Pour continuer à lire cette article, veuillez entrer votre mot de passe. Si vous n'en avez pas, merci d'en créer un. Il devra contenir au moins dix caractères, et inclure des minuscules, des majuscules, des chiffres, et des symboles. Ceci est pour votre bien. Croyez moi.
Vous lisez ceci, alors vous venez de créer au moins votre dixième mot de passe de la journée. Bravo pour l'effort. Mais est ce bien raisonnable? C'est ce que se demande un chercheur de Microsoft (j'aurai dit cela vous ne m'auriez pas cru). Et il va même plus loin, les mots de passe sont une perte de temps (donc d'argent). Rien que pour les Etats Unis, en supposant 200 millions d'utilisateurs on line qui passent une minute par jour à fournir un mot de passe, en une année, cela fait la bagatelle de 16 milliards de dollars, une paille. Les experts sécurité disant que c'est pour notre bien, mais sur quels chiffres s'appuient ils? Et c'est bien cela LE problème de l'industrie de la sécurité. Lorsque les médecins parlent du cancer du poumon et du tabac, il y a des chiffres. Lorsque les professionnels de la sécurité routière parlent de l'incidence du port de la ceinture de sécurité, ils donnent des chiffres...
On parle beaucoup du phishing, mais il ne coûte « que » 60 Millions de dollars aux Etats Unis, les mesures prises pour le contrer coûtent bien plus cher (rien que 48 millions estimés pour la Wells Fargo). On oublie donc un des préceptes les plus importants de la sécurité et de l'évaluation du risque, ne pas dépenser plus que la menace couterait, et là pourtant c'est le cas. Le changement de mot de passe est aussi vu comme une perte de temps (donc inutile), c'est comme si un voleur avait la possibilité de faire un double de votre clé (se trouvant sous le paillasson!) et attendait que vous changiez de serrure pour entrer chez vous en facturant la porte (quand on peut faire dans le compliqué, allons y). Bien sûr, ce chercheur de Microsoft ne préconise pas d'abandonner toutes les protections de votre ordinateur, mais introduit (et c'est là l'important) que le temps utilisateur a un coût, et qu'il faut aussi le maitriser.
Je conclurai par un autre précepte de la sécurité informatique, un amateur attaquera une machine (donc son mot de passe et ses diverses protections), un professionnel attaquera l'utilisateur derrière celle ci (c'est plus simple, et cela rapporte plus). L'utilisateur est LE maillon clé, et cela trop souvent les professionnels de l'informatique l'oublient.
_