Dans les administrations comme dans les grandes entreprises, les usagers du système informatique sont souvent contraints au renouvellement régulier de leur mot de passe. Cette logique de péremption parait difficilement attaquable. Pour autant, contraindre l'utilisateur à changer régulièrement de mot de passe pourrait bien conduire à un affaiblissement du niveau de protection de ce dernier. Telle est en tout cas l'opinion exprimée par Lorrie Cranor, directrice technique de la FTC, l'organisme de régulation des télécoms aux Etats-Unis.
Intervenant en début de semaine à une conférence dédiée à la sécurité (l'événement BSides, à Las Vegas), elle a expliqué avoir d'abord été surprise par un message Twitter posté sur le compte dédié à la FTC, conseillant aux internautes de changer régulièrement de mot de passe, comme le rapporte Ars Technica. « J'ai vu ce tweet et me suis dit : "pourquoi est-ce que la FTC conseille à tout le monde de changer de mot de passe ?". Je suis allé poser la question aux gens qui gèrent les réseaux sociaux, qui m'ont dit : "hé bien, ce doit être un bon conseil puisqu'ici à FTC nous changeons de mot de passe tous les 60 jours" ».
En France, une recommandation du même type figure (.pdf) parmi les conseils prodigués par Agence nationale de la sécurité des systèmes d'information (Anssi) : « Les mots de passe doivent avoir une date de validité maximale. A partir de cette date l'utilisateur ne doit plus pouvoir s'authentifier sur le système si le mot de passe n'a pas été changé. Ceci permet de s'assurer qu'un mot de passe découvert par un utilisateur mal intentionné, ne sera pas utilisable indéfiniment dans le temps », préconise ainsi cette dernière.
De son côté, Lorrie Cranor estime qu'il s'agit d'une idée reçue qui mérite d'être démontée. Pour ce faire, elle rappelle les résultats d'une étude conduite en 2010 par les chercheurs de l'université de Chapel Hill (Caroline du Nord), qui s'est intéressée à l'analyse de quelque 10 000 comptes utilisateur soumis à une règle de renouvellement de mot de passe tous les trois mois.
Des mots de passe « transformés »
Entre autres enseignements, l'étude (.pdf) souligne que les utilisateurs ont dans ce contexte tendance à procéder à une modification mineure de leur mot de passe : un chiffre qui s'incrémente (#motdepasse1 devient #motdepasse2) ou une majuscule qui se déplace (#Motdepasse devient #mOtdepasse), etc. De ce fait, il conviendrait plus de parler de « transformation » du mot de passe que d'un vrai renouvellement, estiment les auteurs. Or, ces transformations obéissent à des schémas prévisibles, susceptibles d'alimenter des algorithmes qui eux-même tenteraient de forcer un accès. Les résultats semblent probants : si le mot de passe d'origine a été compromis, 17% des comptes « transformés » tombent après seulement cinq tentatives.Lorrie Cranor rappelle que ces conclusions n'ont pas échappé à tout le monde : l'agence britannique en charge de la sécurité informatique recommande par exemple depuis le mois d'avril de ne plus mettre en place d'expiration programmée des mots de passe. Plutôt que d'amener l'utilisateur à ruser et adapter son mot de passe pour ne pas avoir à faire l'effort d'en mémoriser un autre, elle suggère des systèmes d'alerte et de sensibilisation en cas de tentative d'accès manqué.