Merci de (ne) changer (pas) votre mot de passe !

D'après Cormac Herley, un chercheur de chez Microsoft, la plupart des recommandations sur la sécurité informatique ne servent à rien car cela coûte plus en support :

"il m'a dit de changer de mot de passe et maintenant je suis bloqué"

et en perte de clients :

"rhaa, j'arrive plus à me loguer, tiens j'en profite pour essayer le concurrent"

que ça ne rapporte en sécurité.

Par exemple : le fait de changer votre mot de passe. Il explique que c'est comme changer sa serrure au cas où un cambrioleur a fait un double de vos clés et s'apprête à vous cambrioler.
Quand un pirate subtilise votre mot de passe, il l'utilise tout de suite, il vous pique vos informations et ne reviendra jamais ou alors il place un cheval de Troie sur votre ordinateur et repassera ensuite par cette petite entrée sans se soucier d'un quelconque mot de passe.

Et on ajoute à chaque fois de nouvelles procédures (une lette de plus dans le mot de passe, les captchas, le crpytogramme derrière votre CB, etc...) sans se soucier d'un élément important : vous.

D'après Herley, une minute d'utilisateur états-unien par jour coûte 16 milliards sur l'année. Donc à chaque fois que vous souhaitez ajouter une étape d'identification, demandez-vous si elle vous économisera 16 milliards de fraude. Parce qu'elle va vous coûter cher en appels désespérés et en perte de client.

Bruce Schneier, un expert en sécurité (à noter : expert ça coûte rien comme titre, c'est pas comme docteur ou maître) explique que les gens font ce qu'ils veulent et ne font pas ce qu'il ne veulent pas, même au travail.
En gros, la sécurité empiète sur mon travail, je vais contourner la sécurité car personne ne me reprochera d'avoir enfreint deux, trois recommandations des tarés de l'informatique mais si je ne fais pas mon boulot, on va me virer.

Et c'est là que ça devient intéressant, la conclusion de tous ces gens, c'est que si l'utilisateur final ne suit pas les recommandations de l'expert, c'est la faute de l'expert :

• Ces fameux experts ne savent pas trop si ils sont attaqués, par qui et comment alors ils adoptent la méthode "sécurité à outrance", celle qui fait bien chier les honnêtes utilisateurs ;
  
• Comme ils ne savent pas comment ils sont attaqués, ils ont bien du mal à nous expliquer pourquoi on doit changer notre mot de passe de 12 caractères tous les deux mois avec un chiffre au milieu et une majuscule qui suit pas le chiffre mais avant le caractère spécial qui doit pas être à la fin, pas plus que le deuxième chiffre, pas le même qu'au début mais si vous savez, avant la majuscule.

Une des voies jugée intéressante est celle des banques qui nous remboursent automatiquement quand on se fait pirater notre compte.
C'est pas chiant, c'est quand même l'utilisateur qui avance les sous et ça évite de la formation et des procédures compliquées.
Le phishing coûte 60 millions de dollars par an à toutes les banques des USA, soit une paille (ça fait 20 centimes par habitant).

Bon, tout n'est pas rose, le crime informatique est en forte croissance et s'améliore tous les jours, dix millions d'américains se font voler leur identité tous les ans, un ordinateur non protégé se fait pirater en moyenne en douze minutes sur internet.

Les recommandations de mon nouvel ami Herley sont surtout de mettre à jour l'anti-virus (il ne parle pas de quitter les outils Microsoft bizarrement), d'installer un firewall et de choisir un mot de passe résistant (donc pas 1234).

L'article du Boston Globe (en anglais)