Les mots de passe se sont généralisés comme clés d’accès à toutes sortes de ressources en ligne. Mais ils représentent désormais une énorme vulnérabilité affectant l’ensemble de l’infosphère, tant les internautes individuels que les entreprises et les organisations.
Pour un internaute individuel, il est devenu pratiquement impossible de mémoriser tous les mots de passe dont il se sert au quotidien. Afin d’augmenter la sécurité, de nombreuses plateformes requièrent désormais des mots de passe « forts » comprenant par exemple au moins une majuscule, une minuscule, un chiffre et un caractère spécial, ou interdisant les mots du dictionnaire. Beaucoup d’entreprises contraignent leurs employés à changer de mot de passe tous les mois, ou tous les trois mois. L’utilisation de différents terminaux (ordinateur, téléphone, tablette) pour accéder aux services en ligne créent autant d’occasions de devoir se souvenir de ses identifiants. Ce n’est pas une mince affaire : selon une enquête en ligne qui date de 2012, 41 pour cent des personnes mémorisent tous leurs mots de passe, 29 pour cent les notent sur papier et neuf pour cent les stockent dans un fichier sur leur ordinateur. La première option peut s’apparenter à un tour de force, puisque selon une autre enquête de la même année réalisée en Norvège, chaque internaute a en moyenne au moins 17 identifiants personnels et 8,5 professionnels. Dans ces conditions, difficile, pour ceux qui souhaitent les mémoriser, de résister à la tentation d’utiliser les mêmes mots de passe pour différents services. Excédés par les exigences de complexité de certaines plateformes, nombreux sont ceux qui, quand ils le peuvent, choisissent cette option du mot de passe unique et recourent aussi à des mots de passe archi-simples. Dans les deux cas, ils facilitent la tâche des hackers.
Les procédures de récupération ou de réinitialisation des mots de passe constituent une vulnérabilité de plus. Les réponses aux « questions de sécurité », censées faire appel à un savoir connu du seul utilisateur pour autoriser la réinitialisation, peuvent dans certains cas être trouvées sur le Net, comme cela a été le cas lors du vol d’images dénudées de célébrités aux États-Unis. Sans parler du casse-tête lorsque l’utilisateur n’a plus accès au compte mail avec lequel il s’était inscrit au départ. Mot de passe oublié et réinitialisé, et voilà qu’il faut s’identifier à nouveau sur chacun des terminaux utilisés.
Pour les entreprises et les organisations, qui doivent gérer les identifiants de leurs employés, membres ou utilisateurs, les fichiers qui les contiennent sont des nœuds vitaux qui doivent pouvoir être accédés à tout moment depuis des origines diverses. Le vol d’un fichier d’identifiants est devenu le cauchemar des responsables de sécurité informatique, et on considère désormais qu’il est indispensable que de tels fichiers soient conservés cryptés sur les serveurs. Cependant, cette précaution n’est pas sufffisante pour se protéger contre les piratages, comme l’a montré le cas du vol des fichiers du site de rencontres Ashley Madison.
Certes, la double authentification, qui fait appel à un jeton unique, relevé sur une liste à biffer, généré par un accessoire que l’utilisateur garde avec lui ou encore envoyé à la demande sur son téléphone, permet de pallier quelque peu les faiblesses inhérentes aux système d’identification basés sur le seul mot de passe. Les moyens d’identification biométriques (doigt, visage, voix) promettent également d’ajouter une couche de sécurité aux protocoles existants, mais en état ils s’avèrent soit peu fiables soit difficiles à mettre en œuvre. Au fond, emportés par l’essor d’Internet, nous nous sommes collectivement engouffrés dans un univers dont les portes s’avèrent mal verrouillées, lui confiant nos correspondances, nos secrets, nos souvenirs, nos patrimoines numériques et financiers, pour découvrir ébahis qu’ils sont à la merci de hackers assez dégourdis pour subtiliser un fichier d’identifiants. Cette dépendance par trop exclusive à l’égard des mots de passe n’a que trop duré, il est temps d’inventer des protocoles d’accès à la fois plus sûrs et plus simples.