On se creuse la tête pour les créer. On s'arrache les cheveux quand on les perd. Les mots de passe, c'est un paquet de troubles! Et ils ne garantissent même pas notre sécurité. En serons-nous libérés par la reconnaissance faciale ou par empreinte digitale?

Des casse-têtes essentiels«Les gens ne réalisent pas l'importance des mots de passe», estime Benoît Gagnon. L'expert en sécurité informatique ne parle pas seulement de monsieur ou madame Tout-le-Monde qui utilise le nom de son chien pour bloquer l'accès à son ordinateur personnel. «J'ai vu des bases de données très sensibles protégées avec [le mot de passe] 12345, dit le vice-président technologie de l'information et service-conseil au Corps des commissionnaires du Québec. J'ai vu des choses à faire dresser les cheveux sur la tête...»

Utiliser «12345» comme mot de passe n'a rien d'exceptionnel. Cette suite de chiffres figure même en très bonne position dans la liste des mots de passe les plus utilisés en 2017, selon une compilation effectuée par Splash Data. Benoît Gagnon ne croit pas que ce soit par paresse ou par naïveté qu'on opte pour des mots de passe simplets. On le fait parce qu'on est pressé. «Les gens se disent qu'ils vont revenir le changer plus tard, dit-il. Et ils ne le changent pas...»

Mission impossible

«Ce qu'on nous demande, c'est un effort surhumain: se faire 50 mots de passe indéchiffrables pour 50 services différents et s'en souvenir, c'est pratiquement impossible», constate pour sa part Stéphane Leman-Langlois, professeur à l'École de travail social et de criminologie de l'Université Laval. De nos jours, le moindre site internet demande de s'enregistrer et d'établir un mot de passe.

«On en a tellement que ça devient impossible de faire le ménage là-dedans.»

Sur combien de sites et à combien de services ou d'applications êtes-vous enregistré? Une dizaine? Une centaine? Difficile à savoir. En comptant seulement les services bancaires, les médias sociaux, les courriels, les accès nécessaires pour le boulot, les sites de magasinage ou de divertissement et les services publics, on arrive facilement à plusieurs dizaines. Sans compter tous ceux qu'on n'utilise plus et qu'on a déjà oubliés... Stéphane Leman-Langlois évoque des études qui estimaient que l'utilisateur moyen avait jusqu'à 100-150 comptes enregistrés!

Réutiliser, c'est risqué

Choisir des mots de passe faciles est une façon de prévenir les oublis et de limiter les dégâts. L'autre stratégie utilisée par quantité de gens est de réutiliser les mêmes sur plusieurs sites. Ou, du moins, des variations des mêmes mots de passe. Environ 40 % des internautes américains le font, selon le Pew Research Center. «Lorsqu'un utilisateur se fait pirater un compte, son mot de passe se trouve peut-être sur une quinzaine d'autres», signale toutefois Benoît Gagnon.

L'expert en sécurité informatique avance que bon nombre de gens ont quelques mots de passe principaux (entre six et neuf, selon lui) qu'ils utilisent (et réutilisent) en fonction du degré de protection jugé nécessaire: les plus complexes seraient ainsi réservés aux données sensibles comme les comptes bancaires. Sachez que percer un compte qui utilise l'un des 100 mots de passe les plus communs - la liste est facilement accessible sur l'internet - est un jeu d'enfant pour un logiciel d'attaque.

Au doigt et bientôt à l'oeil?

L'identification à deux facteurs est l'une des façons de se protéger contre le piratage de données. Pour prouver votre identité, vous devez savoir quelque chose (un mot de passe, par exemple) et posséder quelque chose (une clé USB, par exemple). L'envoi d'un code directement à l'appareil que vous utilisez est aussi une façon de prouver que vous l'avez en main. Compliqué? Non. Pratique? Non plus...

«La sécurité, très souvent, va réduire la facilité d'utilisation», indique Benoît Gagnon, expert en sécurité informatique.

Apple et Microsoft ont aussi mis en place l'identification par données biométriques: il est possible d'accéder à son ordinateur ou à son téléphone grâce à la reconnaissance faciale ou d'empreintes digitales. Benoît Gagnon estime que ce genre d'outil soulève des enjeux de vie privée, et il n'est pas du tout certain que la majorité des utilisateurs soient prêts à fournir ces informations à n'importe qui.

«Le côté pratique est là. C'est plus sécuritaire que d'avoir le même mot de passe partout ou "abc123", juge Stéphane Leman-Langlois, qui y voit un développement positif. Par contre, il ne faut pas s'imaginer que personne n'arrivera jamais à exploiter ça et qu'il n'y aura jamais de moment où l'empreinte digitale ne fonctionnera pas ou que notre visage ne sera pas reconnu.» Il faut donc avoir des plans B et C.

Un allié méconnu

Les deux spécialistes en sécurité informatique estiment que le commun des mortels néglige un dispositif fort pratique et sécuritaire: le gestionnaire de mots de passe. «Je ne sais pas comment les gens font pour vivre sans», dit carrément Benoît Gagnon. Cet outil crée des mots de passe compliqués que l'utilisateur n'a même pas besoin de retenir. En fait, il lui suffit de retenir celui qui donne accès à l'application. Retenir un seul mot de passe compliqué, ça, c'est du domaine du possible.

Stéphane Leman-Langlois affirme que si on lui offre le choix entre biométrie et gestionnaire de mots de passe, il choisit le second sans hésiter. Seuls 12 % des Américains utilisent un tel outil, selon le Pew Research Center. «Quand on dit aux gens qu'ils devront apprendre une nouvelle affaire en informatique, ils lèvent les yeux au plafond, constate Stéphane Leman-Langlois. Même la soi-disant génération internet.» Des gestionnaires de mots de passe sont offerts gratuitement ou par abonnement (de 2 $ à 3 $ par mois, par exemple). Les versions gratuites ne sont pas moins sécuritaires, selon les experts, seulement moins flexibles.

Illustration La Presse

Les pires mots de passe

Splash Data a fait la liste des 100 mots de passe les plus utilisés en 2017... et qui seraient décryptés quasi instantanément par un logiciel de piratage. En voici 10.

Top 5

123456

password

12345678

qwerty

12345

Aussi dans le top 100 

letmein (7e)

iloveyou (10e)

starwars (16e)

trustno1 (25e)

1q2w3e (89e)

Construire un mot de passe sécuritaireIl n'est pas toujours nécessaire de se casser la tête pour trouver un mot de passe difficile à décrypter. Il suffit de tenir compte de quelques règles de base. Mode d'emploi.

sesame

Ce mot de sept lettres est jugé très faible, même s'il ne figure pas sur la liste des 100 mots les plus utilisés. Ses défauts? Il est trop court, contient une suite de lettres couramment utilisées et ressemble à un mot du dictionnaire. Il serait découvert en 13 secondes maximum par un logiciel d'attaque*. 

*Les estimations du temps nécessaire pour décrypter les mots de passe et les commentaires généraux découlent de tests effectués sur les sites passwordmeter.com, howsecureismypassword.net et password.kapersky.com.

sesameouvretoi

Plus un mot de passe est long, plus il est sécuritaire. Certains sites les limitent néanmoins à six ou huit caractères. «C'est une indication [que ces entreprises] ne sont peut-être pas à la page en matière de sécurité», estime Stéphane Leman-Langlois, de l'Université Laval. Il faudrait tout de même entre 51 et 84 ans pour le décrypter.

ses4me0uvret0i

Stéphane Leman-Langlois explique qu'un mélange aléatoire de chiffres et de lettres peut faire un bon mot de passe. Un truc facile comme tout consiste à mettre des chiffres à la place de certaines lettres et faire en sorte que la combinaison ait l'air aléatoire tout en étant facile à retenir. Changer le A pour un 4 et le O pour un 0 est une pratique peu originale, mais qui fait son effet: il faudrait maintenant entre 200 et 5000 ans pour le décrypter!

Ses4me0uvret0i!

Il faudrait entre 3400 ans et... 18 milliards d'années pour trouver celui-ci. Deux détails font la différence: une majuscule (même placée au début) et un point d'exclamation (même placé à la fin). À signaler: ce truc - très souvent conseillé par les experts - ne fonctionne que parce que le mot de passe est assez long. Ses4me! tout court serait décrypté en environ 20 minutes.

Illustration La Presse