Vous êtes dans : Accueil > Tribunes libres >

La fin des mots de passe prévue aux environ de la saint-glinglin

Cédric Cartau , LUNDI 27 JANVIER 2020

Il y a un thème que j’adore voir dans les publications, white papers et press marketing en tout genre, c’est celui de la disparition prochaine, annoncée et inéluctable des mots de passe. Je me demande si les gugusses qui écrivent ces bouts de papier croient vraiment à ce qu’ils racontent, ou si c’est juste qu’on les paye pour les rédiger, à défaut de leur faire faire autre chose.

Bon, en même temps, il ne faut pas jeter la pierre à la question des mots de passe. Après tout, votre serviteur – qui a l’avantage d’être jeune depuis plus longtemps qu’un nombre croissant de ses lecteurs, ça fiche le bourdon – a commencé à lire des articles (dans des journaux informatiques qui ont presque tous disparu depuis) sur la fin des IPv4 en 1995 ! 25 gâteaux d’anniversaire que je m’entends dire que quatre classes d’adresses sont saturées et que l’année d’après Internet ne fonctionnera plus.

Au début, Il créa le Ciel, la Terre, pas très longtemps après, la pizza jambon-champignons et Mario Kart, et juste ensuite les mots de passe, parce que l’on n’a pas trouvé mieux que le premier facteur (ce que je sais) pour limiter l’accès à une donnée, une ressource. Le problème, c’est que les mots de passe sont comme les Gremlins : ça pullule. L’auteur de ces lignes en a dénombré pour son usage individuel environ 125, et encore uniquement pour la sphère privée puisque, côté professionnel, on doit avoisiner les 30 facile. Et c’est là que les bêtises commencent : on réutilise le même à plusieurs endroits (c’est vilain), on en utilise des simples que l’on retient facilement (c’est très vilain), voire on les écrit sur des Post-it, des fichiers bureautiques, on les oublie, on les envoie par mail ou par SMS, par téléphone, on utilise le même à plusieurs, bref, toutes les horreurs auxquelles vous pouvez penser et même celles auxquelles vous ne pensez pas (je n’ai pas encore eu l’occasion de croiser quelqu’un m’affirmant s’être tatoué le sien sur la cuisse droite, mais si le cas se présentait, je ne serais qu’à moitié étonné).

Les fournisseurs rivalisent d’imagination pour faire en sorte que vous n’en ayez plus, en tout cas, c’est ce qu’ils prétendent. Mais c’est faux : la seule chose que l’on peut faire pour faciliter la vie des gens avec les mots de passe, c’est qu’ils ne les saisissent plus dans un écran ou sur un terminal, ce qui n’est pas la même chose. Prenons l’exemple de ma banque : l’accès à mes comptes sur leur site Web nécessite évidemment un couple identifiant/mot de passe, du classique. Avec l’arrivée des smartphones et des tablettes, leurs informaticiens ont eu la superidée de procéder à l’enrôlement du terminal mobile : à partir d’une connexion Web authentifiée, on génère un Flashcode que l’on scanne avec le smartphone (et saisie du mot de passe bien entendu), et ensuite, pour ouvrir l’appli, on n’a plus besoin du mot de passe du site Web (qui est long et complexe), mais d’un mot de passe « allégé » de quatre chiffres. Mieux, avec les capteurs d’empreinte, on peut même utiliser le doigt pour accéder à ses comptes, génial merci.

Et là on me dit : plus besoin du mot de passe ! Que nenni : si vous égarez (ou perdez, ou changez) le terminal en question, il va falloir rejouer toute la procédure, qui nécessite le mot de passe initial, celui que vous n’avez plus tapé depuis deux ans et dont vous ne savez plus où vous avez bien pu le ranger. Là encore, les informaticiens de ma banque ont eu une superidée : il est possible d’enrôler plusieurs terminaux (mon smartphone et ma tablette), de sorte que si je change le premier, je peux toujours enrôler son successeur avec le second. Si vous pensez que cela règle la situation, vous vous trompez : ça l’empire. La probabilité que vous ayez besoin de réenrôler les deux terminaux à la fois (et donc de recourir au mot de passe initial) est plus faible, donc moins fréquente, donc augmente le risque d’avoir égaré ou bien oublié le mot de passe initial quand vous en aurez besoin (tous les cinq ans au lieu de tous les deux ans dans la première hypothèse).

Alors on continue dans la même veine : dans le dernier scénario, les informaticiens ont prévu le renvoi du mot de passe initial sur votre smartphone en cas d’oubli. Il ne faut juste pas que le smartphone sur lequel vous allez vous le faire réenvoyer soit justement celui que vous avez changé, il ne faut pas que vous ayez changé de numéro de téléphone portable en cinq ans. Bref, la combinatoire des cas tordus devient plus que complexe et, au final, la seule roue de secours dont vous disposez est… le mot de passe initial. Sauf à retourner physiquement à votre agence bancaire : mais que l’on me montre comment on fait pour les banques en ligne, pour ceux dont l’agence est à 800 kilomètres, etc. En gros, la vie sans mot de passe, c’est l’horreur.

C’est là que vous vous dites que j’ai la solution, le truc magique pour nous sortir tous de cette situation inextricable. Le conteneur de mot de passe ? Où rangez-vous le mot de passe maître ? Dans un coffre-fort ? Qui connaît la combinaison ? Bien caché sous une pile de chaussettes ? Dans quel tiroir ? L’horreur, vous dis-je.

Bonne semaine quand même !