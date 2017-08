publié le 11/08/2017 à 05:19

Arrêtez de vous compliquer la vie à retenir des mots de passe alambiqués et truffés de chiffres ! L'expert américain des mots de passe "sûrs" fait volte-face et revient sur les règles qu'il a lui-même édictées. Comme le révèle Le Figaro, Ancien employé du National Institute of Standards and Technology, l'agence gouvernementale en charge de l'édiction des normes dans les technologies, Bill Burr a établi en 2003 une liste de préconisations pour protéger ses comptes en ligne. Parmi ses recommandations, l'utilisation de caractères spéciaux, de majuscules et de nombres, ainsi qu'une mise à jour régulière des mots de passe, pour ralentir le travail des hackers.



Le document est par la suite devenu une référence en la matière. À la clé, des mots de passe complexes, parfois sans logique et difficiles à mémoriser. Des règles qui seraient aujourd'hui obsolètes selon l'expert qui l'a assuré au Wall Street Journal. "Je regrette la plupart des choses que j'ai faites", a-t-il confié au média américain, reconnaissant avoir tiré l'essentiel de ses conseils d'un livre blanc des années 1980, soit bien avant qu'internet soit inventé. "Tout cela était probablement trop compliqué à comprendre pour le plus grand nombre et, à vrai dire, ce n'était pas forcément pertinent", a-t-il reconnu.



Les longues phrases recommandées

Les recommandations de Bill Burr visaient à empêcher des pirates de deviner les mots de passe de leurs victimes, en testant toutes les combinaisons possibles. Elles ont néanmoins eu un effet pervers. En standardisant la manière d'élaborer un mot de passe, elles ont créé de mauvaises habitudes chez de nombreuses personnes. Notamment celle de mettre une majuscule au début ou un chiffre à la fin. Autant de pratiques que les pirates ont intégrées à leurs algorithmes. Le web a bien évolué depuis 2003 et les fuites massives de données de LinkedIn, Tumblr ou encore MySpace ont donné du grain à moudre aux chercheurs. Un dernier rapport du NIST, en juin, préconise désormais l'utilisation de longues phrases, faciles à retenir, au détriment des mots de passe à chiffres et caractères spéciaux.

Au moins 12 caractères de types différents en France

Le renouvellement d'un mot de passe n'est quant à lui recommandé qu'en cas de soupçon sur le fait qu'il ait été dérobé. L'an passé, une étude des services secrets britanniques avait démontré l'inutilité des mises à jour régulières des mots de passe en entreprise. En France, l'Agence nationale de la sécurité des systèmes d'information (Anssi), recommande d'utiliser des mots de passe d'au moins douze caractères de types différents, en préconisant deux méthodes. La méthode phonétique, pour laquelle "J'ai acheté huit cd pour cent euros cet après-midi" deviendra ght8CD%E7am. Il y a ensuite la méthode des premières lettres, pour laquelle la citation "Un tien vaut mieux que deux tu l'auras" donnera 1tvmQ2tl'A.



Les mots de passe subissent eux aussi des effets de mode. Fortement recommandés ces dernières années, les gestionnaires de mots de passe font désormais l'objet de débats récurrents dans le milieu de la sécurité informatique. Riches en données personnelles, ils constituent une cible de choix pour les hackers. Début juin, l'entreprise OneLogin, qui compte près de 2.000 entreprises clientes à travers le monde, a confirmé avoir été victime de piratage. En juin 2015, LastPass avait fait les frais d'une faille informatique, donnant accès à plusieurs informations de ses utilisateurs.