On ne le dit et on ne l’entend que trop souvent : le maillon faible de la sécurité de l’information c’est l’homme. Repas trop arrosé, conversations trop bruyantes, ordinateurs portables exposés à la vue de tous, si on rajoute à tout cela les 4 fondamentaux du renseignement : money, ideology, compromission, ego, on entrevoit rapidement toutes les opportunités qui s’ouvrent aux pratiquants de l’"ingénierie sociale".

Une étude des cabinets Nucleus Research et Knowledge Storm, s’appuyant sur un échantillon de 325 salariés américains montre qu’un salarié américain sur trois écrit les mots de passe de son ordinateur. Un chiffre qui fait froid dans le dos.

Paradoxalement, ce qu’il est surtout intéressant de noter c’est les raisons de ce recours abusif au post-it et autres cauchemards du Directeur de la Sécurité ou du DSI. En effet, c’est principalement la protection pesante mise en place par les systèmes informatiques qui poussent les utilisateurs à retranscrire des mots de passe qui sont renouvelés tous les trois mois ou qui ont un format obligatoire (8 lettres avec au moins un chiffre et une lettre dedans…). Une fois les 9 premiers mois passés et le prénoms de trois rejetons dûment utilisés on se trouve contraint d’aborder l’inconnu lors du choix du nouveau mot de passe.

Les cabinets sus nommés conseillent ainsi aux DSI de recourir aux nouvelles formes d’identification telles que la biométrie ou les systèmes cognitifs et dans tous les cas de réfléchir murement leur stratégie d’authentification relative à la complexité des mots de passe, à leur longueur, à leur fréquence de changement et à leur nombre (la mutliplication des mots de passe au sein d’une mêeme entreprise demeurant aussi un dangereux écueil.)

Vu sur Le Monde.fr – Le 18 octobre 2006

Tags : sécurite, mot de passe