Pratique des mots de passe

Le nombre et la diversité des situations où l'usage d'un mot de passe est nécessaire, ou souhaitable, se multipliant, il me paraît utile de rappeler ou de préciser les principales règles et critères d'utilisation. Les principes de base varient d'ailleurs peu, dans des situations aussi diverses que l'accès à un ordinateur central, à un terminal bancaire, ou à un fichier sur un réseau local. Les faiblesses d'une procédure à mot de passe résident à bien plus de 98% dans les négligences que dans la technique.

Attribution et choix du mot de passe.

Un mot de passe sera souvent attribué d'abord par le responsable du système. Mais il est en général utile de donner à l'utilisateur la possibilité de le modifier, afin notamment qu'il puisse réagir immédiatement lorsqu'il craint que le mot ne soit découvert.

Le mot de passe sera bien sûr choisi de manière à ne pouvoir être deviné facilement (pas de surnom, de date de naissance d'un proche, de plaque de voiture, de nom du chat, d'initialesÖ).

On recommande de plus de lui donner une longueur minimum (souvent 6 caractères) et de s'abstenir de tout mot ou nom existant dans un dictionnaire. On peut ainsi exiger qu'il soit un mélange de lettres, de chiffres et de signes.

Modification.

Dans de nombreux cas, il est conseillé de changer périodiquement le mot de passe. Certains systèmes obligent d'ailleurs automatiquement l'utilisateur à le modifier (s'il ne l'a déjà fait) après un certain délai. Ceci amène logiquement (et sans autres considérations) à conclure que le mot de passe doit être personnel, même si plusieurs utilisateurs ont la même activité, ou des droits équivalents.

Les exigences, de longueur minimum, de composition, et de durée de validité, sont à déterminer en concertation par le responsable hiérarchique et l'administrateur du système.

Conservation.

Dans tout système où un responsable garde la possibilité de modifier les mots de passe des utilisateurs, il est inutile de conserver le mot par écrit ( ce qui présente toujours un risque; par exemple le "truc" de déguiser les codes bancaires en numéros de téléphone est déjà trop répanduÖ). (Voir aussi les remarques sur l'encryptage).

On gardera cependant dans un coffre-fort, et sous enveloppe scellée, les codes indispensables, comme le mot de passe de l'administrateur d'un mainframe, ou ceux des bases de données, et de certains verrouillages, tels que FileGuard ou DiskLock.

Types de protection

Les types d'accès les plus communs sont: le mot de passe d'entrée (login), le mot de passe en lecture et le mot de passe en écriture. Le mot de passe en lecture protège la consultation et la copie; le mot de passe en écriture protège contre toute altération, ajout ou suppression.

Remarque juridique

Avant toute législation relative à l'informatique, la doctrine juridique distinguait déjà le secret professionnel et les devoirs de discrétion. Le secret professionnel au sens strict comprenait, depuis Napoléon, les informations dont les membres de certaines professions pouvaient refuser de témoigner en justice. Mais les ouvrages de doctrine et de jurisprudence couvraient toutes sortes d'autres sujets avec assez de précision pour couvrir à l'avance la quasi-totalité des problèmes de confidentialité en informatique, tant qu'on s'interroge sur les droits et devoirs (point de vue du citoyen normal).

La situation devient plus délicate lors qu'on interroge sur les moyens de poursuite (point de vue de l'escroc), puisque seule la violation délibérée du secret professionnel au sens du code Napoléon tombait sous l'application du code pénal, tous les autres problèmes relevant du civil.
Mais la facilité avec laquelle un accès informatique illégitime peut être déguisé en fausse manoeuvre accidentelle ne pourra manquer de faire évoluer les choses.

Que faut-il protéger?

La question est essentielle, et trop de protection peut nuire.

Il est dangereux de protéger dans un même ensemble (donc par un même niveau d'accès) des données de niveau de confidentialité ou de nature différente. En effet, tôt ou tard, une partie de ces données devra être consultée par des personnes différentes, qui auront de ce fait accès à l'ensemble. Ceci peut créer non seulement un risque, mais une situation illégale.

La bonne protection des données réellement confidentielles s'accorde bien avec l'accès aussi large que possible à celles qui ne le sont pas. Et on pourra soutenir avec raison que des données confidentielles cessent de l'être dès qu'elles ont été publiées par ailleurs.

La bonne protection commence donc lors de l'analyse et de la conception d'une application. Il ne serait pas raisonnable, par exemple, de placer les numéros de téléphone et les locaux professionnels dans la même base de données que les dossiers du personnel.

Par contre, il y a avantage à multiplier les protections en écriture, pour assurer simplement la bonne conservation des données. Chaque fichier, même purement documentaire (une liste de codes postaux), doit avoir un "propriétaire", seul habilité à le modifier, tandis qu'il sera mis en lecture à la disposition de tous.

Et, naturellement, l'accès au système qui gère ces mots de passe doit rester strictement protégé.

Encryptage.

Distinguons bien trois domaines d'encryptage: l'encryptage des mots de passe, l'encryptage des transmissions, et l'encryptage des données.

Encryptage des mots de passe.

Une protection sérieuse exige que les mots de passe soient non seulement invisibles à l'écran, mais encryptés dans le système. Nul n'a besoin de connaître la clé de l'encryptage, puisque les mots sont vérifiés après encryptage, à chaque appel. Ceci assure aussi une protection supplémentaire à l'utilisateur, puisque l'administrateur ne peut connaître le mot de passe en clair; il ne peut, en cas de besoin, que le modifier, ce dont l'utilisateur sera fatalement averti.

Encryptage des transmissions.

Ceci protège contre une écoute frauduleuse (praticable par branchement pirate, ce qui constitue évidemment une effraction). Mais il présente l'inconvénient d'obliger tous les utilisateurs à acquérir un même dispositif particulier.

Encryptage des données.

Ceci est la protection ultime contre tout intrus; elle est peu utilisée, car elle exige aussi d'être manipulée avec vigilance: conservation des clés, modération dans la fréquence et les volumes manipulés, destruction des copies en clair, Ö

Destruction des données.

On oublie trop souvent que la suppression d'un fichier informatique n'est habituellement que sa suppression du catalogue du système; les donnés inscrites sur le disque ou la bande y restent généralement jusqu'à sa prochaine utilisation. Une gestion rigoureuse de données confidentielles implique la destruction physique des données (par exemple par un "Erase, Destroy" sur un mainframe Siemens, par "Wipe Info" dans les Norton Utilities, ou Burn, sur Macintosh Ö).

R. Goedertier
19 juillet 94 / 18 juillet 96