Mihaela Marineau est étudiante dans le cadre du cours DRT 6903.

“There are 35,060 e-mail messages in my Gmail account now, accumulated since I joined the beta in June 2006, and all my e-mail messages from my Yahoo, Hotmail and office Lotus Notes accounts are forwarded there. I have never deleted a single attachment since I started on Gmail and busted my free 8.2 GB of Gmail space in June, only to sign up for another 10 GB for US$20 (S$28). Every Google Talk chat I have ever made is also there. Scanned images of my IC and passport are there as well, as attachments in my Sent folder, the first for my bank relationship manager to open an account and the second sent to a travel agent to apply for a visa. Since I started using Google phone last month, I have also linked my SMS messages to my Gmail account, so all my sent and received SMSes are stored there like Gmail message threads. I have a unified phone and PC contacts database of about 2,000 people, some duplicates, and they are all stored online under Google Contacts (the default address book in Gmail). You will also be able to find in seconds my credit card’s number and expiry date, PayPal number, Krisflyer number and more by simply typing the right keyword under the top-notch search bar in Gmail. I have never touched Internet banking but if you are like my friend who sends all his statements to his Gmail account, your net worth is up there as well”.

Suite à un tel témoignage, nous ne pouvons qu’espérer que le mot de passe choisi par monsieur Oo Gin Lee est un peu plus difficile à deviner que « 123456 » ! En tête de liste des « 10 conseils pour sécuriser votre système d’information » émis par la Commission Nationale de l’Informatique et des Libertés française se trouve celui d’adopter une politique de mot de passe rigoureuse. Plusieurs critères de sécurité sont énumérés, notamment : le mot de passe doit rester secret, il ne doit pas être écrit sur aucun support, il doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment. En effet, une étude récente entreprise par Hoonakker, Bornoe et Carayon évaluait la contribution du « facteur humain » dans l’efficacité du système à mot de passe en tant que protecteur de l’information se trouvant sur Internet. Les auteurs ont basé l’étude sur certaines « bonnes pratiques d’utilisation » (BPU) en ce qui à trait à la sécurité des données par mot de passe : ne pas utiliser le même mot de passe pour accéder à diverses plateformes Internet, composer un mot de passe contenant plus de 8 caractères, utiliser une combinaison de lettres majuscules, lettres minuscules, chiffres et autres caractères dans la composition du mot de passe, ne pas réutiliser des anciens mots de passe, ne pas écrire les mots de passe et si c’est le cas, protéger ces données qu’elles se trouvent sur support électronique ou autre, ne pas dévoiler ses mots de passe à quiconque, etc. À ces pratiques s’ajoutent des composantes telles que le changement fréquent des mots de passe imposées aux utilisateurs par les exploitants de systèmes d’information des diverses entreprises.

Or, des analyses de la récente fraude impliquant le dévoilement sur Internet de près de 10 028 combinaisons « code d’utilisateur/mot de passe » de comptes Hotmail ont dévoilé certaines pratiques des consommateurs en matière de sécurité par mot de passe. À titre d’exemple, selon une étude effectuée par la firme Acunetix, parmi les 10 028 mots de passe analysés, 42% étaient composés seulement de lettres minuscules, 19% étaient composés uniquement de chiffres et seulement 6% des mots de passe étaient composés de lettres, de chiffres et d’autres caractères spéciaux. Mais encore, des mots de passe tels que « 123456 » ou « 123456789 » apparaissaient 64 fois et respectivement 18 fois.

Ces données font écho à la nouvelle étude entreprise par Hoonakker, Bornoe et Carayon citée plus haut. L’échantillon avait été constitué de 836 employés d’une entreprise parmi lesquels 70% étaient de sexe féminin, ils avaient une moyenne d’âge de 50 ans et un très haut niveau de scolarité (14% ayant complété deux années d’université, 37% étant des diplômés de premier cycle et 21% étant des diplômés de 2e cycle).

Seulement 4% des répondants ont respecté l’intégralité des BPU eu égard à la sécurité par mots de passe sur Internet. 94% des répondants n’ont pas respecté une ou plusieurs pratiques. Les résultats de l’analyse statistique ont démontré que le sexe, l’âge, l’éducation ou la position hiérarchique des répondants dans l’entreprise avaient été des facteurs beaucoup moins importants dans l’utilisation des BPU que le facteur « type d’utilisateur d’Internet » (utilisateur novice, intermédiaire, avancé ou expert). Les utilisateurs d’Internet qualifiés d’intermédiaires et experts avaient tendance à performer mieux quant aux BPU que les utilisateurs intermédiaires ou surtout que les novices d’Internet.

Avec déférence pour Monsieur John Timmer qui a intitulé son article « 30 years of failure : the username/password combination », nous sommes d’avis que cette étude est loin de fournir le bilan tant attendu nous permettant de conclure que l’utilisation du système « nom d’utilisateur/mot de passe » dans la sécurité des données sur Internet est en mesure d’offrir d’une part un bilan catastrophique de la situation et d’autre part quelque bilan que ce soit. Nous n’avons qu’à nous questionner sur l’échantillon utilisé qui n’est pas, à notre avis, représentatif de la société en général. Mais encore, il y a certainement du travail à faire quant à la sensibilisation des utilisateurs novices et intermédiaires d’Internet à l’application des BPU. Il est à souligner toutefois que 77% des répondants croyaient en la maxime « I can protect my computer from harm if I take good care of computer security. » ce qui n’est pas en soi négligeable.

Les auteurs de l’étude eux-mêmes arrivaient à la conclusion que le bilan est probablement pire que celui illustré puisque les répondants n’aiment pas admettre qu’ils ne suivent pas les BPU. Cette constatation nous force à réitérer que la sécurité des données sur Internet reste, somme toute, une préoccupation alarmante d’un point de vue économique ou personnel et que le facteur humain, quoique très important, n’en est qu’une composante que nous connaissons toujours très peu.

Finalement, les auteurs de l’étude proposent des méthodes alternatives de sécurité sur Internet pour contrer les limitations humaines telles que la reconnaissance de pictogrammes ou d’images au lieu des mots ou l’utilisation de systèmes plus sophistiqués de sécurité comme l’empreinte digitale ou oculaire. Selon nous, il serait peut-être utile aussi d’éviter autant que possible d’utiliser sa boite de courriel en tant qu’archive pour toute l’information confidentielle nous concernant. Il faudrait peut-être considérer aussi la mise sur pied de plateformes intelligentes ne nous permettant pas de passer outre les BPU lorsqu’on crée un mot de passe, organiser de campagnes de sensibilisation sur l’utilisation des BPU et finalement s’assurer de la présence d’autres mesures de sécurité efficaces et fonctionnelles des données sur internet qui seraient en mesure d’accompagner et de supporter la formule « nom d’utilisateur/mot de passe ».