Dans la plupart des entreprises, le mot de passe reste la principale clé d’accès aux systèmes informatiques (stations, serveurs, réseau…). Chacun des collaborateurs est ainsi invité à le créer, mais aussi à le changer régulièrement. Une politique de renouvellement justifiée par l’idée qu’un mot de passe peut être découvert sans que son utilisateur s’en rende compte. Et que par voie de conséquence, imposer d’en changer régulièrement limite ce type de risque. CQFD ! La logique est si implacable que cette obligation de renouvellement est mise en œuvre dans la plupart des entreprises ayant élaboré une politique de gestion des mots de passe. L’Agence nationale de la sécurité des systèmes d’information (Anssi), dans ses bonnes pratiques dédiées à la « sécurité des mots de passe », va également dans ce sens en invitant les entreprises à « renouveler les mots de passe avec une fréquence raisonnable » et en précisant que « tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ».
User les bonnes volontés
Créer et surtout retenir un mot de passe complexe, c’est-à-dire difficile à casser n’est pas chose simple. Ce dernier doit en effet être composé d’au moins une dizaine de signes différents (lettres, chiffres, caractères spéciaux, majuscules, minuscules…), n’avoir aucun sens et ne contenir aucune donnée en rapport avec son utilisateur (prénom des enfants, date de mariage, initiales…). Aussi, consentir un tel effort pour, deux ou trois mois plus tard, devoir recommencer est rarement bien accepté. Des stratégies d’évitement risquent alors d’être élaborées par les collaborateurs confrontés à ce qui pour eux n’est rien d’autre qu’un « irritant opérationnel » exaspérant. Des stratégies d’évitement qui, le plus souvent, entraîne une baisse du niveau de sécurité des systèmes informatiques de l’entreprise.
Un point de vue que Lorrie Cranor, responsable technique de la célèbre Federal Trade Commission américaine, n’hésite pas à défendre sur son blog. Et à l’appui de son discours, elle cite une étude réalisée en 2010 par des chercheurs de l’Université de Caroline du Nord. Cette dernière, portant sur les mots de passe créés par les étudiants et des enseignants contraints d’en changer tous les 3 mois, démontre que plutôt que de recréer un nouveau mot de passe, la plupart des utilisateurs se contentent de le modifier en changeant une lettre, un chiffre, un caractère spécial ou en le numérotant. Des stratégies d’évitement si bien partagées qu’un algorithme élaboré par ces chercheurs en modélisant ces pratiques a permis, assez facilement, de « déduire » les nouveaux mots de passe à partir des anciens. Et dans 17 % des cas, moins de 5 tentatives ont d’ailleurs été suffisantes au programme informatique pour y parvenir.
Quand changer ?
Pour Lorrie Cranor, la mise en place d’une politique de changement régulier de mot de passe est à proscrire. Un changement ne doit intervenir que dans certaines situations à risque. L’informaticienne rappelle ainsi qu’un tel changement s’impose lorsqu’un indice laisse penser que le mot de passe est ou risque d’être compromis (virus, phishing, espionnage, communication involontaire ou volontaire à un tiers…). Elle précise également que le changement doit être complet et non à la marge comme le montrait l’étude. Une contrainte plus facilement acceptée par les utilisateurs lorsque la demande de changement est exceptionnelle et clairement justifiée.
© Les Echos Publishing - 2016