La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

Mais au-delà de cette énième fuite d’information, ce qui, rétrospectivement, pourrait étonner un informaticien de la fin des années 1990 est que nous continuons, en 2016, à utiliser des mots de passe, voire dans le cas des banques des codes PIN, pour accéder à nos données les plus sensibles.

Le rapport que nous entretenons avec nos mots de passe est compliqué. Tout le monde est convaincu que ce système est mort depuis 30 ans, mais ce système est plus présent que jamais. En tant que responsables SSI, nous nous sommes souvent vu donner des recommandations lors de campagnes de sensibilisation à la sécurité que nous ne suivions bien souvent pas *nous-mêmes. Les plus anciens se souviennent certainement qu’il était, au début des années 2000, usuel de filer la métaphore de la brosse à dents. Outre le choix d’un mot de passe très compliqué et différent pour chaque compte, il fallait, comme une brosse à dents, le changer fréquemment et ne pas le prêter. Les plus intégristes forçaient techniquement un changement mensuel en vérifiant que chaque nouveau mot de passe était différent des six derniers. Enfin tout ce qu’il fallait faire pour que les mots de passe soient écrits sur des post-its dans tous les bureaux. Cette pratique peut paraître surannée à l’heure où il semble généralement admis qu’il vaille mieux un bon mot de passe que des mauvais (ou des bons, mais écrits sur des post-its, partage réseau, cloud public…) changés souvent. C’est pourtant encore la pratique dans certaines structures ou sur les portails de certaines banques qui obligent toutes les 100 connexions un renouvellement du code PIN de 6 chiffres.

En résumé, nous expliquions doctement à nos utilisateurs qu’il fallait un mot de passe robuste, ne jamais utiliser le même pour deux sites et les changer très souvent. Exactement le genre de conseils que personne ne suit, à commencer par celui qui les donne.

Certaines solutions ont eu leurs heures de gloire dans les entreprises et administrations telles que les PKI ou les terminaux OTP [2]. Si séduisantes techniquement et sûres qu’elles puissent être, ces solutions au regard de leur complexité et du coût de leur mise en œuvre, notamment en matière d’assistance aux utilisateurs, ont découragé beaucoup de DSI et n’ont réussi à être implémentées que dans les plus grandes (ou les plus riches) structures. L’administration fiscale qui avait réussi le tour de force de mettre en place une PKI avec des certificats utilisateurs d’authentification sur tous les postes des utilisateurs a fait machine arrière au bout de quelques années pour en revenir à ce bon vieux mot de passe. La complexité de ce type de solution pour les utilisateurs et le coût induit en matière d’assistance n’a certainement pas joué en faveur de la PKI.

Pourtant, avec la massification de l’usage des smartphones, des mécanismes d’authentification renforcés basés sur des SMS ou des applications ad hoc sont possibles même si elles tardent à se généraliser. De plus en plus de services délèguent l’aspect épineux de l’authentification (et de la base de login/mot de passe à préserver) à des fournisseurs d’identité tels que Google, Microsoft, Facebook ou Twitter. On peut déjà noter des efforts très louables pour rendre l’authentification à deux facteurs possible de la part de Google, Twitter, Dropbox, GitHub, Microsoft ou encore Blizzard. Il ne reste qu’à espérer que les utilisateurs adoptent ce mécanisme massivement, ou soient poussés à le faire par des mesures incitatives, et que cette bonne pratique soit adoptée par tous les fournisseurs d’identité.

