«Arrêtons de croire que les pirates s'appuient exclusivement sur des programmes et des algorithmes très compliqués pour pénétrer nos ordinateurs ou nos programmes. En réalité, ce sont avant tout des psychologues qui pratiquent l'ingénierie sociale, c'est-à-dire l'art d'utiliser l'ensemble des informations qui nous concernent pour prédire notre comportement ou nos passwords afin de mieux nous tromper», prévient Emmanuel Schalit, CEO, Dashlane

Alors que nous n'avions qu'un compte e-mail il y a quelques années, nous avons aujourd'hui en moyenne 80 comptes. Qu'il s'agisse des réseaux sociaux, des sites d'achat en ligne ou des comptes en banque, ils sont tous protégés par un password. Par chance, nous savons comment nous protéger. Pourtant, nous sommes encore très nombreux à ne pas appliquer ces préceptes et à en rester aux simples mots.

En 2001, le professeur Helen Petrie, spécialiste de l'interaction homme-machine à l'Université City de Londres, a étudié la façon dont un échantillon de 1200 personnes générait les passwords. Ils sont en réalité un révélateur de psychologie puisqu'ils sont principalement tirés de notre imaginaire: notre famille, nos centres d'intérêts, nos rêves… Une enquête récente du New York Times, menée par Ian Urbina, a aussi montré la variété des moteurs psychologiques qui nous poussent à choisir tel ou tel mot ou date en lien avec notre vie intime. Nos mots de passe n'ont en effet généralement rien d'aléatoire et cela n'est pas bon pour notre sécurité, insiste l'éditeur de Dashlane, un gestionnaire de passwords et de portefeuille numérique qui simplifie et sécurise la gestion des identités et des paiements.

«Bien sûr, on peut avancer une explication simple: le cerveau humain est limité et économe en énergie, poursuit Emmanuel Schalit. Nous n'arrivons donc pas à mémoriser des suites de caractères aléatoires sécurisées. Mais les recherches montrent qu'il ne s'agit pas que d'une question de paresse. Le lien intime que nous créons avec nos passwords est aussi en cause.»

Etonnement, il y a souvent une dimension sentimentale dans la manière dont nous générons les passwords. Nous nous servons des mots de passe pour nous forcer à nous rappeler de certaines choses tous les jours, un peu comme des Madeleine de Proust. Comme le raconte Urbina, il y a différents manières de relier un password à son histoire personnelle. Rachel par exemple, en utilisant le mot de passe «Odessa», se sent plus proche de son père qui avait dû quitter l'Europe à une époque trouble. Quant à Mauricio, chaque création de mot de passe est l'occasion de graver dans le marbre un objectif personnel comme arrêter de fumer ou appeler sa mère plus régulièrement.

«En tapant ces ‘aide-mémoires', nous pensons ainsi à ce qui compte le plus pour nous. Mais si cette facette intime de nos passwords a quelque chose de rassurant, elle n'augmente en rien notre sécurité. Les chercheurs Joseph Bonneau et Soren Preibusch sont même allés jusqu'à parler d'effet placebo pour caractériser les passwords faibles que nous utilisons: ils offrent un sentiment de protection… mais pas de réelle sécurité!»

D'autres phénomènes psychologiques sont à l'oeuvre dans ce phénomène de déni. Nous ne percevons pas toujours les risques de manière rationnelle. Même si nous nous savons exposés à un risque grandissant de piratage en utilisant des mots de passe faibles, cela n'entre pas pour l'instant dans le cœur de nos préoccupations. Jeunese Payne, un chercheur de l'université de Cambridge, compare ainsi cette propension à minimiser la réalité au biais qui nous fait plus craindre les voyages en avion que les voyages en voiture.

«Nos sentiments et notre psychologie nous mettent en risque quand il s'agit des mots de passe. Ne devrions-nous pas trouver autre chose pour penser à nos proches ou nous motiver ? On peut le regretter, mais nous n'avons aujourd'hui plus vraiment d'autre choix que d'utiliser des mots de passe forts.»

Sommaire
Titre
Notre psychologie... maillon faible de nos passwords !
Description
Nos sentiments et notre psychologie nous mettent en risque quand il s’agit des passwords
Auteur