De mauvais mots de passe, nous le répétons sans cesse, mettent en danger la cybersécurité des utilisateurs. Mais les grandes entreprises ne sont-elles pas également responsables lorsqu’elles incitent, par le design même de leurs sites internet, les internautes à avoir des comportements à risque vis à vis des mots de passe.
Suite à l’évaluation de la force des mots de passe, visant 37 sites en ligne et applications réputés, réalisée par l’entreprise Dashlane qui distribue le gestionnaire de mot de passe éponyme, l’entreprise a apporté un début de réponse : de nombreux sites sont plutôt bons, certains s’améliorent, mais un noyau dur, incluant certaines des plus grandes marques, restent étonnamment basiques dans leur approche !
Dashlane, soyons francs, a quelque chose à gagner en montrant du doigt une mauvaise définition des mots de passe, car son business model est bâtit sur la commercialisation d’un logiciel offrant une gestion sécurisée des mots de passe, qui prétend d’ailleurs être la réponse à ce problème.
Néanmoins, cela ne disqualifie pas les résultats de l’entreprise pour autant, lesquels ont été mesurés en fonction de cinq critères : la longueur minimale des mots de passe, l’utilisation de mots de passe alphanumériques, la possibilité d’évaluer la puissance de ces derniers, la résistance aux attaques par force brute (à savoir le verrouillage des comptes après trop de tentatives ayant échoué), et enfin si l’authentification multi-facteur est disponible ou non.
Ces critères représentent de nombreux points de vérification, mais commençons par la partie la plus désagréable, qui consiste à citer les noms des “vainqueurs”, car on y trouve de réelles surprises. Avec un score sans appel de 0/5, nous trouvons Uber, Spotify, Pandora et Netflix, et ensuite nous avonsWalmart, Instagram, Pinterest, SoundCloud, Evernote, Macy’s et Dropbox avec un score de 1/5. En ce qui concerne les sites web d’entreprise, les scores se sont améliorés légèrement, mais cela n’empêche pas Amazon Web Services (AWS) et Freshbooks d’obtenir un score de 1/5. MongoDB et DocuSign ont quant à eux atteint un score de 2/5.
Cela signifie qu’un utilisateur peut s’inscrire à plusieurs de ces sites en entrant un mot de passe simple, ayant moins de huit caractères (“aaaaaaa“, par exemple), et ce dernier sera validé. Si un cybercriminel lance une attaque par force brute, les tentatives avec échec ne provoqueront pas nécessairement un verrouillage du système.
Rien n’empêche les utilisateurs de créer des mots de passe longs et complexes et d’utiliser ces sites de manière plus sécurisée. Le problème est que ces sites ne s’en soucient pas de toutes les façons !
Il existe un contraste saisissant avec GoDaddy (5/5) et Apple, Best Buy, Home Depot, Microsoft, PayPal, Skype, Toys ‘R’ Us et Tumblr (tous avec un score de 4/5), qui ont appliqué la totalité ou la plupart des critères retenus.
Les utilisateurs devraient être vigilants vis à vis des mots de passe, a concédé le PDG de Dashlane, Emmanuel Schalit. Néanmoins :
Les entreprises sont responsables de leurs utilisateurs et devraient les guider vers de meilleures pratiques dans le choix des mots de passe.
Il a raison, bien sûr, les sites devraient s’inquiéter davantage lorsque les utilisateurs entrent des mots de passe faibles. Compte tenu de la simplicité de la mise en œuvre, il est surprenant que ce soit encore un problème !
Certains sites avec des notes faibles feront remarquer certainement que la sécurité d’un site web est plus complexe que la seule prise en compte de ces critères.
Ils ont aussi raison. L’authentification multi-facteurs, par exemple, est une couche de sécurité supplémentaire essentielle de nos jours, mais certains sites le déploient de manière plus sécurisée que d’autres. Effectivement, il ne s’agit pas d’une simple case à cocher. On pourrait également discuter de l’importance de vérifier si un site indique à ses utilisateurs le niveau de sécurité des mots de passe lorsque cette pratique est mise en place au préalable.
Certains soupçonnent que les politiques de mots de passe faibles, au sein des entreprises, révèlent simplement un manque de conviction que des bons mots de passe existent et doivent être utilisés, car ils sont souvent réutilisés, victimes de phishing ou encore volés. D’un autre côté, ils pensent aussi qu’un choix de mots de passe exigeant peut être une barrière pour attirer les utilisateurs, les inciter à s’inscrire, et à utiliser leurs services, en particulier ceux basés sur les applications mobiles.
C’est une approche vraiment à courte terme. Une bonne politique en matière de sécurité doit passer par un choix de mots de passe complexes. Même si leur efficacité en tant que mécanisme de sécurité élémentaire diminue, au fond, les gens savent que les mots de passe en disent long sur les utilisateurs et les entreprises vers lesquelles ils sont attirés !
Billet inspiré de Too many big online brands allow terrible passwords, sur Sophos nakedsecurity.