{"id":66831,"date":"2013-10-20T07:31:25","date_gmt":"2013-10-20T05:31:25","guid":{"rendered":"http:\/\/onsoftware.softonic.fr\/?p=66831"},"modified":"2025-06-12T12:27:51","modified_gmt":"2025-06-12T11:27:51","slug":"2013-10-20-securite-sur-internet-fin-des-mots-de-passe","status":"publish","type":"post","link":"https:\/\/cms-articles.softonic.io\/fr\/2013-10-20-securite-sur-internet-fin-des-mots-de-passe\/","title":{"rendered":"S\u00e9curit\u00e9 sur Internet: est-ce bient\u00f4t la fin des mots de passe ?"},"content":{"rendered":"

Les mots de passe jouent un r\u00f4le d\u00e9cisif dans notre vie priv\u00e9e, et pourtant, tous ne sont pas aussi s\u00e9curis\u00e9s qu’ils le devraient.\u00a0Existe-t-il des alternatives ? Oui, mais elles ont du mal \u00e0 se faire connaitre. <\/strong><\/p>\n

Dans notre soci\u00e9t\u00e9, bas\u00e9e sur la propri\u00e9t\u00e9, la vie priv\u00e9e et le secret, il est essentiel de pouvoir s’identifier en toute s\u00e9curit\u00e9. Il vous faut prouver votre identit\u00e9 pour acc\u00e9der aux donn\u00e9es que vous souhaitez. Les clefs qui vous servent \u00e0 ouvrir votre maison, votre voiture et autres sont aussi des m\u00e9canismes d’identification, comme le code PIN de votre carte de cr\u00e9dit, etc. Notre vie enti\u00e8re repose sur des clefs et des objets qui garantissent notre identit\u00e9 et notre vie priv\u00e9e. Ce n’est ni un mal, ni un bien, c’est ainsi que fonctionne notre soci\u00e9t\u00e9.<\/p>\n

Les mots de passe : un h\u00e9ritage du pass\u00e9<\/h3>\n

En informatique, le probl\u00e8me de l’identification et de l’appartenance \u00e0 un groupe virtuel a vu le jour pour la premi\u00e8re lors de l’apparition des premiers\u00a0syst\u00e8mes multi-utilisateurs<\/strong>. Des dizaines de personnes pouvaient se connecter simultan\u00e9ment \u00e0 ces grandes machines depuis un terminal et utiliser ses ressources informatiques. Sans mot de passe, un utilisateur pouvait facilement se faire passer pour un autre, et acc\u00e9der \u00e0 des donn\u00e9es qui ne le concernaient pas. Une telle d\u00e9rive est impensable dans le milieu acad\u00e9mique et professionnel (nous ne parlons m\u00eame pas du monde militaire).<\/p>\n

\"C'est<\/p>\n

C’est \u00e0 Fernando Corbat\u00f3 que l’on attribue l’invention des mots de passe informatiques\u00a0(source<\/a>)<\/em><\/p>\n

Si nos mots de passe contiennent du texte, c’est parce que pendant longtemps, les syst\u00e8mes informatiques n’acceptaient pratiquement que du texte introduit avec un clavier : une clef consistait en une\u00a0s\u00e9rie de caract\u00e8res plus ou moins longue<\/strong> (pas trop longue, parce que les ressources disponibles \u00e9taient limit\u00e9es). La mont\u00e9e des grands syst\u00e8mes\u00a0UNIX<\/strong> a ancr\u00e9 cette tendance : les technologies universitaires sur lesquelles se base Internet ont adopt\u00e9 le mot de passe sans se poser de questions.<\/p>\n

Economiques, mais non sans probl\u00e8mes<\/h3>\n

Les mots de passe constituent un\u00a0syst\u00e8me d’identification tr\u00e8s pratique <\/strong>et facile \u00e0 appliquer \u00e0 n’importe quel syst\u00e8me informatique. En effet,\u00a0la saisie depuis un clavier est pratiquement omnipr\u00e9sente : d’une part, rares sont les ordinateurs qui ne disposent pas d’un clavier ou qui ne sont pas capables d’en supporter un, d’autre part, les syst\u00e8mes d’exploitation manipulent et stockent ais\u00e9ment les chaines de textes utilis\u00e9es pour cr\u00e9er un mot de passe. La technologie qui se cache derri\u00e8re ces quelques caract\u00e8res est donc tr\u00e8s simple et tr\u00e8s r\u00e9pandue.<\/p>\n

\"John<\/p>\n

John the Ripper<\/a> peut essayer des milliers de clefs par seconde (source<\/a>)<\/em><\/p>\n

Toutefois, un mot de passe en texte est aussi une m\u00e9thode qui contient des risques<\/strong>. Il pr\u00e9sente une faiblesse majeure, non pas \u00e0 cause des ordinateurs, mais \u00e0 cause des humains qui le cr\u00e9ent : nos cerveaux ont du mal \u00e0 se souvenir de longues suites de chiffres et de lettres. Par cons\u00e9quent, nous avons tendance \u00e0 cr\u00e9er des mots de passe faibles et faciles \u00e0 retenir, ou \u00e0 les associer \u00e0 quelque chose que nous savons. On se retrouve donc avec des mots de passe comme “bonjour”, “123456” ou “m\u00e9dor”. Le probl\u00e8me ? <\/strong>Ils sont tr\u00e8s faciles \u00e0 deviner pour des\u00a0programmes sp\u00e9cialis\u00e9s<\/a>. En outre, s’ils donnent acc\u00e8s \u00e0 des services comme Facebook ou Twitter, on court \u00e0 la catastrophe.<\/p>\n

De nombreuses tentatives pour sensibiliser le public<\/h3>\n

Des ann\u00e9es de sensibilisation du public sur la qualit\u00e9 des mots de passe n’ont pas donn\u00e9 de r\u00e9sultat probant. Nous continuons \u00e0 choisir des mots de passe simples, m\u00eame quand on nous dit qu’ils sont fragiles. Quand une page web ou une application nous impose une\u00a0longueur et une vari\u00e9t\u00e9 obligatoires <\/strong>(majuscule, chiffre, caract\u00e8res sp\u00e9ciaux), nous r\u00e9p\u00e9tons le m\u00eame\u00a0mot de passe “s\u00fbr”<\/a> partout. Un hacker n’aura donc aucun mal \u00e0 acc\u00e9der \u00e0 plusieurs sources de donn\u00e9es \u00e0 la fois. Tout \u00e7a parce que nous faisons passer notre confort avant notre s\u00e9curit\u00e9.<\/p>\n

\"Le<\/p>\n

Le site web\u00a0How Secure is My Password<\/a> vous indique le temps qu’il faudrait pour d\u00e9crypter votre mot de passe. <\/em><\/p>\n

Les experts en s\u00e9curit\u00e9 et les psychologues recommandent d’utiliser des\u00a0moyens mn\u00e9motechniques <\/strong>(\u00e0 savoir, des techniques pour aider la m\u00e9moire), comme les variantes d’un mot de passe s\u00fbr, associer chaque caract\u00e8re \u00e0 une phrase ou utiliser des paroles de chanson pour cr\u00e9er des mots de passe plus longs. Pour \u00e9viter de se compliquer la vie, il existe aussi les\u00a0gestionnaires de mots de passe comme\u00a0DashLane, qui peuvent g\u00e9n\u00e9rer des mots de passe puissants en une seconde. Ils les retiennent et les associent au compte de votre choix.<\/p>\n

Il existe des alternatives, mais elles sont peu connues<\/h3>\n

Les probl\u00e8mes li\u00e9s aux mots de passe ont tr\u00e8s vite \u00e9t\u00e9 d\u00e9couverts, et des\u00a0syst\u00e8mes d’identification alternatifs <\/strong>n’ont pas tard\u00e9 \u00e0 voir le jour. Aujourd’hui, de nombreux syst\u00e8mes sont utilis\u00e9s comme alternative ou comme compl\u00e9ment aux mots de passe. Ils sont divis\u00e9s en quatre grandes cat\u00e9gories : les choses que vous savez, les choses que vous avez (tokens), qui vous \u00eates (biom\u00e9trie) et ce que vous faites.<\/p>\n

Clefs que vous connaissez (“choses que vous savez”)<\/em><\/strong><\/p>\n

Les mots de passe repr\u00e9sentent un certain type de clefs cognitives : ce sont des choses que nous avons retenues par c\u0153ur. Mais la m\u00e9moire ne se limite pas aux mots. En effet, nous sommes capables de nous rappeler de visages, de motifs g\u00e9om\u00e9triques, <\/strong>d’images<\/a> ou d’\u00e9v\u00e9nements marquants<\/strong> avec la m\u00eame aisance (voire avec une plus grande facilit\u00e9), parce qu’ils sont plus importants pour notre cerveau. Ces clefs sont associ\u00e9es \u00e0 des souvenirs et des \u00e9motions, et nous les retrouvons donc sans effort.<\/p>\n

\"Sur<\/p>\n

Sur\u00a0Windows 8, il est possible de cr\u00e9er un\u00a0mot de passe visuel<\/a> tr\u00e8s facilement<\/em><\/p>\n

Les motifs de s\u00e9curit\u00e9 d’Android <\/strong>et les dessins trac\u00e9s sur les photos de Windows 8 sont deux exemples de clefs cognitives plus faciles \u00e0 retenir que les mots de passe traditionnels. Elles sont \u00e9galement plus difficiles \u00e0 craquer. Par ailleurs, les\u00a0questions personnelles <\/strong>classiques (“Comment s’appelait votre premier chien ?”) sont rarement fiables, puisque la r\u00e9ponse est souvent trop \u00e9vidente.<\/p>\n

Les clefs \u00e0 reproduire (“choses que vous avez”)<\/strong><\/em><\/p>\n

\"Les<\/p>\n

La clef de votre maison est une sorte de mot de passe physique que vous transportez avec vous, de m\u00eame que vos cartes de cr\u00e9dit. L’avantage d’un syst\u00e8me d’identification de ce type est que\u00a0vous ne devez pas retenir de clef complexe<\/strong>, puisque l’objet que vous portez est assez complexe en soi pour prot\u00e9ger votre propri\u00e9t\u00e9, vos donn\u00e9es ou vos objets. Bien s\u00fbr, il faut y faire attention.<\/p>\n

En informatique, les clefs physiques s’utilisent principalement comme dispositifs anticopies (les\u00a0dongles USB<\/em> pour les services co\u00fbteux). Toutefois, gr\u00e2ce aux t\u00e9l\u00e9phones mobiles, elles sont d\u00e9sormais utilis\u00e9es comme compl\u00e9ments de s\u00e9curit\u00e9 dans ce qu’on appelle une “v\u00e9rification en deux \u00e9tapes<\/a>” : le recours \u00e0 un mot de passe traditionnel, doubl\u00e9 d’un code envoy\u00e9 sur le t\u00e9l\u00e9phone.<\/p>\n

Clefs biom\u00e9triques (“qui vous \u00eates”)<\/strong><\/em><\/p>\n

\"Clefs<\/p>\n

Votre corps est unique. Vos\u00a0empreintes digitales, vos yeux et votre visage <\/strong>vous appartiennent en propre. Personne ne peut vous les enlever, au contraire d’une clef classique. Ce qui vous rend reconnaissable aux yeux des autres vous rend \u00e9galement reconnaissable aux yeux d’un ordinateur \u00e9quip\u00e9 de capteurs biom\u00e9triques. Android, par exemple, avec sa reconnaissance faciale, ou iOS 7, avec son lecteur d’empreintes digitales.<\/p>\n

Sur papier, les syst\u00e8mes d’identification biom\u00e9triques\u00a0semblent poss\u00e9der tous les avantages pour remplacer les mots de passe <\/strong>: il ne faut rien retenir, ils sont impossibles \u00e0 voler, ils impliquent des clefs complexes… Dans la pratique, en revanche, le syst\u00e8me\u00a0pr\u00e9sente des inconv\u00e9nients majeurs<\/a> : meilleure pr\u00e9cision, moins de possibilit\u00e9s de simulation, moins fiable au moment de “scanner” votre corps. Et nous savons que les humains sont des \u00eatres pratiques.<\/p>\n

Clefs d’activit\u00e9s (“ce que vous faites”)<\/em><\/strong><\/p>\n

L’endroit o\u00f9 vous vous trouvez, vos activit\u00e9s ou votre r\u00e9putation<\/strong> sont des informations qui peuvent servir de compl\u00e9ment aux syst\u00e8mes d’identification traditionnels. Nombre de ces m\u00e9canismes sont automatiques<\/a> : par exemple, une page peut emp\u00eacher l’acc\u00e8s par mot de passe si elle d\u00e9tecte que la connexion a lieu depuis un endroit inhabituel.<\/p>\n

\"<\/p>\n

Ce genre de syst\u00e8me d’identification est toutefois peu r\u00e9pandu, peut-\u00eatre en raison du faible contr\u00f4le qu’a l’utilisateur sur le syst\u00e8me. L’inconv\u00e9nient est d’ordre psychologique : on ne “poss\u00e8de” rien, contrairement \u00e0 une clef physique, ce qui donne l’impression que la s\u00e9curit\u00e9 est moins bonne.<\/p>\n

Pour un maximum de s\u00e9curit\u00e9, il faut combiner les clefs<\/h3>\n

Un syst\u00e8me unique n’offre jamais une s\u00e9curit\u00e9 optimale. La meilleure mani\u00e8re est d’en\u00a0utiliser plusieurs<\/strong> (deux, trois ou quatre). De cette mani\u00e8re, vous obtenez une protection bien meilleure : si une attaque r\u00e9ussit, elle ne concernera qu’une partie de la clef.<\/p>\n

\"S\u00e9curit\u00e9Quatre facteurs d’authentification et quelques exemples\u00a0(source<\/a>)<\/em><\/p>\n

L’authentification multi-facteurs<\/a> pr\u00e9sente encore des probl\u00e8mes de mise en place \u00e0 court terme<\/strong>. Seuls les grandes entreprises de logiciels et les sites web les plus connus peuvent se permettre d’adopter des syst\u00e8mes de ce type, surtout s’ils impliquent l’utilisation de capteurs biom\u00e9triques ou de clefs physiques. En outre, les utilisateurs trouvent beaucoup plus simple de ne devoir g\u00e9rer qu’un seul syst\u00e8me… jusqu’\u00e0 pr\u00e9sent.<\/p>\n

Plusieurs signes tr\u00e8s prometteurs s’annoncent en faveur de la\u00a0suppression des mots de passe<\/a> comme syst\u00e8me d’identification informatique : la popularisation des syst\u00e8mes\u00a0de v\u00e9rification en deux \u00e9tapes par Google, Facebook et Twitter, ainsi que la\u00a0r\u00e9cente impulsion donn\u00e9e \u00e0 la biom\u00e9trie par Apple<\/strong>. Nous assisterons peut-\u00eatre, dans un avenir proche, \u00e0 une explosion des syst\u00e8mes multi-facteurs. Et ce serait une excellente nouvelle pour tout le monde.<\/p>\n

Pensez-vous que vous continuerez \u00e0 utiliser des mots de pass<\/strong>e ?<\/p>\n

\u00c0 lire aussi:<\/strong><\/h3>\n