Interrogée à ce sujet, le National Cyber Security Center, une organisation du gouvernement du Royaume-Uni qui fournit des conseils et une assistance aux secteurs public et privé pour éviter les menaces de sécurité informatique, estime que lorsque la raison évoquée est « la sécurité », cela ne contribue pas à l’améliorer. Au contraire même, l’organisation indique : « nous pensons qu’empêcher le collage de mot de passe est une mauvaise chose qui réduit la sécurité. Nous pensons que les utilisateurs doivent être autorisés à coller leurs mots de passe dans des formulaires, ce qui contribuerait à améliorer la sécurité ».
Dans un billet de blog, elle note que cela relève du domaine de la légende urbaine que de penser qu’empêcher de coller un mot de passe améliore la sécurité : « personne n'a produit un document, une règle, un RFC (un document de normes techniques pour planifier le fonctionnement d'Internet) ou quoi que ce soit d'autre qui ait permis de commencer cette pratique. Si vous en connaissez un, faites-le-nous savoir en utilisant le formulaire de commentaires ci-dessous. Nous pensons que c'est l'une de ces idées de ‘meilleures pratiques’ qui a un attrait instantané de bon sens. Compte tenu de la situation dans son ensemble aujourd'hui, cela n'a vraiment aucun sens ».
Alors pourquoi permettre de coller son mot de passe est une bonne chose ?
La principale raison évoquée par l’organisation est qu'il contribue à réduire la surcharge de mots de passe : « autoriser le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe ».
Et de rappeler par la suite que les gestionnaires de mots de passe sont très utiles, car ils :
- rendent beaucoup plus facile la possibilité d'avoir des mots de passe différents pour chaque site Web que vous utilisez
- améliorent votre productivité et réduisent la frustration en évitant les erreurs de frappe lors des connexions
- simplifient l'utilisation de mots de passe longs et complexes.
Bien sûr, ils ont rappelé que les gestionnaires de mots de passe ne sont pas une solution miracle : « bien que les gestionnaires de mots de passe puissent offrir une meilleure protection que, par exemple, le fait de conserver vos mots de passe dans un document normal (et donc non protégé) sur votre ordinateur, ils ne sont pas une solution miracle pour résoudre tous les problèmes de mot de passe d'une organisation ».
Néanmoins, il propose un scénario pour souligner encore plus l’utilité d’admettre le collage de mot de passe : imaginez si vous n'aviez pas de gestionnaire de mots de passe, ou même ce document non protégé sur votre ordinateur avec vos mots de passe. Sans gestionnaire de mots de passe, il serait pratiquement impossible de se souvenir de tous vos mots de passe. Pour y faire face, vous devez faire certaines de ces mauvaises choses :
- réutiliser les mêmes mots de passe sur différents sites Web ;
- choisir des mots de passe très simples (et si faciles à deviner) ;
- écrire des mots de passe dans des endroits faciles à trouver (comme des Post-It à côté de l'écran).
Quelles sont les raisons évoquées pour justifier cette pratique ?
Le NCSC en a évoqué trois et a noté qu’elles comportent ce petit grain de vérité trompeur qui peut sembler très convaincant.
Le collage de mots de passe permet des attaques par force brute
Les défenseurs de ce système expliquent que si le collage de mot de passe est autorisé, cela représente une vulnérabilité où des logiciels malveillants ou des pages Web pourraient coller à plusieurs reprises des suppositions de mot de passe dans la zone de mot de passe jusqu'à ce qu'ils parviennent à la bonne combinaison.
Selon le NCSC, c'est une vérité, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à configurer pour les attaquants, mais qui sont beaucoup plus rapides pour ce jeu de devinettes. Le risque d'attaques par force brute utilisant le copier-coller est très faible.
Coller des mots de passe les rend plus faciles à oublier, car vous avez moins de chances de les composer sur votre clavier
Le NCSC reconnaît que le principe est vrai.
Cependant, il précise que dans le monde réel, les gens ont des mots de passe pour des choses qu'ils n'utilisent presque jamais. Cela signifie qu'il n'y a pas assez de temps pour pratiquer et donc peu de chances de s’en souvenir. Toute cette justification ne fonctionne que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe - et ce n'est pas toujours vrai.
Les gens sont également obligés d'avoir des mots de passe pour les choses qu'ils utilisent si souvent qu'ils ne pourraient pas oublier le mot de passe même s'ils le voulaient (ce qui est assez gênant si vous êtes obligé de changer le mot de passe régulièrement), et en taper l’ancien mot de passe encore et encore est quelque qui peut entamer leur journée. Les gestionnaires de mots de passe sont un bâton sur lequel ces personnes s'appuient et la pratique consistant à interdire le collage de mot de passe les en empêche.
Les mots de passe vont traîner dans le presse-papiers
Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » où il peut être collé autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne l'utilisant) a accès au presse-papiers et peut voir ce qu'il contient. Copier n'importe quoi écrase généralement ce qui était déjà dans le presse-papiers et le détruit.
De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin de pouvoir le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou malware) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.
Les mots de passe restants dans le presse-papiers peuvent être plus problématiques si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur. Vous pourriez oublier de vider le presse-papiers. Cependant, ce n'est pas vraiment un risque, car :
- la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site Web, et certains évitent complètement le presse-papiers en tapant le mot de passe avec un clavier virtuel à la place ;
- le navigateur Web Internet Explorer 6 permet aux pages Web malveillantes de copier le presse-papiers; mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
- les virus installés sur votre ordinateur peuvent contenir des copieurs de presse-papiers et récupérer vos mots de passe collés. Ce n'est pas encore une bonne raison pour interdire de coller des mots de passe ; lorsque votre ordinateur est infecté, vous ne pouvez pas lui faire confiance du tout. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours également chaque lettre, chiffre et symbole tapé sur votre ordinateur, y compris vos mots de passe. Ils voleraient votre mot de passe, qu'il soit ou non dans le presse-papiers, donc vous ne gagnez pas vraiment beaucoup avec cette pratique.
Conclusion
En définitive, l’organisation pense qu’interdire le collage de mot de passe est une mauvaise pratique et que l’autoriser est la bonne chose à faire, notant que « les avantages l'emportent sur les inconvénients, et par beaucoup ».
« Plutôt que d'empêcher le collage de mots de passe, aidez vos ordinateurs à éviter d'attraper des virus en premier lieu en suivant nos conseils sur la sécurisation informatique de l'entreprise. Et installez les mises à jour logicielles - la version informatique de manger cinq fruits et légumes par jour. C'est l'un des meilleurs moyens de sécuriser votre ordinateur ».
Source : NCSC
Et vous ?
Êtes-vous déjà tombé sur un site qui vous empêche de coller votre mot de passe ?
Qu'est-ce qui pourrait, selon vous, expliquer cette pratique ?
Que pensez-vous des arguments avancés par la NCSC pour déconseiller cette pratique ?
Comment protégez-vous vos mots de passe ?
Êtes-vous pour ou contre le fait d'empêcher de coller un mot de passe ?
Êtes-vous pour ou contre l'utilisation d'un gestionnaire de mots de passe ?