Gestion des mots de passe : comment éviter le casse-tête


Benoit H. Dicaire - 08/12/2006

SÉCURITÉ INFORMATIQUE La multiplication des mots de passe, qui protègent l’accès à nos diverses sources d’information, peut représenter un fardeau pour les utilisateurs et les entreprises. Heureusement, il existe des façons d’alléger la tâche.

Dans l’Antiquité, dit-on, Jules César codait ses messages militaires. Le système auquel il aurait eu recours consistait à remplacer chaque lettre par celle occupant trois positions plus loin dans l’alphabet.

De nos jours, des mécanismes semblables régissent la formation des mots de passe dont nous nous servons pour protéger l’information électronique. Beaucoup d’entreprises imposent des règles strictes en ce sens. La raison : il existe de nombreuses façons de percer le secret d’un mot de passe et, du coup, d’accéder à des systèmes contenant des renseignements confidentiels.

Il peut s’avérer facile, il est vrai, de « deviner » un mot de passe. Il suffit parfois de connaître un tant soit peu la personne qui l’a choisi. On pourrait très bien penser à son prénom, par exemple, à celui de son conjoint ou de l’un de ses enfants. Si le mot de passe est numérique, un malfaiteur aura beau jeu d’essayer le numéro de téléphone ou le code postal de l’utilisateur.

Voilà pourquoi, en général, les organisations préfèrent suivre des règles précises à cet égard : utiliser une combinaison de minuscules et de majuscules, ainsi que des chiffres et des signes de ponctuation, entre autres mesures. Il est conseillé aussi de remplacer des lettres par des caractères, comme le a par @, le i par !, le s par $, etc.

Par ailleurs, il est plus sûr de former un mot de passe à l’aide de la première lettre de chaque mot d’une phrase. On évite ainsi d’utiliser un terme du dictionnaire, qu’il est possible de trouver grâce à un moteur de recherche faisant des essais à répétition. Une autre possibilité serait de délibérément insérer une faute d’orthographe dans un mot.

La mémoire humaine, une brèche dans la sécurité

Le problème auquel on est confronté par la suite est de mémoriser le mot de passe. Dans le contexte actuel, où les systèmes et les applications informatiques se multiplient, l’exercice peut devenir complexe. Résultat : les utilisateurs notent leur choix sur un bout de papier ou dans un calepin, qu’ils auront à portée de main le moment voulu. Dernièrement encore, j’ai trouvé un mot de passe utilisé par un collègue, griffonné sur une feuille qu’il avait dissimulée sous son clavier. Une telle situation est d’autant plus fréquente lorsque les mots de passe viennent à expiration régulièrement.

Pour plusieurs observateurs, par conséquent, l’imposition de normes strictes en cette matière ne renforce en rien la sécurité. Si l’on peut connaître le mot de passe de quelqu’un simplement en lisant les notes apposées à l’écran de son ordinateur ou en mettant la main sur son agenda, on n’est guère avancé, en effet.

Un truc utile consiste à utiliser autant que possible le même mot de passe pour tous ses systèmes et applications. Il devient alors beaucoup plus aisé de le retenir. Cette façon de faire fonctionne particulièrement bien pour les mots de passe qui n’expirent pas, comme cela est le cas souvent avec les applications grand public, tels un site Web ou un système de courrier électronique. Cette pratique peut toutefois comporter certains risques. Pour plus de sûreté, on peut ajouter un suffixe à chacun d’entre eux (SY pour le site Web Sympatico et HM pour courrier électronique Hotmail, par exemple).

La solution la plus efficace, cependant, demeure un logiciel de gestion des mots de passe. Un tel outil devrait permettre de stocker ces derniers de façon sécuritaire sur son assistant numérique personnel, son téléphone intelligent et son PC, et de faire une synchronisation entre ces supports. On peut même y ajouter son NIP bancaire, son numéro de passeport, de permis de conduire, etc.

Mais attention, mieux vaut changer rapidement ses mots de passe si l’on soupçonne la moindre intention malveillante. Est-il nécessaire de préciser qu’il est préférable aussi de ne jamais révéler un mot de passe à quelqu’un qui le demande?

La gestion des mots de passe est une tâche importante à tous les niveaux de l’entreprise. Comme la sécurité informationnelle en général, elle est l’affaire de tous, depuis les personnes et les organisations à qui appartiennent les renseignements, jusqu’aux utilisateurs.




Tags: , ,