Passer au contenu

Pourquoi un mot de passe « sécurisé » ne suffit pas ?

Une nouvelle étude menée par l’équipe de recherche Specops Software révèle que la majorité des mots de passe compromis sont conformes aux exigences réglementaires. Plus que jamais, un mot de passe complexe reste le meilleur moyen de sécuriser son compte.

Google, Apple et Microsoft rêvent de tuer le mot de passe dès l’année prochaine. En attendant, cette série de caractères qui nous donne parfois mal à la tête reste un moyen incontournable pour prouver son identité. Des solutions existent pour éviter d’utiliser le mot de passe à chaque fois, comme l’empreinte digitale ou la reconnaissance faciale, mais elles n’ont pas fait oublier le mot de passe.

Depuis des années, des spécialistes et organisations comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) proposent des recommandations relatives aux mots de passe. Ces dernières permettent de mieux protéger ses comptes. Pourtant, la dernière étude de Specops Software confirme que ce n’est pas toujours suffisant. Le spécialiste suédois des solutions de gestion de mot de passe en entreprise a analysé 800 millions de mots de passe compromis pour identifier ceux qui respectaient une longueur minimale de 9 caractères, n’utilisaient pas de caractères répétitifs ou incrémentiels et ne contenaient pas « azerty ». L’équipe de Specops Software a trouvé que 52,95 % des mots de passe compromis connu répondaient aux recommandations de l’ANSSI.

Les recommandations ne sont pas toujours suffisantes

« La complexité et les recommandations d’organisations officielles peuvent aider à renforcer son mot de passe, mais cela ne protégera pas votre réseau si ce dernier figure sur la liste des mots de passe compromis que possède un pirate », estime Darren James, spécialiste produit chez Specops Software. La firme rappelle que les recommandations de l’ANSSI comprennent trois niveaux de sécurité en fonction des différents niveaux de sensibilité des comptes ; « faible à moyen », « moyen à fort » et « fort ». Ces recommandations spécifiques comprennent :

  • Au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
  • Aucun caractère consécutif (« 123 ») ;
  • Pas de motifs répétitifs (« aaaa ») ;
  • Pas de modèles de mots-clés (« azerty ») ;
  • Longueur minimale du mot de passe (9, 12 et 15 pour les 3 niveaux) ;
  • Confrontation du mot de passe lors de sa création avec une liste de mots de passe communs ou connus pour être compromis.

Loin des incontournables « 123456 », « password » ou « azerty », certains mots de passe paraissent plus complexes en apparence. Dans les faits, ils peuvent facilement être décelés par des pirates via une attaque de force bruit ou par dictionnaire. Sur certains sites, des mots de passe comme « yuantuo2012 », « password1 », « 1q2w3e4r5t » ou « magvai87magvai87 » sont encore autorisés. Ils suivent d’ailleurs les exigences réglementaires (ou peuvent), mais ne sont pas sécurisés pour autant.

Que faut-il faire ?

Au quotidien, de nombreux sites vous invitent désormais à choisir des mots de passe plus complexes. Certains internautes optent aussi pour un gestionnaire de mots de passe ; mais de nombreux utilisateurs utilisent encore des mots de passe faciles à retenir… et souvent plus simples à pirater.

Pour vous aider, de multiples solutions existent comme le générateur de mot de passe de la CNIL ou de spécialistes de la gestion des mots de passe. L’ANSSI met également à jour ses recommandations régulièrement, allant plus loin que les premières recommandations listées ci-dessus. L’agence recommande par exemple d’utiliser l’authentification multifacteur et d’éviter la transmission d’un code par SMS. Encore très répandue, cette méthode présente cependant de multiples vulnérabilités.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

4 commentaires
  1. les gestionnaires de mot de passe ne suffisent pas, on est toujours limités par le nombre de caractères qui peuvent être bruteforcés. Privilégier les longues phrases. Genre “Dans un trou vivait un hobbit”, ou “Arthour! Toi pas changer assiette pour fromage!”. Avec une faute de frappe, de préférence. Mot de passe sécurisé 101.

  2. Et comment cela fait-il que nos mot de passes sont sur des listes ? Les hackeurs piratent tout les ordinateurs un par un pour les avoir ou ils les ont en piratant des grosses boites comme Google et Microsoft? Ce n’est pas de leur coté qu’il y a un travail à faire ?

  3. Article un peu débile, basé sur une “étude” produite par une boîte qui vend de la sécurité informatique et qui donc travestis les faits pour servir ses intérêts. Les mots de passe compromis ne le sont pas à cause de leur “faiblesse” intrinsèque, ils ont été compromis à cause d’une fuite ou d’un Hack d’une base de données insuffisamment sécurisée, quelque part chez un fournisseur de services Internet défaillant ou juste malchanceux. Même si votre mot de passe est du type “MD€g-i5#+$pkrEk75¥%jo37tFzL97&#578@$765HEDkihtg@”, si votre fournisseur le stocke “en clair” ou ne sécurise pas suffisamment ses serveurs, votre super mot de passe de la mort sera lui aussi compromis, autant que n’importe quel “QWERTY” stocké dans les mêmes conditions.

  4. @engineering pqs si debile que ca et votre reaction est bien violente gratuitement

    ces mots de passes le sont aussi a cause de leur faiblesse intrinseque tout simplement parcequ ils ne sont pas aleatoires mais inventes selon une certaine logique
    ce qui veut dire qu effectivement a la bae ils ont peut etre en partie fuite de chez un autre site pour un autre utilisateur, mais que les outils en ont appris la logique… si un autre utilisateur utilise une logique proche il aura une faille pourtant lui son mot de passe n aura jamais fuite.
    donc ce mot de passe a bien une faiblesse intrinseque qui le rend fragile

    ce serait sympa que certains lecteurs arretent de se croire superieur et obliges d insulter soit un site soit un autre lecteur. merci de respecter d autres avis et d echanger, c est comme cela quon evolue…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode