Le choix du bon mot de passe

Le sensationnalisme lié à la sécurité informatique n'a d'égal que le fantasme de ce que l'on a à protéger.

La logique de protection mise en œuvre est peu à peu en train de se perdre dans des méandres de considérations techniques subsidiaires : alors, que choisir comme mot de passe, quelle longueur, avec quels caractères spéciaux... quand elle devrait se concentrer sur l'importance des données à préserver. (A ce sujet, nous vous recommandons la lecture de nos articles sur la sauvegarde informatique des données : autant prévenir que guérir !) Pourquoi se creuser les méninges pour tenter de "trouver" le meilleur mot de passe quand il s'agit d'un forum sur lequel vous risquez d'aller 1 ou 2 fois, et pour lequel vous n'allez pas compléter votre profil ?

Le mot de passe idéal est celui qui est adapté à l'importance des informations que vous laissez en un endroit.

Exemple : vous souhaitez accéder à un forum afin d'apporter votre contribution, ou au contraire afin de requérir de l'aide. Tout ce qu'il vous faut, c'est une adresse e-mail et un mot de passe.

  1. Procédure standard : vous saisissez votre adresse e-mail courante, et choisissez un mot de passe faible, comme "maman1954".
  2. Procédure sécurisée : vous utilisez une adresse de courriel jetable, et choisissez un mot de passe faible. Ou bien, pour une procédure moins sécurisée, si vous utilisez votre adresse courante, vous prenez la peine de supprimer votre compte une fois que vous avez obtenu ce que vous cherchiez, ou que vous avez l'assurance que vous n'obtiendrez pas satisfaction.

Démonstration : la différence, vous l'avez vu, ne tient pas dans la constitution du mot de passe lui-même. Elle est liée à l'utilisation du site sur lequel vous allez le créer.

L'effort demandé est reporté : il ne consiste pas à inventer un bon mot de passe, mais à ajouter un intermédiaire, ou à effacer ses traces. Dans les deux derniers cas, le processus est plus long. Mais à notre avis, plus adapté !

Nous préconisons un usage complet de cette procédure, à savoir créer une adresse temporaire, puis de toutes façons à supprimer votre compte. En effet, la suppression des informations vous concernant n'exclut pas les systèmes de sauvegardes informatique qui ont pu garder une copie numérique de vos données.

L'enjeu consiste, dans le cas de figure présenté ici, à ne pas laisser de traces, qui permettent de contribuer à dresser votre profil. Lequel pourra être utilisé pour chercher à vous vendre des produits en vous présentant des publicités ciblées, pour le moins.

Mise en application

Pour terminer, nous allons prendre un exemple concret.

Murielle Gladystovak va s'inscrire sur un forum de jardinerie. Elle est en effet passionnée par le jardin à la française et passe son temps libre dans son arboretum.

Elle n'est pas une grande utilisatrice d'internet, et possède une seule adresse email, celle de son fournisseur d'accès : Murielle.Gladystovak@orange.fr

Cette adresse qui paraît bien innocente délivre 3 informations importantes : le prénom, le nom et le fournisseur internet.

En s'inscrivant avec cette adresse sur le site, elle indique implicitement qu'elle habite en France, et qu'elle a probablement un jardin. Ce qui nous fait 5 informations qui commencent à dessiner un portrait.

Portrait-robot d'une adepte des plantations et arbustes :

Ensuite, selon ses interventions sur le forum, l'internaute pourra en déduire : son âge (plantes préférées demandant un entretien plus ou moins physique, allusions aux postures des jardiniers inconfortables lorsqu'il s'agit de travailler à genou ou le dos courbé, etc), son niveau d'éducation (tournures de phrase, richesse du vocabulaire, politesse...), sa localisation (allusions à la météo et aux conditions climatiques, nature du sol et terroir...)

Il y a fort à parier que cette personne va donner des indications précieuses sur ses lieux d'approvisionnement (vente à distance, pépiniériste local ou grande surface du jardinage, etc) et ses habitudes (déjeuner dans le jardin, nourrir les poissons du bassin, aménager la serre), bref : à partir d'une inscription et de quelques échanges anodins, il est possible d'en savoir bien plus sur nous qu'on ne le pense lorsqu'on s'inscrit sur un site.

Pourquoi se protéger

Cet exemple trivial peut être exploité à des fins de profilage bien plus précis. En utilisant la même adresse e-mail sur plusieurs sites, cette femme va démultiplier les informations à son sujet.

En faisant travailler les ordinateurs pour chercher et recouper ce type d'informations, le collecteur de données se fatigue moins que s'il devait espionner cette personne physiquement. Et il peut le faire à propos de milliers d'internautes.

En utilisant simplement une adresse jetable, vous rendez plus difficile le pistage qui permettra de compléter le puzzle de votre profil. Alors que si vous cherchez simplement à augmenter la difficulté de votre mot de passe, vous n'allez qu'allonger le temps que l'ordinateur va mettre à casser votre protection.

L'ordinateur ne fait que ce qu'on lui ordonne :

  1. trouver un mot de passe : il va le faire, et ne faire que ça, en boucle, jusqu'à ce qu'il trouve. Admettons que le mot de passe est trouvé.
  2. trouver quelle est l'identité de la personne qui s'est enregistrée avec l'adresse e-mail "mirouillette2154@gmail.com" : impossible depuis un seul site (c'est à dire sans recouper des informations pour tenter de savoir si d'autres comptes n'ont pas été créés avec cette adresse, puis le cas échéant, trouver le système de mot de passe mis en place, puis attaquer le second site, etc, ce qui demande bien souvent intervention humaine mais surtout ce qui nécessite une bonne raison de se donner cette peine !)

Pensez-y !