La Députée Sandrine Doucet (PS, Gironde) rapporte notre éminent confrère Xavier Berne de PC-Inpact, pose une question relative à la complexité des mots de passe utilisés par nos concitoyens. Que, comme le prétend notre confrère, l’idée ait germée après la lecture du dernier rapport de Deloitte ou d’une de ces centaines d’alertes sur la récurrence du fameux 123456 et autres AZERTY, n’a en soi que très peu d’importance. Ce qui ressort de cette question de Sénateur, c’est qu’une fois de plus, un politique prend conscience d’un problème technique excessivement parcellaire et tend à en faire une question de priorité.
Certes, qu’un grand commis de l’Etat s’inquiète du manque de sensibilisation en matière de sécurité informatique est une chose louable. Mais en général, ces attentions relèveraient plus du « coup médiatique » que d’un réel souci d’efficacité. L’on a ainsi entendu, au fil des deux dernières décennies, maints Ministres et Députés s’interroger sur la nécessité du chiffrement des correspondances numériques, sur l’importance d’alertes liées à des vagues de spam/scam et autres escroqueries « électronico-épistolaires », ou encore sur l’impérieuse urgence de vendre auprès de tous l’idée de la sacro-sainte trinité « firewall-antivirus-contrôle parental », seules armes capables de protéger la famille des hordes de cyberpédophiles-violeurs-poseurs de bombes chevauchant le far-west de l’Internet. Séries de dispositions qui, rappelons-le, ont eu pour conséquence un empilement de dispositions juridiques (lopsi, loppsi, LCEN…) souvent considérées comme plus liberticides qu’efficaces. Ceci sans oublier la création de la loi et de la commission Hadopi, qui au lieu de juguler le piratage des œuvres de l’esprit, n’arrivent au final qu’à condamner les particuliers pour « défaut de sécurisation »… autrement dit de le punir pour « délit d’incompétence informatique ».
Bref, les politiques tentent, à périodes régulières, d’apporter une réponse technique à une question technique. Lesquelles questions et réponses, comme tout ce qui touche à la technique, sont rapidement frappées d’obsolescence. Alors pourquoi ne pas prendre le problème par le bon bout et envisager tout simplement de proposer une réponse politique (et donc pérenne) à la question de la cyber-sécurité des cyber-citoyens ?
A commencer, peut-être, par la création d’un CERT grand public, comme cela se fait au sein des principaux pays européens voisins. Ou peut-être en tentant de diffuser des outils simples d’emploi, gratuits et non-obligatoires, adaptés aux besoins du citoyen non technicien. Dispositions d’autant plus nécessaires puisque le « citoyen techno-incompétent » conspué par l’Hadopi, incapable de choisir un mot de passe solide ou un antivirus gratuit et efficace, devient, durant les heures de travail, qui un fonctionnaire, qui un employé de bureau, qui un artisan, qui un chef d’entreprise de grande ou moyenne envergure utilisant généralement force outils informatiques. La fonction créerait-elle une « intelligence de la cyber-sécurité » uniquement durant les heures ouvrables ? Cela est peu probable, et l’on peut, sans trop se tromper, estimer qu’à de très rares exceptions sectorielles (armée, police, justice, corps de métier pour qui la sécurité est un réflexe), le manquement persistant des Gouvernements successifs à traiter le risque à la racine, c’est-à-dire au niveau citoyen, a contribué à la fragilisation des infrastructures d’Etat et de notre Industrie. Avec un Cert Grand Public efficace, un « hack de l’Elysée » via une page Facebook aurait eu considérablement moins de chance de survenir…
Il est grand temps que chaque Français puisse avoir droit à une information non biaisée, objective, dénuée de toute influence commerciale et autres statistiques douteuses. Ce n’est que par une éducation constante et dégagée de toute influence liée à l’actualité que pourront, par voie de conséquence, être consolidés les systèmes d’information des secteurs industriels et des collectivités territoriales. Mais attention, il faut avoir un certain courage politique pour oser se lancer dans une telle aventure sans gloire ni promesse de récompense, pour refuser les succès faciles offerts par les annonces « FUD » (peur-incertitude-doute) qui attirent, le temps d’un 20 Heure, l’attention de quelques médias.
C’est UN MONDE tout de même !
Comme par hasard c’est TOUJOURS l’utilisateur le fautif !
C’est facile de taper dessus : il n’a pas la possibilité de se plaindre.
Mais les VRAIS FAUTIFS ne sont PAS les utilisateurs mais les ÉDITEURS (de service en ligne et de logiciels) !
Et on ne tape JAMAIS sur eux, n’est ce pas ? Ils sont trop puissants.
En effet, j’affirme haut et fort que c’est à eux de mettre en place des fonctions de transformation de mot de passe difficilement traversables !
Forcément, avec du MD5 ou du NTLM même v2, à raison de plusieurs centaines de milliards de combinaisons testées par seconde même un mdp de 10 symboles ne résiste pas longtemps avec les moyens de calculs actuels.
Essayez la même chose avec bcrypt (Twitter), Keypass (SHA-256 itéré un minimum de 6 000 fois et pouvant monter au gré du bon vouloir de l’utilisateur, le mien est à 10 millions d’itérations) ou WPA (PBKDF2 itéré 5 000 fois) !
Navré mais ce n’est PAS de la responsabilité de l’utilisateur de devoir retenir des mdp de 12 symboles !
Si les éditeurs se remuaient le popotin (mais ça coûte cher de se remuer le séant [1]), les fracturations de référentiels de mdp ne seraient plus qu’un lointain souvenir de même que les politiques de construction de mdp à base de phrases, symboles exotiques et autres caractères unicode du plan C.
Bien cordialement,
db, RSSI furax sur ce sujet.
[1] µsoft consent de faire l’effort pour Office 2013. À quand le même effort sur une infra AD ?