Blog de Pierre Boulet, professeur à l'université Lille 1, laboratoire LIFL, équipe DaRT

À l’invi­ta­tion de Tilda, l’asso­cia­tion des doc­to­rants en infor­ma­ti­que de Lille, j’ai pré­senté un cer­tains nom­bre d’outils que je con­si­dère uti­les aux doc­to­rants. Voici la carte XMind que j’ai uti­li­sée.

Dans un arti­cle pré­cé­dent, je par­lais des ordres de gran­deur des limi­tes phy­si­ques de l’espace et du temps et de leurs con­sé­quen­ces sur le nom­bre d’opé­ra­tions qu’on peut espé­rer cal­cu­ler avec un ordi­na­teur, aussi gros et rapide soit-il. En com­plé­ment, Prix­maxS­tu­dio a réa­lisé une très belle appli­ca­tion inte­rac­tive per­met­tant de visua­li­ser les gran­deurs de l’uni­vers où on voit que la plus petite gran­deur phy­si­que­ment signi­fi­ca­tive serait 10^-35 m et la taille de l’uni­vers serait 9.10²⁶ m, ce qui aug­mente assez sen­si­ble­ment la limite théo­ri­que de l’espace dis­po­ni­ble mais ne change pas fon­da­men­ta­le­ment l’ana­lyse.

Voici mon sup­port de pré­sen­ta­tion en guise d’intro­duc­tion à la com­mu­ni­ca­tion scien­ti­fi­que.

Vous pour­rez le retrou­ver sur la page du cours de com­mu­ni­ca­tion effi­cace pour les scien­ti­fi­ques où vous trou­ve­rez des sup­ports de cours plus détaillés et une biblio­gra­phie com­plète.

Comme tout infor­ma­ti­cien, j’ai régu­liè­re­ment des appels au secours pour dépan­ner les ordi­na­teurs de mes con­nais­san­ces… La plu­part du temps, il s’agit d’ordi­na­teurs tour­nant avec MS Win­dows et ayant été con­ta­mi­nés par des virus. Outre une sen­si­bi­li­sa­tion aux com­por­te­ments de pré­cau­tion liés à la sécu­rité de leurs machi­nes, il se pose sou­vent la ques­tion du choix des mul­ti­ples mots de passe néces­sai­res à toute sor­tes de tâches ou ser­vi­ces infor­ma­ti­sés (accès pri­vi­lé­gié à cer­tains sys­tè­mes, ser­vi­ces de cour­rier élec­tro­ni­que, ban­ques, réseaux sociaux, sites de com­merce en ligne, etc). Quel con­seil don­ner sur ce choix des mots de passe ?

Quel­ques arti­cles récents m’ont poussé à refaire le point sur la ques­tion. Un pre­mier con­seil pri­mor­dial est qu’un mot de passe est per­son­nel, on ne doit jamais le com­mu­ni­quer à quelqu’un d’autre (voir ici et là) ! Ensuite, voici une liste de con­seils don­nés habi­tuel­le­ment sur les mots de passe :

1. ne pas écrire ses mots de passe ;
2. ne pas uti­li­ser le même mot de passe sur dif­fé­rents sites ;
3. ne pas lais­ser son ordi­na­teur se sou­ve­nir des mots de passe ;
4. uti­li­ser des mots de passe « forts », c’est-à-dire longs, avec des carac­tè­res de plu­sieurs types (minus­cu­les, majus­cu­les, chif­fres, ponc­tua­tion, etc) ;
5. ne pas uti­li­ser un algo­rithme de cons­truc­tion de mots de passe pré­vi­si­ble du genre 123<nom du site>ABC ;
6. chan­ger de mot de passe régu­liè­re­ment ;
7. ne pas réu­ti­li­ser d’anciens mots de passe.

L’ordre de prio­rité de ces con­seils est sujet à dis­cus­sion (voir ici) mais tous sont basés sur 2 types d’atta­ques prin­ci­paux : les atta­ques par dic­tion­naire et les atta­ques sta­tis­ti­ques. Les atta­ques par dic­tion­nai­res, très bien décri­tes ici, con­sis­tent à essayer une mul­ti­tude de mots de passe en com­men­çant par les plus cou­ram­ment uti­li­sés. Ces atta­ques se font en géné­ral hors ligne et uti­li­sent des dic­tion­nai­res spé­cia­le­ment adap­tés (voir ici). Un des moyens les plus sim­ples de les empê­cher est de ren­dre impos­si­ble l’accès aux mots de pas­ses chif­frés et de limi­ter (à 3 par exem­ple) le nom­bre d’essais admis pour entrer un mot de passe (voir ici et on peut alors se per­met­tre des mots de passe plus sim­ples comme expli­qué ici). Les atta­quants ont con­tourné ces res­tric­tions en lan­çant des atta­ques sta­tis­ti­ques, c’est-à-dire que plu­tôt de con­cen­trer leurs efforts sur un compte par­ti­cu­lier, ils essaient de devi­ner les mots de passe d’un grand nom­bre de comp­tes et entrent dans le sys­tème par ceux dont les mots de passe sont les plus fai­bles. Un arti­cle récent pro­pose une pré­ven­tion qui peut être effi­cace con­tre ce genre d’atta­ques.

Con­crè­te­ment, que pou­vons-nous faire ? Il y a deux rai­sons pour les­quel­les il est très dif­fi­cile de res­pec­ter les con­seils ci-des­sus : d’une part l’homme a une mémoire défaillante et est pares­seux et d’autre part, il est tou­jours plus facile d’atta­quer le sys­tème que le mot de passe (voir les der­niers para­gra­phes de cet arti­cle), par exem­ple en uti­li­sant l’ingé­nie­rie sociale, d’où le con­seil pré­li­mi­naire de ne jamais com­mu­ni­quer son mot de passe à qui­con­que. Prag­ma­ti­que­ment, les con­seils 2, 3, 6 et 7 ne me sem­blent pas tena­bles en géné­ral…

La tech­ni­que que je pré­co­nise est d’appren­dre par cœur quel­ques mots de passe forts et de les uti­li­ser dans des con­tex­tes dif­fé­rents. Par exem­ple un pour les sites sur les­quels on dépose peu d’infor­ma­tion, et un autre groupe de sites plus sen­si­ble et enfin, un mot de passe spé­ci­fi­que pour les 2 ou 3 plus sen­si­bles (le tra­vail, celui qui donne accès à un ges­tion­naire de mots de passe, etc) qu’on pourra éven­tuel­le­ment chan­ger de temps en temps. Avec 5 ou 6 mots de passe com­plexes, on atteint la limite des capa­ci­tés de mémo­ri­sa­tion qu’on peut rai­son­na­ble­ment atten­dre de quelqu’un de non para­noïa­que.

Et pour reve­nir sur le con­seil n°1 de ne jamais écrire ses mots de passe, tout dépend du con­texte d’uti­li­sa­tion. Ainsi, il est évi­dent qu’il ne faut pas écrire sur un post-it collé sur l’écran de son ordi­na­teur le mot de passe d’accès aux res­sour­ces four­nies par cet ordi­na­teur, j’avoue avoir écrit sur un papier posé à côté de mon boî­tier d’accès à l’inter­net le mot de passe de mon réseau Wi-Fi per­son­nel. En effet, je con­si­dère que toute per­sonne arri­vant chez moi ou bien est un ami et donc auto­risé à accé­der au réseau, ou alors un voleur et ne vient pas pour accé­der à mon réseau ou à l’inter­net à tra­vers lui.

Pour con­clure, je rela­ti­vi­se­rai tout ceci en disant que se repo­ser uni­que­ment sur des mots de passe pour la sécu­rité est une pra­ti­que obso­lète et que d’avoir des mots de passe plus forts que la moyenne vous met déjà à l’abri des atta­ques auto­ma­ti­sées les plus cou­ran­tes.