Microsoft Research vient de publier les résultats d'une étude pour le moins étonnante concernant l'utilisation des mots de passe. Les résultats de leurs recherches démontrent en effet qu'il est irréaliste d'utiliser des mots de passe uniques, complexes et adaptés à chaque besoin : recycler et utiliser des mots de passes simples serait une meilleure alternative selon l'éditeur.
Une approche qu'il estime cohérente et terre à terre face au niveau de sophistication croissant des cyberattaques et à la « faille humaine » persistante. Selon les chercheurs Microsoft, il s'agit d'établir des priorités : les services moins importants peuvent bénéficier de mots de passe simples à mémoriser tandis que les comptes plus sensibles peuvent quant à eux être protégés par des mots de passe plus complexes. S'il est vrai que la gestion de comptes multiples est complexe, notamment au sein des entreprises, il est surprenant de faire de telles recommandations au moment où le vol de données personnelles fait la une des actualités quasi quotidiennement. En outre, des solutions ou techniques simples peuvent être utilisées afin de faciliter la création et la gestion de mots de passe, aussi bien pour les particuliers que pour les entreprises. Jean-Christophe Vitu, Professional Service Manager, Europe du Nord chez CyberArk a fait les commentaires suivants : « Microsoft partage ici une idée à contre-courant selon laquelle la complexité des mots de passe ne serait pas toujours nécessaire. En incitant les utilisateurs à choisir des mots de passe faibles pour les services dits de moindre importance, Microsoft va à l'encontre de ce que les experts de la sécurité préconisent. En effet, les utilisateurs ont souvent du mal à faire la part des choses sur ces questions : tandis que les services bancaires sont en général considérés comme étant de haute importance, les media sociaux peuvent paraître quant à eux moins sensibles. Pourtant ces derniers représentent une source intarissable de données utiles pour les pirates informatiques : le détournement d'un compte utilisateur sur un réseau social peut leur permettre d'obtenir des informations personnelles d'identification et d'usurper ainsi l'identité du titulaire du compte afin d'ouvrir une nouvelle série de menaces et de vecteurs d'attaques nuisibles. Les mots de passe, surtout s'ils sont simples ou s'ils ont déjà été utilisés, représentent une menace importante à la fois pour les utilisateurs et pour les organisations. Des techniques qui consistent à simplifier la gestion des mots de passe pour faciliter l'accès des utilisateurs et assurer la sécurisation de tous les comptes au même niveau existent au sein des entreprises. En outre, il est possible de créer simplement des mots de passe uniques et mémorisables facilement : par exemple, prendre les deux premières lettres du service concerné ou de son nom entier et y ajouter un nombre - celui du service lui-même ou de la date de modification du mot de passe. Cela permet aux utilisateurs de mémoriser facilement, voire de « redécouvrir » par des moyens mnémotechniques leurs mots de passe, sans avoir à trop se creuser la tête ou à réutiliser les anciens. Il est essentiel que les mots de passe complexes restent l'un des principaux remparts pour les utilisateurs afin de lutter contre les intrusions et le vol de données. Au sein des entreprises, il faut simplifier la gestion des mots de passe mais sans en diminuer l'importance. La mise en place de mesures de gestion de mots de passe à la fois via des outils de gestion automatisée mais également à travers une sensibilisation active des employés permet de garantir la sécurité des données sensibles de l'organisation. Il ne faut surtout pas renoncer à cet aspect sous couvert de nature humaine incorrigible. Les employés peuvent être efficacement sensibilisés à ces questions avec un accompagnement adéquat et les bons messages, par exemple : éviter les mots de passe trop simples, ne pas les partager avec des tiers, les changer régulièrement, utiliser les bons outils, etc. Cela reste, à mon sens, la première étape incontournable vers les données sécurisées. » |