Notre psychologie, le maillon faible de nos mots de passe !

C’est un fait : nous utilisons tous de plus en plus de comptes en ligne et de mots de passe. Alors que nous n’avions qu’un compte email il y a quelques années, nous avons aujourd’hui en moyenne 80 comptes. Qu’il s’agisse des réseaux sociaux, des sites d’achat en ligne ou des comptes en banque, ils sont tous protégés par un mot de passe. Nous stockons ainsi de plus en plus données personnelles en ligne, et, une véritable industrie du piratage se développe inéluctablement. Il n’y a jamais eu autant de brèches de sécurité qu’en 2014. Par chance, nous savons comment nous protéger, en utilisant des mots de passe uniques générés aléatoirement, comportant des chiffres, des minuscules, des majuscules et des caractères spéciaux. Mais pourtant, nous sommes encore très nombreux à ne pas appliquer ces préceptes et à en rester aux simples mots.

En 2001, le professeur Helen Petrie, spécialiste de l’interaction homme-machine à l’Université City de Londres, a étudié la façon dont un échantillon de 1200 personnes générait les mots de passe. Ils sont en réalité un révélateur de psychologie puisqu’ils sont principalement tirés de notre imaginaire : notre famille, nos centres d’intérêts, nos rêves... Une enquête récente du New York Times, menée par Ian Urbina a aussi montrée la variété des moteurs psychologiques qui nous poussent à choisir tel ou tel mot ou date en lien avec notre vie intime. Nos mots de passe n’ont en effet généralement rien d’aléatoire et cela n’est pas bon pour notre sécurité.
Bien sûr, on peut avancer une explication simple : le cerveau humain est limité et économe en énergie. Nous n’arrivons donc pas à mémoriser des suites de caractères aléatoires sécurisées. Mais les recherches montrent qu’il ne s’agit pas que d’une question de paresse. Le lien intime que nous créons avec nos mots de passe est aussi en cause.

Etonnement, il y a souvent une dimension sentimentale dans la manière dont nous générons les mots de passe. Nous nous servons des mots de passe pour nous forcer à nous rappeler de certaines choses tous les jours, un peu comme des Madeleine de Proust. Comme le raconte Urbina, il y a différents manières de relier un mot de passe à son histoire personnelle. Rachel par exemple, en utilisant le mot de passe « Odessa », se sent plus proche de son père qui avait dû quitter l’Europe à une époque trouble. Quant à Mauricio, chaque création de mot de passe est l’occasion de graver dans le marbre un objectif personnel comme arrêter de fumer ou appeler sa mère plus régulièrement.

En tapant ces « aide-mémoires », nous pensons ainsi à ce qui compte le plus pour nous. Mais si cette facette intime de nos mots de passe a quelque chose de rassurant, elle n’augmente en rien notre sécurité. Les chercheurs Joseph Bonneau et Soren Preibusch sont même allés jusqu’à parler d’effet placebo pour caractériser les mots de passe faibles que nous utilisons (encouragés par les sites qui ne veulent pas nous compliquer la vie) : ils offrent un sentiment de protection mais pas de réelle sécurité.
D’autres phénomènes psychologiques sont à l’oeuvre dans ce phénomène de déni. Nous ne percevons pas toujours les risques de manière rationnelle. Même si nous nous savons exposés à un risque grandissant de piratage en utilisant des mots de passe faibles, cela n’entre pas pour l’instant dans le cœur de nos préoccupations. Jeunese Payne, un chercheur de l’université de Cambridge, compare ainsi cette propension à minimiser la réalité au biais qui nous fait plus craindre les voyages en avion que les voyages en voiture.

Cette façon personnelle que nous avons de générer des mots de passe nous met en réalité encore plus à la merci des pirates. On imagine parfois naïvement que ces informaticiens de génie s’appuient exclusivement sur des programmes et des algorithmes très compliqués pour pénétrer dans nos ordinateurs ou nos programmes. Les pirates sont en réalité avant tout des psychologues qui pratiquent ce qu’on appelle l’ingénierie sociale, c’est-à-dire l’art d’utiliser l’ensemble des informations qui vous concernent pour prédire votre comportement ou vos mots de passe afin de vous tromper.
Nos sentiments et notre psychologie nous mettent en risque quand il s’agit des mots de passe. Ne devrions-nous pas trouver autre chose pour penser à nos proches ou nous motiver ? On peut le regretter mais nous n’avons aujourd’hui plus vraiment d’autre choix que d’utiliser des mots de passe forts.

A propos de Dashlane
Dashlane est un gestionnaire de mots de passe et de portefeuille numérique qui simplifie et sécurise la gestion des identités et des paiements. 2,5 millions de personnes utilisent Dashlane afin de gérer leurs mots de passe, de s'identifier automatiquement, de générer des mots de passe sécurisés, ou encore d'effectuer des paiements sur n'importe quel site Web. La solution a été plébiscitée par de grandes publications, notamment le Wall Street Journal, le New York Times et USA Today. Créée en 2009 à l’initiative de Bernard Liautaud, fondateur de Business Objects, la société a levé 24 millions d'euros, notamment auprès de Bessemer Ventures, les investisseurs qui ont financé Linkedin, Skype ou encore Criteo à leur démarrage.

Leave a Reply