Arrêtez de changer de mot de passe, ça ne sert à rien d’après le CESG !
Tous les experts en sécurité conseillent aux utilisateurs de changer le mot de passe de leurs comptes régulièrement afin d’éviter d’éventuelles attaques. Le service de renseignement britannique n’est pas de cet avis et il estime même que cette stratégie est totalement contre-productive. Il conseille d’ailleurs aux entreprises de ne pas changer les identifiants de leurs salariés.
Contrairement à ce que l’on pourrait croire, il ne s’agit pas du tout d’une plaisanterie ni même d’un poisson d’avril. Le CESG a en effet publié une note sur son blog afin d’expliquer en quoi le fait de changer de mot de passe régulièrement peut compromettre la sécurité d’un réseau informatique.
Si cet acronyme n’évoque rien en vous, alors sachez que le CESG dépend en réalité du GCHQ et donc du service de renseignements électroniques du gouvernement du Royaume-Uni.
Le CESG a une dent contre les mots de passe
Fondé à la fin des années 40, ce service regroupe actuellement plus de 6 000 salariés et il s’agit par conséquent du plus grand service de renseignement occidental après la NSA.
Il est d’ailleurs membre de l’UKUSA et il a notamment travaillé sur Echelon.
En 2015, il a publié un communiqué dans lequel il déconseillait fermement aux entreprises d’intégrer le changement de mot de passe à leur politique de sécurité. Ces recommandations ont évidemment fait couler beaucoup d’encre dans le milieu et le CESG a donc décidé d’éclaircir sa position au travers d’un nouvel article publié la semaine dernière.
D’après l’agence, le fait de demander aux utilisateurs de changer régulièrement de mot de passe est totalement contre-productif.
En forçant leurs salariés à changer régulièrement leurs identifiants, les entreprises augmenteraient en effet le risque qu’ils les oublient. Conséquence directe, cette stratégie pousserait les gens à choisir des mots de passe simples afin de pouvoir les mémoriser plus facilement.
Changer de mot de passe régulièrement serait contre-productif
Le CESG pense en effet que la plupart des utilisateurs sont incapables de retenir plusieurs mots de passe compliqués. Dans ce contexte, leur imposer des changements d’identifiants fréquents aurait pour effet de niveler les systèmes de protection mis en place vers le bas.
Si les entreprises veulent réellement sécuriser leur système informatique, elles doivent donc s’appuyer sur des outils de surveillance et d’analyse.
Certains des arguments avancés sont parfaitement recevables, bien sûr, mais il ne faut pas perdre de vue qu’ils proviennent d’une agence gouvernementale spécialisée dans la surveillance des citoyens et dans la collecte de données privées.
Une agence qui a finalement tout intérêt à ce que les gens ne sécurisent pas trop les accès à leurs comptes, personnels ou professionnels.
ENFIN !
Je le dis a tout le monde depuis longtemps et tout le monde me prend pour un fou car « tout le monde dit qu’il faut changer ».
Soyons concret, le hacking du mot de passe se fait par brute force dans la majorité des cas, donc c’est comme le loto, si vous changez de combinaison a chaque tirage, vous n’avez pas plus de chance de gagner, donc changer votre mot de passe n’empechera ni ne ralentira une recherche par bruteforce.
La seule condition pour dire qu’un changement de mot de passe doit avoir lieu, c’est qu’il ai été découvert. Maintenant il est très important d’avoir un système intelligent de mot de passe, donc :
– un mot de passe mail et uniquement mail, très sécurisé
– un mot de passe très sécurisé pour les sites d’identité comme Facebook, twitter,… mais aussi on peut imaginer EDF,…
– un mot de passe moyen pour sites de moindres importance, donc type inscription site, blogs,…. mais dont les hackeurs peuvent acceder a des fonctionnalités génantes (écrire a votre place,….)
– un petit mot de passe pour les inscriptions de test ou de petits sites sans importance, et donc les conséquences d’un vol du mot de passe n’ont aucun impact.
Pour les mots de passe Facebook,… et moyens, on peut juste rajouter a la fin le « FA » de FAcebook par exemple donc quelque chose comme Nu5r2jJFA.
Il y a aussi la solution des phrases, mais bon, tous les sites ne les acceptent pas (longueur) et c’est plus dur a mémoriser une phrase qu’une suite de lettres illogiques, c’est étrange mais c’est ainsi, on mémorise et on se trompe beaucoup moins a mémoriser « RgTk8d3 » répété 4,5 fois, que répeter 4,5 fois la phrase « mon chien sappel Georges » qui va se confondre avec « mon chien georges » ou bien « s’appel » mais ou l’accent est interdit, bref….
Mais non, arretez de changer vos mots de passe, c’est sans interet et comme le dit cette organisation c’est le risque de prendre un mot de passe simple.