Un mot de passe est la réponse à une question très ancienne : es-tu des nôtres ?
L’informatique ne l’a pas inventé. Polybe, au deuxième siècle avant notre ère, décrit comment l’armée romaine faisait circuler chaque nuit un mot inscrit sur une tablette de bois — la tessera — qui passait d’unité en unité et revenait au commandement. Qui le savait était des leurs. Qui ne le savait pas, non.
Deux mille ans plus tard, nous faisons exactement la même chose. Seuls ont changé celui qui pose la question, et la vitesse à laquelle il peut essayer de deviner la réponse.
1961 le mot de passe entre dans l’ordinateur
En novembre 1961, le MIT présente CTSS (Compatible Time-Sharing System), dirigé par Fernando Corbató. C’est une idée neuve : un seul ordinateur, très cher, partagé par plusieurs personnes à la fois.
Et c’est là qu’apparaît le problème. Si la machine est à tout le monde, les fichiers de chacun doivent rester à chacun. Il fallait un moyen pour que l’ordinateur sache qui tape. La solution fut la plus évidente, et la plus romaine qui soit : donner à chaque utilisateur un mot à lui.
Soyons précis : Corbató n’a pas inventé le mot de passe. Il a inventé le mot de passe par utilisateur sur un ordinateur multi-utilisateur, ce qui est autre chose. Âgé, il a lui-même dit que tout cela était devenu « un cauchemar ».
1962 la première fuite, et c’était pour du temps machine
Un an plus tard, Allan Scherr, doctorant dans ce même MIT, a un problème très terre à terre : on ne lui accorde que quatre heures d’ordinateur par semaine et il lui en faut plus pour sa thèse.
Alors il demande au système d’imprimer le fichier des mots de passe. Rien de plus. Il était là, en clair, et personne n’avait imaginé que quelqu’un le demanderait. Le listing en main, il a utilisé les comptes des autres pour continuer à travailler.
Le tour de passe-passe n’est pas l’intéressant. Le mobile l’est : la première fuite de mots de passe de l’histoire n’est pas l’œuvre d’un délinquant, mais de quelqu’un qui voulait continuer à travailler. Soixante ans après, la plupart des failles naissent encore de gens raisonnables qui cherchent le chemin court.
1979 quelqu’un comprend qu’il ne faut pas les stocker
Pendant près de vingt ans, beaucoup de systèmes ont conservé les mots de passe tels quels. Si quelqu’un lisait le fichier, il emportait tout.
En 1979, Robert Morris et Ken Thompson publient dans Communications of the ACM un article intitulé « Password Security: A Case History », sur ce qu’ils avaient fait dans Unix. Deux idées qui fondent tout ce qui suit :
- Ne pas stocker le mot de passe, stocker son empreinte. Le système n’a pas besoin de savoir quel est ton mot de passe ; il a seulement besoin de vérifier que ce que tu viens de taper donne le même résultat.
- Le sel : ajouter une valeur aléatoire à chaque mot de passe avant de le hacher, pour que deux personnes avec le même mot de passe n’aient pas la même empreinte, et qu’on ne puisse pas précalculer une table et tout casser d’un coup.
Quand nous disons aujourd’hui qu’un service « ne devrait pas connaître ton mot de passe », nous citons un article de 1979.
2003 les règles qu’on a toutes apprises, et leur origine
En 2003, Bill Burr, du NIST américain, écrit le document qui finira par régir la façon dont la moitié du monde demande des mots de passe : le SP 800-63. Tout ce que tu reconnais instantanément en vient :
Au moins une majuscule, un chiffre et un symbole. Change-le tous les 90 jours.
Cela sonnait comme de la science. Ce n’en était pas. Burr n’avait pas de bonnes données sur les mots de passe réels — il n’en existait presque pas — alors il s’est appuyé sur ce qu’il avait et a raisonné vers ce qui semblait sensé : plus de variété de caractères, plus de combinaisons, plus de sécurité.
Le problème, c’est que les gens ne sont pas des générateurs aléatoires.
Demande une majuscule : elle sera en première position. Demande un chiffre : il
sera à la fin. Demande un symbole : ce sera un !. Et si tu imposes un
changement tous les trois mois, Ete2024! deviendra Automne2024!.
Le résultat : toute une génération de mots de passe qui semblent complexes et sont triviaux, et des utilisateurs épuisés qui les réutilisent partout parce qu’ils n’en peuvent plus.
2017 le NIST se rétracte, et Burr aussi
En 2017, le NIST publie le SP 800-63B et fait marche arrière sur presque tout :
- La longueur compte plus que la complexité.
- Pas de rotation forcée sauf soupçon de compromission.
- Vérifier le mot de passe contre des listes de fuites, plutôt qu’exiger des symboles.
La même année, Burr déclare au Wall Street Journal qu’il regrette une bonne partie de ce qu’il avait écrit. C’est l’une des rétractations les plus honnêtes qu’ait produites la sécurité informatique — et il y a encore des milliers de formulaires qui exigent un symbole à cause d’un document désavoué par son propre auteur.
Pourquoi ce n’est pas de l’histoire ancienne
Tout cela a une conséquence très concrète, et tu peux la voir ici même.
Notre propre vérificateur fonctionnait encore récemment avec
la logique de 2003 : il comptait les majuscules, les chiffres et les symboles. Il
donnait 92 % « Très fort » à Contraseña1! — littéralement le mot espagnol
pour « mot de passe » — et 0 % « Très faible » à une phrase de cinq mots
aléatoires, incomparablement meilleure.
Il récompensait exactement ce qu’il ne faut pas faire. Nous l’avons changé : il cherche désormais ton mot de passe dans des dictionnaires de mots, de noms, de villes et de motifs de clavier, et te dit en combien de temps il tomberait vraiment.
Et c’est pourquoi le générateur t’affiche des bits d’entropie plutôt qu’un pourcentage. Un pourcentage ne veut rien dire. Les bits, si : c’est le nombre d’essais qu’il faudrait à quelqu’un qui ne sait rien de toi.
Quoi faire, en deux lignes
- Long plutôt que tordu. Quatre ou cinq mots au hasard battent
P@ssw0rdde plusieurs ordres de grandeur. - Différent partout, et dans un gestionnaire. C’est la seule règle de 2003 encore debout, et celle qu’on a le moins suivie.
La question reste celle de la Rome du deuxième siècle : es-tu des nôtres ? Ce qui a changé, c’est que celui qui la pose peut maintenant essayer un milliard de réponses par seconde. Mieux vaut que la tienne ne soit pas dans le dictionnaire.
Sources : F. J. Corbató et le CTSS (MIT, 1961) · le récit d’Allan Scherr lui-même sur 1962 · R. Morris et K. Thompson, « Password Security: A Case History », Communications of the ACM, 1979 · NIST SP 800-63 (2003) et SP 800-63B (2017) · déclarations de Bill Burr au Wall Street Journal, août 2017.