Blog
Actualités

Les mots de passe, leur fonction, leur histoire, leurs règles et leurs remplaçants

Team Bravas
12/12/2023
5
min

Qu’est-ce qu’un mot de passe ?

Le mot de passe peut-être perçu comme une clé ouvrant une porte (et surtout pas plusieurs portes !) à celui qui le possède. Il est important de rappeler qu’un mot de passe doit rester connu seulement d’une personne (et occasionnellement d’un groupe de personnes). Le mot de passe, une fois la porte ouverte, vous donnera accès à des privilèges et des informations. Ainsi il est primordial de garder son mot de passe en sécurité et de le changer si celui-ci a été corrompu.

L’histoire du mot de passe


Dans l'Antiquité, les mots de passe étaient utilisés pour identifier des amis ou des ennemis, par exemple lors d'une bataille. Les mots de passe étaient également utilisés dans les guildes et les sociétés secrètes pour identifier les membres.

Au XIXe siècle, les chemins de fer ont commencé à utiliser des billets de train avec des numéros de série imprimés pour éviter la fraude. Les passeports et autres documents officiels ont également commencé à inclure des informations de vérification pour empêcher la contrefaçon.

Il est important de noter que l'utilisation des mots de passe dans les bars clandestins (également appelés speakeasies) est principalement une pratique de l'époque de la Prohibition aux États-Unis, qui a duré de 1920 à 1933. Pendant cette période, la vente, la fabrication, et la distribution d'alcool étaient interdites par la loi, mais de nombreux bars clandestins ont continué à fonctionner secrètement.

Pour accéder à ces bars, les clients devaient connaître le mot de passe, qui était généralement une phrase ou un code secret, souvent transmis de bouche à oreille ou par des personnes de confiance. Les propriétaires des bars clandestins utilisaient des mots de passe pour filtrer les clients et s'assurer que seuls les habitués et les personnes de confiance étaient autorisés à entrer.

Les mots de passe ont également été utilisés pour avertir les clients d'une descente de police imminente ou pour annoncer des événements spéciaux tels que des spectacles de musique ou des soirées à thème. Les mots de passe ont donc joué un rôle important dans la sécurité et la discrétion des bars clandestins pendant la Prohibition.

De nos jours, bien que l'utilisation de mots de passe dans les bars clandestins ne soit plus aussi courante, certaines entreprises peuvent encore les utiliser pour ajouter une touche de mystère et d'exclusivité à leurs événements. Toutefois, cette pratique est souvent plus une question de marketing que de nécessité réelle de sécurité ou de discrétion.

Les mots de passe, un concept qui s’est massivement démocratisé avec le développement de l’informatique et du numérique dans les années 1970. Des chiffres, lettres, caractères spéciaux qui semblent protéger l’accès à nos appareils électroniques et nos comptes

Le premier mot de passe numérique a été créé par Fernando Corbató au début des années 60. Une technique de sécurité révolutionnaire qu’il jugea plus tard comme rudimentaire et ingérable. S’en sont suivies de légères évolutions jusqu’au rapport de Bill Blur ayant écrit les règles officielles de la génération de mots de passe pour l’Institut national des normes et de la technologie (NIST) des Etats-Unis.

Son rapport, même si vous ne l’avez pas vu, vous avez certainement appliqué certaines des règles qu’il préconisait :

  • un renouvellement du mot de passe tous les 90 jours
  • utilisation de caractères spéciaux, chiffres, majuscules
  • une longueur de tant de caractères

Néanmoins, ces recommandations n’avaient pas été testées avant d’être communiquées et appliquées massivement partout dans le monde, entreprises, internautes et même institutions gouvernementales. Il s'excusa en 2017, soit 14 ans plus tard et conseilla même de ne plus suivre ces recommandations, lesquelles avaient été intégrées dans les logiciels utilisés pour pirater les mots de passe. un bel exemple de cargo cult programming !

Peut-être que ce qui semble compliqué pour un humain ne l’est pas autant pour un ordinateur ?

Alors quelles sont les recommandations actuelles du NIST ?

Le NIST a publié en Juin 2017 de nouvelles règles autour de l’identité numérique, l'authentification et la gestion de leur cycle de vie :

  • un mot de passe créé par un utilisateur doit avoir au moins 8 caractères et les utilisateurs autorisés à générer un mot de passe allant jusqu’à 64 caractères
  • un mot de passe créé par un ordinateur doit avoir au moins 6 caractères (ces mots de passe ont généralement vocation à ne servir qu’une seule fois)
  • tous les caractères, symboles, espaces et même émojis du code ASCII (American Standard Code for Information Interchange, standard américain, étant l'un des plus utilisés, en particulier sur les ordinateurs) et de l’UNICODE qui est un code qui défini un correspondance entre symboles et nombres.
  • les mots de passe stockés doivent être salés (ajout de caractères dans votre mot de passe générés par la solution de cryptographie), puis haché (fonction mathématique déterministe mais non réversible qui transforme votre mot de passe) mais ne doit jamais être tronqué.
  • les mots de passe suggérés doivent être vérifiés dans les bases de données de mot de passe volés et rejetés si une correspondance est trouvée.
  • les mot de passes ne doivent pas expirés
  • les mots de passes générés par des utilisateurs ne peuvent pas avoir de séquences (“1234”) ou de caractères répétés (“aaaa”)
  • Authentification en deux facteurs (2FA)  ne devrait pas envoyer de codes par SMS
  • Les questions secrètes (“ quel est le nom de jeune fille de votre mère ?” ne doivent pas être utilisées
  • les utilisateurs doivent avoir jusqu’à 10 tentatives de connexion avant que leur compte soit bloqué
  • aucun indice ne doit être donné
  • aucun requis de complexité ne doit être mis en place (“caractère spécial obligatoire”)
  • des mots liés au contexte de connexion ne doivent pas être utilisés (nom du service, nom d’utilisateur…)


Quelles sont les techniques pour pirater un mot de passe ?

Pourquoi vouloir créer autant de règles sur le mot de passe ? Vous vous dites peut-être que vous n’avez jamais partagé votre mot de passe, donc qu’il n’y a pas de risques ? Malheureusement les pirates, qu’ils travaillent seuls ou en groupes, se sont professionnalisés, ont des robots qui scannent le web et sont capables de mener des opérations d’envergures.

Voici les méthodes les plus utilisées pour dérober un mot de passe :

  • Le brute force : l’idée est simple, un logiciel teste toutes les combinaisons existantes possibles jusqu’à ce que le mot de passe soit trouvé. Cette technique, bien que toujours utilisée, peut-être prévenu pour une limitation du nombre de tentative et des mots de passe très longs, qui permettent aussi d’éviter les attaques par rétro-ingénierie (table Rainbow) 
  • L’attaque par dictionnaire : un logiciel va venir tester les mots de passe les plus utilisés à travers le monde. Oubliez “12345”, “azerty” et autres mots de passe trop simplistes
  • L’hameçonnage (Phishing) : cette technique peut-être très trompeuse. L’attaquant va mimer un site légitime afin que vous renseignez votre identifiant et votre mot de passe. Faite attention aux détails : l’URL, les fautes d’orthographes, un e-mail suspect… et activer la double authentification dès qu’elle est proposée.
  • les Malwares (keyloggers, chevaux de Troie, …) : l’ordinateur est infecté et le pirate a un accès à tout ce qui est fait et tapé par l’utilisateur. Ces malwares peuvent prendre la forme de logiciel, d’extensions de navigateurs, d’applications mobiles, de fichiers, donc conseil numéro 1, faites attention à ce que vous téléchargez et soyez d’autant plus vigilant si vous utilisez un ordinateur qui n’est pas le vôtre.
  • Deviner un mot de passe : oui on a déjà tous renseigné à notre question secrète des réponses de notoriété publique. Grossière erreur, ces questions doivent avoir des réponses que seul vous connaissez.
  • Voir le mot de passe : un post-it ? un papier dans un cahier ? une note non-chiffrée sur votre ordinateur ? n’oubliez pas que les pirates ne sont pas forcément des personnes à l’autre bout du monde

Il existe de nombreuses solutions, méthodologies et technologies qui vous aideront à mieux sécuriser vos accès et informations. Certaines viennent renforcer des faiblesses et d’autres substituer toutes ces méthodes d'authentification et de connexion que vous avez pu utiliser depuis vos débuts sur le web.

Et si je vous disais que dans le web et le futur du monde du travail, le mot de passe n’aurait pas sa place ?!

Si vous souhaitez en savoir plus, contactez-nous !

Partagez ce post
Copy to clipboard icon
Linkedin Icon
Twitter Icon
Facebook Icon

Vous souhaitez plus d'informations

Bravas - Arrow icon svg
Contactez-nous
Bravas - Arrow icon svg

Plus d'articles

Découvez les autres articles de Bravas

The Benefits for MSPs of Using Bravas.io to Manage IT Fleets for SMBs
Actualités
min read

The Benefits for MSPs of Using Bravas.io to Manage IT Fleets for SMBs

New Security Challenges for Remote Teams
Actualités
min read

New Security Challenges for Remote Teams

Why Bravas.io's Windows Device Management is a Great Alternative to Microsoft Intune
Gestion informatique
min read

Why Bravas.io's Windows Device Management is a Great Alternative to Microsoft Intune

Tous les articles