Renouveler son mot de passe : le mieux est l’ennemi du bien
Renouveler son mot de passe part d’un principe utile, a priori : renforcer la sécurité informatique de ses données. Pourtant, d’après le Centre National de Cybersécurité (CNSC), l’autorité gouvernementale britannique dans ce domaine, actualiser trop souvent son mot de passe peut être contre-productif. Depuis 2016, le CNSC tente de faire comprendre aux usagers que des changements fréquents présentent des risques.
Trop de changement tue le changement
L’opinion du CNSC peut surprendre. Elle mérite donc des explications. Sa défiance par rapport aux changements trop répétés de mots de passe est pourtant compréhensible. Elle vient du constat que beaucoup d’utilisateurs, au moment où ils choisissent un nouveau sésame, optent pour un mot passe plus « faible ». En effet, quand on est fréquemment forcé d’en changer, on risque d’être moins vigilant et d’aller au « plus simple ». Or, c’est là que le danger se trouve. Car la tentation de choisir un mot de passe facile à se remémorer est souvent une mauvaise idée.
Des tentations à bannir
Les réflexes à proscrire sont désormais clairement identifiés. Le premier est de prendre un mot de passe très « facile », donc « faible », sous prétexte qu’on en utilise déjà plein. Une autre tentation fréquente est de réutiliser un mot de passe qui est déjà activé ailleurs, pour limiter le nombre de sésames à mémoriser. Par ailleurs, se servir d’un mot de passe trop voisin d’un autre, déjà en service, n’est pas non plus conseillé. Enfin, noter son nouvel accès sur un papier, qu’un tiers malveillant pourrait trouver, est aussi une erreur classique. Toutes ces fausses « bonnes » idées rendent vos données vulnérables à des attaques possibles. L’ensemble de ces constats a conduit le CNSC à cette conclusion sans appel : « Plus les usagers sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. »
Qu’est-ce qu’un mauvais mot de passe ?
Les mots de passe dit « faibles » regroupent des défauts constants. Alors, autant les connaître. Généralement, ils sont toujours trop courts. De plus, ils sont constitués d’une suite de caractères aisément devinables. Ainsi, il faut proscrire les habituelles dates de naissance, ou les trop prévisibles « azerty » et « 000000 », ou le fameux « 123456 », systématiquement testés par les pirates.
Renouveler son mot de passe : des cas de force majeure
Les changements de mot de passe peuvent générer des risques.Parfois, un site peut vous demander de renouveler votre mot de passe parce qu’il a lui-même été piraté, ou qu’il considère que sa base de données était jusqu’alors mal protégée. Dans ces cas-là, il faut se plier à ses exigences, mais en leur accordant l’attention qu’elles méritent. Donc, en prenant un temps de réflexion. Il faut se souvenir qu’opter pour un mot de passe unique par compte est toujours une bonne chose. Ainsi, si l’un des sites que vous fréquentez s’est fait « hacker », le mot de passe qui a été volé ne pourra pas resservir ailleurs. Pour ceux qui utilisent énormément de mots de passe différents, il existe des gestionnaires de mots de passe. Par exemple, essayer les services de KeePass ou de Dashlane.
Des principes sains
Globalement, il est préférable d’éviter les mots de passe trop facilement reliés à votre vie (prénoms d’enfant, dates de naissance, etc.). Par ailleurs, pensez à mélanger les majuscules avec les minuscules, ainsi que des chiffres avec des symboles (&,%). Si vous craignez d’oublier la formule ainsi obtenue, vous pouvez aussi choisir une phrase qui vous servira de pass. Mais elle doit n’avoir de sens que pour vous, tout en étant facile à retenir.
- Nous vous invitons à lire également notre article sur la sensibilisation des jeunes en matière de sécurité numérique
- Le Bulletin des Communes vous suggère aussi le site Silicon, qui rappelle les recommandations de la CNIL en matière de sécurité informatique
Thierry Dulac
JeanJAL
Laurence LAPORTE
Pierre Baron