Piratage: les mots de passe complexes sont plus faciles à casser qu’on ne le pense

Avant de commencer, si vous deviez choisir un mot de passe, vous préféreriez opter pour: « j’adorelesitewebpressecitron » ou « @$12aPresseCitrOn34i! » ? Assez instinctivement, vous vous dirigeriez vers le second, qui apparait comme plus complexe que le premier, et pourtant… c’est tout l’inverse !

Piratage du réseau social VKontakte

En effet, depuis près de 15 ans, nous suivons tous à la lettre une consigne proposée en 2003 par le NIST (National Institute of Standards and Technology), suite à la publication d’un rapport de Bill Burr, un expert de cet organisme. Son conseil était de s’assurer qu’un mot de passe contient des majuscules, des minuscules, des chiffres et des signes de ponctuation. D’après les propres mots de ce même expert, ces règles seraient aujourd’hui obsolètes. Il aurait même confié au Wall Street Journal: « Je regrette la plupart des choses que j’ai faites » à cette époque.

Oubliez ce que l’on vous a dit depuis des années sur la façon de choisir un bon mot de passe !

Des propos plutôt inquiétants, car à peu près toutes les personnes qui cherchent à s’éloigner du « 123456789 », ou du « Franck1980 », en réfléchissant à un mot de passe complexe, mais dont ils peuvent se souvenir, sont concernées ! En tant que journaliste, je fais le même méa culpa que Bill Burr, car j’ai régulièrement recommandé ce conseil suite à des piratages massifs ou des top 10 des pires mots de passe. Alors pourquoi subitement les mots de passe complexes sont plus fragiles que des mots ?

On nous a habitués à penser que les attaques par dictionnaire faisaient qu’un mot était facilement piratable comme mot de passe et que des suites de caractères étaient pratiquement inviolables. Le problème vient du fait que nous devons retenir le mot de passe et par conséquent la suite de caractères n’est pas aléatoire. Généralement, nous utilisons un mot ou un nom, que nous complexifions avec quelques caractères intercalaires et qui sont souvent les mêmes pour tous. Le mot de passe semble donc complexe, mais ce n’est pas vraiment le cas pour un hacker. Ces derniers l’ont d’ailleurs bien compris et ont pu affiner leurs algorithmes en étudiant les bases de données de services populaires piratées ces dernières années et contenant des millions de mots de passe.

Les recommandations du NIST ou de l’ANSII pour choisir un mot de passe

Ainsi un mot de passe du genre « j’adorelesitewebpressecitron » pourrait résister des dizaines d’années, voire des centaines avec une attaque hybride combinant dictionnaire et force brute, alors que le mot de passe « @$12aPresseCitrOn34i! » ne résisterait qu’une poignée de jours… Le NIST recommande en effet désormais de plutôt privilégier une suite de mots n’ayant rien à voir entre eux ou une longue phrase. Des mots de passe plus rapides à taper et plus facile à retenir en prime !

L’Agence nationale de la sécurité des systèmes d’information (Anssi), va beaucoup plus loin et recommande d’utiliser des mots de passe de minimum douze caractères et suggère deux méthodes. La méthode des premières lettres, en choisissant une phrase du genre : « les chaussettes de l’archiduchesse sont-elles sèches ou archi-sèches« , qui donnera « Lc2l’As-EsoA-S« . Il est aussi possible de faire le choix de la méthode phonétique : «  j’ai acheté la PS4, elle est trop bien !« , qui donnerait par exemple : « ghTlapS4letRoBi1!« .

Pour le reste, oubliez ce que l’on vous a dit depuis des années sur la façon de choisir un bon mot de passe !


Nos dernières vidéos