Californie : vers une loi pour interdire les mots de passe trop faibles

Publié le 20 septembre 2018 à 18h01

L'État de Californie souhaite interdire les mots de passe considérés comme faibles afin que les appareils connectés ne puissent pas être victime d'attaque informatique. Un projet de loi sur le sujet est en cours.

La Californie songe à promulguer une loi selon laquelle les appareils devraient obligatoirement être protégés par un mot de passe fort. Ainsi, le sénateur de l'État a envoyé une proposition de loi au gouverneur Jerry Brown. Si celle-ci est adoptée, elle pourrait entrer en vigueur dès le mois de janvier 2020.

Pour rappel, de nombreux rapports annuels montrent que les mots de passe les plus utilisés sont toujours une simple suite de mots sans caractères spéciaux. Nombreux sont ceux qui utilisent encore des suites de caractères tels que « azerty », « 123456 » ou encore le classique et inénarrable « password ». De plus, les entreprises sont encore beaucoup à ne pas changer les identifiants originels, qui sont donc toujours « admin » et « password ». Grâce à ce projet de loi, celles-ci se devront d'équiper « l'appareil d'un ou de plusieurs dispositifs de sécurité raisonnables adaptés à sa nature et à sa fonction ».

De la même façon, le projet de loi exige que les fabricants créent un mot de passe par défaut qui diffère en fonction de l'appareil afin que personne n'ait le même. Dans ce cas, même s'il n'est pas changé par l'utilisateur, ce dernier a moins de chance de se faire pirater.

Un projet de loi insuffisant ?

Robert Graham d'Errata Security affirme que cette mesure est trop vague et pas assez exigeante avec les fabricants. Il précise à ce sujet : « C'est comme un régime, où les gens insistent pour que vous mangiez plus de chou frisé, ce qui ne fait pas grand-chose pour régler le problème que vous mangez avec des chips [...] La clé des régimes n'est pas de manger plus, mais de manger moins ».

D'autres critiques suggèrent également que le secteur de la cybersécurité est en constante mutation, ce qui signifie qu'un principe mis en place dès 2020 pourrait être obsolète avant même son entrée en vigueur.

Pour protéger ses appareils, la CNIL conseille d'utiliser un mot de passe de plus de douze caractères, qui mélange des lettres minuscules et majuscules, des chiffres et des caractères spéciaux. De la même façon, il est conseillé d'activer le protocole de double authentification.

Par Louise Millon

Rédactrice web. Intéressée par les réseaux sociaux et la question des données personnelles. J'aime écrire et surfer.

Articles de Louise Millon

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

clafouti

Le problème d’obliger les gens à utiliser un mot de passe trop compliqué est que la plupart des gens vont l’oublier. Et donc, ils vont devoir utiliser la procédure pour récupérer ou réinitialiser le mot de passe. Et c’est là qu’il y a un problème de sécurité, car cette procédure par mail est facilement interceptable. La double identification via smartphone est nettement plus sécurisée.

c_planet

sur ce point, le réel problème, ce sont les serveurs qui autorisent l’identification attaquable par brute force non ?

juju251

Mais surtout pas par SMS. ^^

noxx007

Quand on voit par ailleurs certains sites bancaires refuser les caractères spéciaux, ou celui des impôts qui n’en accepte que certains, il y a aussi des questions à se poser.

Maeke

comme si ça allait changer quoi que ce soit à la naïveté de certains.
Et ça m’étonnerais que les fabricants changent quoi que ce soit à cause d’une loi D’UN état des usa.