Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

La Journée mondiale du mot de passe nous le rappelle douloureusement : laisser les gens choisir leurs propres mots de passe est une très mauvaise idée. Heureusement, les choses s’améliorent et la sécurité des mots de passe évolue grâce à de nouveaux outils. Toutefois, la nécessité d’une telle journée demeure.

Les gens disent souvent qu’ils ne possèdent rien qui soit susceptible d’intéresser des criminels. Pourtant, au fond, ils savent que ce n’est pas vrai. Les utilisateurs emploient des mots de passe pour tout : services de messagerie électronique, plateformes de streaming vidéo, comptes permettant de se connecter au site d’une école, etc. Les mots de passe protègent généralement toutes sortes d’informations personnelles ou de métadonnées qui concernent les gens. Ils n’auraient pas lieu d’être si toutes ces informations n’avaient pas une certaine valeur pour quelqu’un.

En dépit de tout cela, les gens considèrent les mots de passe comme quelque chose qui demande à la fois du temps et de l’énergie. Ils représentent un poids dans notre vie quotidienne, raison pour laquelle nous avons tendance à prendre des raccourcis, comme utiliser un même mot de passe pour de multiples services ou choisir des mots de passe simples, faciles à retenir.

Trois tristes vérités

Une récente étude a montré que 66 % des gens n’envisageaient pas de modifier leurs mots de passe après avoir eu connaissance d’une importante violation de données, et que plus de la moitié n’avaient pas modifié leurs mots de passe au cours des 12 derniers mois. Ces comportements font que les violations de données permettront toujours aux auteurs de menaces de se procurer un très grand nombre d’identifiants valides.

En dépit des progrès technologiques et bien que les services en ligne requièrent des mots de passe de plus en plus complexes, le mot de passe le plus couramment utilisé dans le monde reste « 123456 ». Une récente enquête a montré que sur 1 milliard d’identifiants analysés, 7 millions environ étaient « 123456 ».

Les mêmes mots de passe utilisés depuis des années protègent toujours plus de données. À mesure que le temps passe, les services en ligne recueillent de plus en plus d’informations concernant leurs utilisateurs ou leur appartenant, sans même parler des métadonnées. Cela signifie que tous ces mots de passe non sécurisés protègent en réalité un ensemble toujours croissant de données personnelles.

Il y a encore de l’espoir

Que ce soit suite à une forte incitation des services en ligne ou du fait d’une prise de conscience accrue, la sécurité des mots de passe a évolué. Les gens sont plus nombreux qu’auparavant à choisir des mots de passe complexes et uniques, un comportement responsable encouragé en partie par l’émergence des gestionnaires de mots de passe. Ces logiciels très pratiques jouent le rôle de coffres-forts stockant l’ensemble des mots de passe des utilisateurs, afin que ceux-ci n’aient pas besoin de les retenir tous.

Par ailleurs, le taux d’adoption de la vérification en deux étapes (authentification à plusieurs facteurs ou MFA) dépasse désormais les 50 %. La multiplication des couches de sécurité est toujours préférable, et la MFA est rapidement devenue essentielle.

Enfin, tous les grands navigateurs suggèrent maintenant des mots de passe forts et uniques au moment de la création de nouveaux comptes, ou vérifient si les mots de passe actuellement utilisés ont fait l’objet d’une violation de données. Les entreprises de cybersécurité ont développé des outils capables de vérifier si les identifiants des gens ont fait l’objet de violations de données, et les utilisateurs semblent plus conscients de l’importance du choix de leurs identifiants.

Il semblerait que le fait d’interpeller les utilisateurs au sujet de la sécurité de leurs mots de passe depuis quelques années ait plutôt porté ses fruits. Il s’agit d’un processus long qui va sans doute se poursuivre, et cette Journée du mot de passe ne sera pas la dernière. Mais elle fait partie de ce même processus de sensibilisation qui aide les entreprises de sécurité à faire prendre conscience aux gens de l’importance de leurs données et de leurs responsabilités quand il s’agit de protéger ces informations.