Le mot de passe n'échappe pas à la mode des 'journées mondiales'. Créée à l'initiative de McAfee, la journée mondiale du mot de passe nous apporte l'opportunité de placer cette problématique sous le feu de la rampe.

 

Le 7 mai 2014 est pour la deuxième année consécutive la journée mondiale du mot de passe. 

Au delà de la futilité de la démarche – chacun peut sans le moindre contrôle officiel, hormis celui de sites auto-proclamés, créer sa propre journée thématique – l'initiative de McAfee, la filiale sécurité d'Intel, a au moins le mérite de revenir sur ce sujet récurant et source de nombreuses dérives.

Des mots de passe trop vulnérables

Rappelons tout d'abord la problématique : selon l'étude TMT Technology Predictions 2013 de Deloitte, 90 % des mots de passe seraient vulnérables au piratage. Un danger pour nous tous qui trouve un écho bien malvenu dans le piratage de 1,3 million de coordonnées de clients et prospects sur les serveurs d'Orange, survenu le 18 avril dernier, et une nouvelle fois passé sous silence pendant trop de temps. Et qui fait d'ailleurs suite au piratage de 800.000 coordonnée en début d'année.

Nous l'avions évoqué en mars dernier (lire « 8 secondes, pour que la NSA pénètre votre ordinateur »), il ne faut pas plus de 8 secondes à une organisation équipée des bons logiciel pour infecter un ordinateur. Ainsi, lorsque le mot de passe est trop simple et/ou trop court, c'est un jeu d'enfant pour un hacker averti pour le découvrir et pénétrer le système.

McAffe fournit fournit l'exemple de la capacité d'un mot de passe à résister à sa déclinaison en nombre de lettres et signes plus ou moins complexes :

  • Comp sera craqué en 0,0001 seconde
  • Compl sera craqué en 0,09 seconde
  • Compl3 sera craqué en 14 secondes
  • Compl3x sera craqué en 14 minutes
  • Compl3xi sera craqué en 15 heures
  • Compl3xit sera craqué en 39 jours
  • Compl3xite sera craqué en 6 ans
  • Compl3xité sera craqué en 67.000 ans

La suite est exponentielle et se chiffre en milliers d'années !

Un site Password Day

McAfee a mis en ligne un site dédié à l'évènement, et disposant d'une version française : https://passwordday.org/fr/. Avec un focus sur la sensibilité du visiteur au niveau de sécurité du mot de passe. Il propose en particulier un outil en ligne pour tester le niveau de sécurité de vos mots de passe. Ainsi que des conseils bien utiles pour traiter la question. Nous en dévoilons une partie ci-dessous.

Les conseils de McAfee pour assurer la protection du mot de passe :

  • Choisissez un mot de passe long (plus de 14 caractères).
  • Ne pas utiliser des mots de passe simples (ex : 123456, mot de passe, azerty, etc.).
  • Changez régulièrement de mots de passe.
  • Utilisez des mots de passe différents pour la banque, la messagerie, etc.
  • Ne pas utiliser de dates ou des faits personnels qui peuvent être trouvés en ligne.
  • Utilisez des caractères alphanumériques.
  • Ne pas écrire, emailer ou partager vos mots de passe.
  • Utilisez un gestionnaire de mot de passe. 
  • Ne pas utiliser un simple mot en mot de passe.