Le billet de François : journée mondiale du mot de passe

377 0

le 03/05/2019

Il y a quelques semaines, j’avais déjà fait un billet sur les mots de passe : “clés de voûte” de notre sécurité informatique. Alors, j’expliquais plutôt comment les gérer au quotidien création et stockage. A l’occasion de la journée mondiale du mot de passe qui a eu lieu hier, le 2 mai, je voudrais revenir sur le principe même de cette méthode de sécurisation.

Tout d’abord, un mot de passe tout seul ne sert absolument à rien ; de la même façon qu’une clé est inutile quand on ne sait pas quelle porte elle ouvre. Le mot de passe est un élément d’un ensemble qui permet de connecter une machine dite “cliente” à une autre machine dite “serveur” sous une identité vérifiée. Charge ensuite au “serveur” de proposer au “client” des actions en fonction des droits définis pour cette identité.
Ainsi, quand on note un mot de passe, il faut aussi noter le nom du service en clair pour le retrouver facilement, le moyen d’accès à ce service (souvent une url), et surtout l’identifiant qui correspond. Certains services, pour une identification plus forte, demandent plusieurs éléments d’identification ; il est important de bien tous les noter. L’ensemble de ces éléments définit ce que l’on appelle un “compte”.

Voyons comment ça marche pour mieux comprendre l’importance respective de l’identifiant et du mot de passe.
Premièrement, l’identifiant doit être unique, car le serveur ne doit pas confondre deux utilisateurs du service. C’est pourquoi, lors de l’inscription au service, cet identifiant peut vous être imposé. Dans la plupart des cas, vous pouvez choisir votre identifiant, mais alors un système vérifie qu’il n’est pas déjà utilisé avant de l’accepter et lui attribue un numéro ou code d’identification interne, utilisé par la machine, mais invisible à l’utilisateur.
Afin de vérifier que celui qui veut utiliser un service grâce à un identifiant est bien celui qui a créé le compte correspondant, un mot de passe est associé à l’identifiant. Cet élément d’identification doit suivre des règles simples mais strictes : il est personnel, donc c’est une très mauvaise pratique que de les partager ; et il est secret, donc il faut bien sécuriser l’endroit où on le note. Le défaut d’application de ces règles est à l’origine de la majorité des piratages de compte ! Les autres règles sur les mots de passe (longueur, complexité) de sont là que pour renforcer la sécurité, mais ne servent à rien si les règles de bases ne sont pas respectées.
Il faut aussi savoir que normalement, cette règle du secret du mot de passe s’applique également à la partie serveur. En effet, le système d’authentification ne devrait pas gérer les mots de passe en clair : il doit le hasher, qui est un codage spécial qui génère une information complexe, illisible et unique qui ne permet pas de reconstituer l’original ; puis le transmettre sous cette forme au serveur par une méthode sécurisé, c’est à dire totalement crypté, afin que personne ne puisse l’intercepter. A l’inscription ce code est simplement stocké en correspondance avec l’identifiant du compte ; aux connexions suivantes, le code transmis est comparé à celui qui a été stocké. Ainsi, le mot de passe n’est jamais connu ni stocké par le serveur, assurant de ce fait sa sécurité.
Depuis de nombreuses années, tous les services de Google sont protégés par cette méthode, et d’autres bien plus sophistiquées. Malheureusement, tous les fournisseurs de services informatiques ne sont pas aussi sérieux. Preuves en est les révélations de la presse sur les fuites de mots de passe en clair et d’autres éléments d’identifications personnels par des grands groupes comme Yahou!, Facebook ou eBay.
De plus, une bonne identification seule ne garantit pas la sécurité de vos données ; il faut en plus que tous les échanges avec le serveur soient correctement cryptés. Le serveur est responsable de cela, mais utilisateur est responsable s’il ne vérifie pas que la mesure est mise en oeuvre.

Dans la pratique, dans 90 % des cas réels de piratage, les identifiants ont été donnés au pirate, soit volontairement, soit par négligence, soit par la ruse. En particulier, il faut être très attentif aux liens et pièces jointes dans les emails pour ne pas tomber dans le piège du phishing qui consiste à diriger un grand nombre d’utilisateurs vers de fausses pages d’identification afin d’obtenir les identifiants de vrais comptes.
Vous l’avez compris, la sécurité digitale est la responsabilité de chacun et de tous. Pourquoi ne pas se servir de l’excuse d’une journée mondiale du mot de passe pour passer une demi heure à vérifier et mettre à jour son coffre fort à mot de passe, et pour changer les mots de passe de ses comptes les plus importants ? Moi, je l’ai fait.

Si vous avez trouvé une faute d’orthographe, veuillez nous en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée .

Notez cette information
[Total: 1 Average: 5]
François

François

Fondateur de l'agence de marketing web Baccon.net, éditeur de L'Hebdoogle (hebdo.ludgef.com)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :