’après une étude d’Onfido, spécialiste de la vérification d’identité et de l’authentification en ligne, parue en mai dernier. Nombreux sont ceux à inclure des données personnelles dans leurs codes : 20% admettent utiliser leur propre nom ou le nom d’un membre de leur famille, 15% leur date de naissance et 13% le nom de leur animal de compagnie, selon une étude d’Avast publiée en avril 2019. Le classement des mots de passe les plus courants parmi les internautes hexagonaux est par ailleurs toujours dominé par les codes les plus simplistes : 123456, 123456789 et azerty, suivis de qwerty et 12345, d’après le palmarès dévoilé en juin dernier par le gestionnaire de mots de passe NordPass.

Pour les experts en cybersécurité, difficile de jeter la pierre aux internautes. Avec la démultiplication des mots de passe, « on atteint la limite de nos capacités de mémorisation, c’est pourquoi les utilisateurs ont tendance à choisir des codes simples et à les réutiliser », analyse Gérôme Billois, de Wavestone. Ce qui pose un gros problème en termes de sécurité informatique. D’après un récent rapport publié par le géant américain des télécoms Verizon, 81% des violations de données au niveau mondial sont causées par des mots de passe compromis, faibles ou réutilisés. À l’échelle française, « environ 60% des notifications à la Cnil de violations de données en 2021 concernent des piratages, dont une grande proportion liée aux mots de passe », indique Amandine Jambert, ingénieure experte au service de l’expertise technologique de la Cnil. Ces dizaines de mots de passe à retenir sont également problématiques « en termes d’expérience utilisateur », selon François Lasnier, vice-président en charge des solutions d’identification et de gestion des accès chez Thales. Une enquête d’Okta, spécialiste de la gestion sécurisée des identités et des accès, parue en 2019, a notamment montré qu’une majorité de Français se sentaient nerveux ou contrariés lorsqu’ils devaient se souvenir de trop de mots de passe différents (59%) ou quand ils en oubliaient un (62%).

Des alternatives émergentes : Malgré toutes leurs imperfections, les mots de passe résistent tant bien que mal. Et ce, alors même que « les alternatives existent depuis longtemps », affirme François Lasnier, du groupe technologique Thales. Aucune n’est dotée d’une qualité essentielle du mot de passe : sa facilité de mise en œuvre. « Son utilisation est universellement reconnue, c’est un standard d’internet », explique l’expert, qui justifie son hégémonie persistante par «la crainte que la mise en place d’alternatives d’authentification ne perturbe l’utilisateur ».

Les Français interrogés semblent pourtant prêts à abandonner ces maudits codes pour des alternatives plus commodes, et plus sécurisées. « Je trouve qu’ils appartiennent à l’ancien temps et ne plaisent à personne sauf aux pirates », déclare ainsi India, qui relate s’être fait pirater son compte sur une application de livraison à domicile il y a deux ans. Spontanément, la solution la plus fréquemment citée est l’authentification biométrique, via par exemple la reconnaissance faciale ou digitale, qui existe déjà sur certains ordinateurs et téléphones. Selon l’enquête d’Onfido, plus d’un Français sur deux (56%) dit être enclin à passer à ce type d’identification. Mais « il s’agit d’une technologie très intrusive pour la protection des données personnelles », souligne Alain Bouillé, délégué général du CESIN (Club des experts de la sécurité de l’information et du numérique), qui peut rebuter certains utilisateurs.

« Toutes les technologies potentiellement disponibles ont des inconvénients ». Alain Bouillé, délégué général du CESIN

D’autres technologies d’authentification sans mot de passe existent, par exemple via des clés USB générant elles-mêmes des codes, par l’envoi de notifications sur son smartphone, ou bien encore via un code généré par une application – ce que propose déjà Microsoft avec son appli Microsoft Authenticator. Le géant numérique américain semble être bien conscient des problèmes créés par les mots de passe, puisqu’il est possible depuis la mi-septembre d’accéder sans mot de passe à son compte Microsoft personnel. Plusieurs alternatives s’offrent aux utilisateurs : un code émis par Microsoft Authenticator, une identification biométrique via Windows Hello, une clé de sécurité physique ou encore un code envoyé par SMS ou par courriel.

Preuve que l’identification sans mot de passe fait son bout de chemin, un nouveau standard sur le web a vu le jour en 2019, baptisé WebAuthn et développé par l’Alliance FIDO (Fast IDentity Online), permettant de s’affranchir de ce mode de connexion. Basé sur de la biométrie et des clés de sécurité, il est pris en charge par tous les grands navigateurs internet (Google Chrome, Safari, Mozilla Firefox, Microsoft Edge) et systèmes d’exploitation (Windows 10, Android, iOS). « C’est le début d’une nouvelle ère », juge même François Lasnier, de Thales, pour qui ce standard va accélérer le déploiement des alternatives aux mots de passe.

Dans le domaine de la cybersécurité, tous ne sont pas aussi optimistes. « Toutes les technologies potentiellement disponibles ont des inconvénients », estime par exemple Alain Bouillé, à la tête d’un club de professionnels. Lui voit le mot de passe avoir « encore une longue vie devant lui ». La pandémie de Covid-19 l’a illustré, selon lui. Face à la généralisation du télétravail et le recours plus large aux services numériques, l’authentification multi facteurs (MFA), basée sur un mot de passe plus un code, s’est déployée plus largement. « Mais ce système renforce encore la place centrale du mot de passe », juge-t-il. Et s’il a amélioré la sécurité des comptes, il n’a « pas augmenté le confort » des internautes.

Vers une identité numérique ? : Face à des technologies encore balbutiantes, il est davantage question aujourd’hui de réduire le nombre de mots de passe à retenir que de les éliminer purement et simplement. Une solution est notamment vivement promue par la Cnil : les gestionnaires de mots de passe. Nombreux sur le marché (LastPass, KeePass, Bitwarden, Dashlane…), ils permettent de n’avoir à retenir qu’un seul sésame, qui ouvre l’accès à un « coffre-fort » contenant tous ses mots de passe. Mais ces outils restent encore méconnus et peu adoptés. Seuls 12% des Français disent recourir à un gestionnaire de mots de passe, selon le baromètre de la Cnil datant de 2019, une part malgré tout en progression de 4 points par rapport à 2018.

« Il faudrait plusieurs identités numériques, que l’on utiliserait en fonction de nos usages ».  Gérôme Billois, expert cybersécurité chez Wavestone

Suivant la même logique d’allègement du fardeau des mots de passe, l’administration française dispose de France Connect, un système d’authentification permettant de se connecter à plus de 900 services publics en ligne, sans avoir besoin de se créer un compte à chaque fois. Un système sur lequel s’appuie La Poste pour son dispositif d’identité numérique, qu’il est possible depuis juin dernier de créer « en moins de quatre minutes » dans tous ses bureaux de poste. C’est pour l’instant la seule initiative de ce type existant dans l’Hexagone et validée par l’ANSI.

Si la France est à la traîne par rapport aux autres pays européens dans ce domaine, l’identité numérique pourrait à l’avenir s’avérer être aussi une solution au trop-plein de mots de passe. Mais une identité numérique unique pour tous les services est une chimère, selon les experts. « Il faudrait plusieurs identités, que l’on utiliserait en fonction de nos usages : par exemple une pour les sites mineurs, une autre pour les données sensibles, comme la santé, et une autre pour la sphère professionnelle », imagine Gérôme Billois, de Wavestone. Sur ce sujet, la France est condamnée à accélérer : en juin dernier, la Commission européenne a appelé les États membres à travailler sur « un cadre européen relatif à une identité numérique, qui sera accessible à tous les citoyens, résidents et entreprises de l’UE ». Elle vise la création d’une « boîte à outils commune d’ici à septembre 2022 ». La réduction drastique du nombre de mots de passe à mémoriser est peut-être pour bientôt…

Lire la Source : https://www.lefigaro.fr/secteur/high-tech/pirates-oublies-detestes-pourquoi-les-mots-de-passe-font-de-la-resistance-20211001

Second article produit sous Windows 11

© par Bernard TRITZ

6 réflexions au sujet de « Mots de passe – Résistance »

      1. tous ces nouveaux logiciels je crois que c’est fait pour aiguiser la curiosité, et celle ci nous emmène au magasin ensuite pour acheter de nouvelles machines. Puis ensuite tout recommence, les mises à jour, à l’infini. 😉 Du coup la solution est plus dans l’analyse des vrais besoins. A quoi me sert un ordinateur ? je vais l’utiliser pour faire quoi ? J’ai un pc qui date de mathusalem acheté d’occasion. Je ne vais pas charger windows 11 du coup parce qu’un bon tiens vaut toujours mieux que deux tu l’auras …

        Aimé par 1 personne

      2. Vous avez raison pour le point de vue : de votre porte.

        Dans mon cas c’est différent : Je travaille gratuitement pour Google comme Rédacteur Expert. Deux : je suis abonné à Microsoft depuis des lustres, le renouvellement se fera début décembre, le 07 je crois.

        Enfin : pour mes semblables j’apporte mon aide gratuitement par altruisme : en ce moment un Ami, mon aîné qui prit 85 années au compteur et qui reçu en cadeau, entre autres, un ordinateur portable neuf, suivant mes conseils afin de remplacer un Windows 7 (qui sera abandonné en 2022). Etc. Il vient tous les jours ou presque une heure en formation privée.

        Pour moi, cela m’oblige à rester dans le coup !

        Mario si tu lis ces lignes, bises à vous deux.
        (un couple qui veut rester moderne)

        J'aime

      3. Voici, hier j’ai donc passé toutes les machines sous Windows 11. Cela m’a donné un vrai coup de fatigue. Fort heureusement la personne de 85 ans que je forme ne reviendra que demain à 10h00.
        J’ai encore bien du travail pour lui faire aller au minimum du parcours.
        Merci pour ce commentaire partagé, je dois être un peu fou !

        J'aime

Répondre à Patrick Blanchon Annuler la réponse.

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s