Skip to main content
Communiqué de presse

Force du mot de passe : ça passe ou ça casse?

Les indicateurs de fiabilité des mots de passe varient, révèle une étude de Concordia

Une nouvelle recherche menée à l’Université Concordia met en évidence les lacunes des indicateurs de fiabilité des mots de passe. | Photo par Christian Fleury Une nouvelle recherche menée à l’Université Concordia met en évidence les lacunes des indicateurs de fiabilité des mots de passe. | Photo par Christian Fleury

Montréal, le 25 mars 2015 — Si vous avez déjà acheté un livre via Amazon ou ouvert un compte Google, vous avez sûrement vu s’afficher sur votre écran le message-guide « Créer un mot de passe ». De même, vous connaissez probablement cette barre à code de couleurs rouge, jaune et vert qui permet d’évaluer la vulnérabilité d’un nouveau mot de passe. Or, quand ces indicateurs avalisent des sésames comme « Motdepasse1+ », leur efficacité peut être remise en question.

Une nouvelle recherche menée à l’Université Concordia met en évidence les lacunes des indicateurs de fiabilité des mots de passe. Dans un article à paraître dans la revue ACM Transactions on Information and System Security, ses auteurs recommandent aux consommateurs de rester critique vis-à-vis d’une barre d’évaluation qui donne le feu vert à un mot de passe nouvellement créé, ou qui le qualifie d’ « excellent ».

Pour les besoins de leur étude, les chercheurs Mohammad Mannan et Xavier de Carné de Carnavalet ont soumis des millions de mots de passe, sujets à caution, aux indicateurs qu’utilisent plusieurs fournisseurs de services Web à trafic intense, notamment Google, Yahoo!, Dropbox, Twitter et Skype. Ils ont également mis à l’épreuve certaines fonctions des gestionnaires de mots de passe, programmes prétendument conçus par des experts dans le domaine.

« Nous avons constaté que les résultats varient énormément. Un mot de passe considéré comme fort sur un site peut-être considéré comme faible par un autre », explique le Pr Mannan, qui enseigne à l’Institut d’ingénierie des systèmes d’information de l’Université.

« De telles lacunes et incohérences peuvent dérouter l’internaute au moment de choisir un mot de passe vraiment sûr et donc desservir l’objectif visé. Par contre, nos observations pourraient contribuer au perfectionnement des indicateurs de fiabilité, voire en faire à long terme des outils efficaces », soutient M. de Carnavalet, qui est doctorant à Concordia.

D’un point de vue pratico-pratique, que conseillent les chercheurs aux entreprises? Suivre d’entrée de jeu l’exemple du logiciel libre Dropbox, recommandent-ils. En effet, le populaire site de partage de fichiers dispose du plus solide indicateur de fiabilité des mots de passe qui soit.

« Plutôt simple à la base, le vérificateur qu’emploie Dropbox analyse les mots de passe avec une bonne efficacité. Ainsi, tout terme qui figure dans un dictionnaire courant est automatiquement repéré, et l’indicateur de vérification de Dropbox signale la vulnérabilité du sésame choisi. L’utilisateur est automatiquement invité à pousser sa réflexion au-delà des mots de passe qui lui sont familiers. C’est un pas dans la bonne direction », affirme le Pr Mannan.

« Certains systèmes de vérification sont très rigoureux. Ils n’attribuent une côte qu’aux mots de passe comportant trois jeux de caractères – lettre, chiffre et symbole. À l’opposé, d’autres vérificateurs admettent l’utilisation de phrases de passe composées uniquement de lettres. Difficilement justifiables, de telles divergences ne sont en outre appuyées par aucune explication à l’utilisateur », précise M. de Carnavalet.

« Nous avons communiqué nos résultats à la plupart des entreprises visées par notre étude, mais cette démarche a suscité bien peu d’échos jusqu’à présent », déplore le Pr Mannan. Yahoo! a mis au rancart son indicateur, et 1Password a corrigé un bogue élémentaire. Sinon, aucun changement n’a été observé dans la dernière année.

Dans l’immédiat, il appartient aux internautes de s’assurer de la fiabilité de leurs mots de passe, et ce, en concevant des chaines de caractères aléatoires formées d’un jeu de caractères complet. Reste à les mémoriser, ce qui bien sûr est un défi en soi.

Comme solution de rechange, le Pr Mannan suggère d’établir des mots de passe au moyen d’images personnelles, notamment à l’aide de l’application SelfiePass/ObPwd pour Android ou Firefox. Il émet toutefois un bémol : le recours à ce type de programme ne résoudra sans doute pas l’ensemble des problèmes liés à la création de mots de passe.

Partenaires de recherche

La présente étude a été financée en partie par une subvention à la découverte du Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) ainsi qu’une subvention octroyée dans le cadre du programme Établissement de nouveaux chercheurs universitaires du Fonds de recherche du Québec – Nature et technologies (FRQNT). 


Source




Retour en haut de page

© Université Concordia