Tous les experts en sécurité conseillent aux utilisateurs de changer le mot de passe de leurs comptes régulièrement afin d’éviter d’éventuelles attaques. Le service de renseignement britannique n’est pas de cet avis et il estime même que cette stratégie est totalement contre-productive. Il conseille d’ailleurs aux entreprises de ne pas changer les identifiants de leurs salariés.
Contrairement à ce que l’on pourrait croire, il ne s’agit pas du tout d’une plaisanterie ni même d’un poisson d’avril. Le CESG a en effet publié une note sur son blog afin d’expliquer en quoi le fait de changer de mot de passe régulièrement peut compromettre la sécurité d’un réseau informatique.
D’après le service de renseignement britannique, il est parfaitement inutile de changer de mot de passe.
Si cet acronyme n’évoque rien en vous, alors sachez que le CESG dépend en réalité du GCHQ et donc du service de renseignements électroniques du gouvernement du Royaume-Uni.
Le CESG a une dent contre les mots de passe
Fondé à la fin des années 40, ce service regroupe actuellement plus de 6 000 salariés et il s’agit par conséquent du plus grand service de renseignement occidental après la NSA.
Il est d’ailleurs membre de l’UKUSA et il a notamment travaillé sur Echelon.
En 2015, il a publié un communiqué dans lequel il déconseillait fermement aux entreprises d’intégrer le changement de mot de passe à leur politique de sécurité. Ces recommandations ont évidemment fait couler beaucoup d’encre dans le milieu et le CESG a donc décidé d’éclaircir sa position au travers d’un nouvel article publié la semaine dernière.
D’après l’agence, le fait de demander aux utilisateurs de changer régulièrement de mot de passe est totalement contre-productif.
En forçant leurs salariés à changer régulièrement leurs identifiants, les entreprises augmenteraient en effet le risque qu’ils les oublient. Conséquence directe, cette stratégie pousserait les gens à choisir des mots de passe simples afin de pouvoir les mémoriser plus facilement.
Changer de mot de passe régulièrement serait contre-productif
Le CESG pense en effet que la plupart des utilisateurs sont incapables de retenir plusieurs mots de passe compliqués. Dans ce contexte, leur imposer des changements d’identifiants fréquents aurait pour effet de niveler les systèmes de protection mis en place vers le bas.
Si les entreprises veulent réellement sécuriser leur système informatique, elles doivent donc s’appuyer sur des outils de surveillance et d’analyse.
Certains des arguments avancés sont parfaitement recevables, bien sûr, mais il ne faut pas perdre de vue qu’ils proviennent d’une agence gouvernementale spécialisée dans la surveillance des citoyens et dans la collecte de données privées.
Une agence qui a finalement tout intérêt à ce que les gens ne sécurisent pas trop les accès à leurs comptes, personnels ou professionnels.