Sans le savoir, d’innombrables fonctionnaires, salariés et autres utilisateurs de mot de passe sur Internet ont vu leur quotidien pourri par un seul homme : Bill Burr. Il y a 14 ans, alors qu’il était employé par le gouvernement américain, ce « gourou » de la sécurité des mots de passe écrivait ce qui est devenu la référence en la matière. C’est à cause de lui qu’on nous impose d’utiliser des majuscules, des minuscules, des chiffres, des symboles non alphabétiques pour créer des codes difficiles à mémoriser. Toutes ces exigences, reconnaît-il aujourd’hui, se révèlent aujourd’hui inutiles et même nocives. Bill Burr avoue même : « J’ai eu tout faux. »
C’est bien sous l’effet de ses recommandations mal avisées que d’innombrables sites, officiels ou non, obligent à trouver des mots de passe compliqués, sur le modèle de « P@55w0rd » ou de « @dm1N1straTION », qu’il faut changer au bout de 90 jours pour faire bonne mesure.
« Tout faux » : Bill Burr s’est trompé sur la sécurité des mots de passe
Au lieu d’assurer une meilleure sécurité pour l’accès aux informations sensibles, ces exigences ont en réalité eu l’effet inverse, puisque la complication incitait les utilisateurs à ne retenir qu’un seul mot de passe pour de nombreux sites, ou à l’écrire sur un post-it collé sur leur écran. Peine perdue, d’ailleurs, puisque les robots utilisés pour les cyber-attaques peuvent assez facilement identifier un tel mot de passe court à travers les combinaisons possibles, y compris lorsque l’utilisateur a recours à des symboles spéciaux, assure Bill Burr dans un entretien avec le Wall Street Journal : « Au bout du compte, c’était probablement trop compliqué pour que la majorité puisse bien comprendre le système, et en vérité, j’ai levé le mauvais lièvre. »
De même, sa recommandation visant à faire changer les mots de passe de manière régulière a également été mal mise en œuvre, la plupart des gens se contentant de changer un seul caractère d’une fois sur l’autre – une aubaine pour les hackers. Au Royaume-Uni, le service de renseignements du GCHQ en a pris acte dès 2015, recommandant aux sociétés de cesser d’exiger la mise en place de nouveau mots de passe au motif que la gêne occasionnée était finalement trop lourde par rapport aux maigres bénéfices qu’on pouvait en espérer.
Le vrai mot de passe sûr et facile est constitué par une longue suite de lettres
Aux Etats-Unis, l’Institut national pour la science et la technologie qui avait au départ retenu les règles de Bill Burr a décidé de les mettre au rebut.
Les nouvelles recommandations insistent sur la longueur du mot de passe. Il vaut mieux, disent-elles, prendre une longue phrase de passe ou une importante séquence de mots, sans même s’efforcer d’y ajouter des caractères spéciaux. Les directives américaines assurent qu’un robot aurait besoin de « 1.000 milliards d’années » pour hacker le mot de passe « horsecarrotsaddlestable » contre une minute pour le célèbre « P@55w0rd ».
De même une phrase absurde du genre les « autruchemangeantbananes », facile à mémoriser grâce à une représentation mentale, se révélerait très difficile à découvrir même avec un logiciel adapté.
La meilleure protection demeure toutefois la double identification, avec l’envoi automatique d’un texto contenant un code de confirmation après utilisation du mot de passe personnel, ou le recours à une application spécialisée permettant de vérifier l’accès à un site ou à un compte.