Des mots de passe contre les pirates ?

Publié le 04 mai 2010 par Sid

Voilà un article au titre accrocheur sur lequel je suis tombé hier : "Se protéger contre les pirates ? Yes we can". Tout un programme. Et bien que chaudement recommandé ailleurs, je n'en ai pas moins trouvé ce billet quelque peu décevant.

L'auteur veut nous montrer, et c'est fort louable, combien il est important d'utiliser des mots de passe complexes et différents à la fois pour ses divers comptes en ligne, et propose une méthode simple à cet effet. Mais je reste carrément sur ma faim, car après une introduction haute en couleurs avec un exemple à la fois simple et riche comme le hack de Twitter, je m'attendais à quelque chose de plus qu'un simple laïus sur le choix des mots de passe...

Enfin bon, quand je parle de l'exemple du hack de Twitter cité en introduction, je ne sais pas trop en fait de quoi il s'agit. La première chose qui me vient à l'esprit est l'affaire Hacker Croll reprise sur de nombreux sites, intrus auquel on attribue la compromission du compte Twitter de Barrack Obama, sans pour autant qu'on trouve de référence claire à la technique utilisée dans ce dernier cas[1] ou à un éventuel compte Yahoo. Peut-être s'agit-il en fait d'un évènement un peu plus ancien, quand celui qui se décrivait alors comme un adolescent de 18 ans avait effectivement eu accès au compte Twitter du président américain. Mais là encore, point de Yahoo. Il faut dire que sans une source pour appuyer la réflexion, dur de se faire une idée...

D'autant que si je m'en tiens à ces deux exemples, ils attirent mon attention sur tout autre chose, d'où l'impression de hors-sujet que me laisse cet article. Le cas GMZ par exemple m'inspire surtout que tous les mots de passe du monde n'aideront personne contre la négligence d'un administrateur. Car c'est en brute-forçant le mot de passe d'un administrateur que GMZ a pu in fine prendre le contrôle de nombreux comptes Twitter via le backend d'administration, parmi lesquels ceux de Britney Spears et de Barrack Obama. Vous me direz, on retombe encore une fois sur un problème de mots de passe, mais qui n'a malheureusement rien à voir avec celui de l'utilisateur. Ce dernier aurait en effet pu déployer des trésors d'ingéniosité mnémotechnique que ça n'y aurait rien changé...

Ceci est également à rapprocher des nombreuses listes de logins/passwords qui ont fuité suite à la compromission de sites divers et variés, qu'il s'agisse de la récupération des données directement en clair, ou du cassage de mots de passe plus ou moins bien chiffrés. On remarquera que dans ce dernier cas, l'astuce proposée dans l'article n'aidera pas forcément des masses si on s'en tient à des mots de passe de huit caractères alphanumériques, d'où la nécessité de les allonger et/ou d'y ajouter des caractères spéciaux.

Si on regarde l'affaire Hacker Croll de plus près, c'est un aspect complètement différent de la gestion des mots de passe qui est abordé, à savoir les mécanismes de récupération du compte en cas d'oubli. Car ce sont bien eux qui ont été abusés dans cette affaire, sous deux formes différentes. La première est la classique "question à deux balles" dont personne d'autre que vous n'est censé connaître la réponse[2]. Des questions aux réponses bien mystérieuses comme votre date de naissance, le nom de jeune fille de votre mère, le nom de votre animal favori et j'en passe. Autant de réponses qui peuvent être malheureusement découvertes après une séance de googling pas forcément intensive sur les plate-forme de blogging, micro-blogging et autres réseaux sociaux bien connus.

C'est ce qui a permis à quelqu'un d'un peu dégourdi comme Hacker Croll de se goinfrer le compte Yahoo d'un employé de Twitter. Compte qu'il utilisera pour abuser dans un second temps le système de récupération de mot de passe de cette même plate-forme, en se faisant tout simplement expédier ce dernier par email. Email auquel il avait accès. Fin de la démonstration... Dans ce cas non plus, un mot de passe fort n'aurait pas changé grand chose à la conclusion de l''affaire...

Bref, si la nécessité d'avoir des mots de passe différents pour ses différents comptes apparaît comme une mesure nécessaire considérant les risques de fuites d'identifiants, cette simple mesure ne suffit pas. Preuve en est la problématique des procédures de récupération qui laissent parfois à désirer. Mon conseil à cet effet : placez une réponse fausse... Et retenez-là ;)

Par contre, et parce qu'au fond on en revient toujours à la problématique de retenir quelque chose, je ne ballayerais pas d'un revers de main l'usage d'un bon gestionnaire de mots de passe. Si effectivement passer par un service en ligne à cet effet me semble une très mauvaise idée, je tendrais même à conseiller un logiciel bien fait qui va permettre de gérer ses identifiants de manière bien plus efficace. Et surtout bien plus rigoureuse.

Car moi aussi, au début, je me suis dit que les moyens mnémotechniques divers et variés suffiraient. Sauf que ça a très vite montré ses limites, essentiellement à cause du nombre de comptes[3] qui explose et des contraintes qu'on m'impose. Comme le fait qu'on ne peut pas toujours choisir donc login, ce qui oblige à retenir une identifiant en plus du mot de passe associé. Et là, point de moyen mnémotechnique. Ou parce qu'on ne peut pas toujours constituer son mot de passe comme on l'entend. Certains sites vous imposeront des longueurs aussi bien minimales que maximales, ou encore des jeux de caractères restrictifs. Bref, autant de raisons de déroger à la règle et de se tromper.

Aussi, un bon password manager sur votre laptop, PDA, smartphone, voire même GSM, vous ôtera une sévère épine du pied. D'autant qu'il en existe beaucoup, dont certains sont disponibles sur pas mal de systèmes différents. Évidemment, et même si cela va sans dire, à condition toutefois d'avoir correctement limité l'accès à tout ceci avec un vrai mot de passe, vraiment complexe pour le coup...

Notes

[1] L'accès a-t-il par exemple été effectué via le backend d'administration ?

[2] D'ailleurs, si c'est tellement vrai, on se demande pourquoi on l'utilise pas directement à la place du mot de passe...

[3] J'ai actuellement une soixantaine de profils sauvegardé par mon outil favori.