Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Les mots de passe des utilisateurs demeurent une faiblesse

par Christophe Auffray, ZDNet France. Publié le mercredi 23 novembre 2011

Sécurité - Les mauvaises habitudes en matière de mot de passe ont la vie dure comme l’illustre une étude de SplashData. « password » et « 123456 » restent ainsi très répandus, alors qu’ils sont les mots de passe les plus piratés. En entreprise, des règles de sécurité trop strictes ont parfois des effets indésirables.


Les utilisateurs peinent visiblement toujours à adopter les bonnes pratiques en matière de mot de passe – leur multiplication est sans doute, en partie, en cause. D’après une étude réalisée par SplashData – éditeur d’un gestionnaire de mots de passe –, les mauvaises habitudes ont la vie dure.

Sur la base d’une analyse de millions de mots de passe piratés et publiés sur Internet, SplashData a établi un classement des pires – et pourtant très répandus – mots de passe. Microsoft, notamment, s’était prêté à l’exercice en 2009 (puis Imperva en 2010).

Modifier les règles n’est pas une garantie de sécurité

Et comme en 2009, « password » et « 123456 » sont des mots de passe encore très courants et utilisés par les utilisateurs pour se connecter. Différents services en ligne ont fait évoluer leur politique de sécurité pour imposer la combinaison de lettres et de chiffres dans les mots de passe.

Cela a eu pour effet, constate SplashData, une multiplication des mots de passe toujours aussi peu robustes intégrant des chiffres, comme par exemple « abc123 » ou encore « trustno1 ». De même, la règle mise en place pour forcer les mots de passe de 8 caractères au moins débouche sur un recours intense à « 12345678 » pour s’authentifier.

Comparé aux listes de Microsoft et d’Imperva, le classement de pires mots de passe établie par SplashData tend à souligner la lente prise de conscience des utilisateurs. Et la question ne se pose pas uniquement pour l’accès à des applications Web destinées au grand-public.

Une question élémentaire d’hygiène informatique

En entreprise, pour l’accès au système d’information, un mot de passe fort est en effet également un principe essentiel. Mais imposer des règles de sécurité n’est pas une garantie comme en témoignent régulièrement les RSSI.

« Ce qu’on a vu monter assez fortement par rapport aux précédentes années, ce sont les négligences. Celles-ci sont parfois liées à des excès de sécurisation. Des règles trop contraignantes pourront par exemple avoir pour effet d’encourager les utilisateurs à noter leurs mots de passe » commente ainsi Mathieu Poujol, analyste pour PAC.

Les utilisateurs, confrontés à une multiplication des mots de passe pour accéder aux différents outils de l’entreprise, peuvent en effet adopter des pratiques à risque, la plus courante étant d’écrire les mots de passe sur un post-it.

« On a cru avec l’informatisation des métiers que les utilisateurs avaient pris les bonnes habitudes de sécurité, qu’ils étaient devenus matures. Mais au final, ils se passent encore souvent les mots de passe sur des bouts de papier, par exemple » témoigne encore Mourad Sélimi, RSSI du Tribunal de Paris.

Technologie et sensibilisation comme réponses

Pour simplifier la vie des utilisateurs, les entreprises, outre la sensibilisation, se tournent notamment vers les solutions de SSO et d’authentification forte. Consciente des failles persistantes dans les SI des entreprises, l’ANSSI a récemment appelé à « un sursaut » et insisté sur « la nécessaire application de règles d’hygiène informatique. »

Une note d’information du Certa (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) rappelle les bonnes pratiques à respecter en matière de mot de passe : au moins 10 caractères, et être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories).

Le Certa décrit plusieurs méthodes permettant de se créer un mot de passe fort, mais aussi de le mémoriser, ce qui n’est pas accessoire. La méthode phonétique consiste ainsi « à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase : "J’ai acheté huit cd pour cent euros cet après midi" deviendra ght8CD%E7am. »

Source : zdnet.fr