Make Passwords Magic Again

Les mots de passe ont envahi nos vies quotidiennes. La notion même de mot de passe est devenue étouffante pour beaucoup, tant ils sont devenus nombreux et exigeants. En prenant un peu de recul, on s’aperçoit que cette notion évolue. Elle a évolué et s’est détériorée. Mais grâce notamment à des plateformes modernes et élégantes comme Memority, elle évolue encore et s’améliore.

Au commencement était le verbe

L’idée de mot de passe est très ancienne. Elle provient du registre de la magie : un mot magique qui permet d’ouvrir un accès. Les premiers mots de passe n’étaient pas personnels ou compliqués. Il fallait juste les connaître – ou les deviner.

Sans remonter jusqu’au fameux « Sésame ouvre-toi ! » des Contes des Mille et Une Nuits en 1717, révisons deux chefs-d’œuvre de la littérature du XXe siècle.

Dans le premier tome du Seigneur des Anneaux, de J.R.R. Tolkien, paru en 1954, la Communauté de l’Anneau menée par Gandalf le Gris, pour rentrer dans les Mines de la Moria, doit ouvrir un grand portail orné d’une inscription en elfique, les Portes de Durin :
Au sommet se trouvait un arc de lettres intersectées en caractères elfiques. En dessous, bien que les fils fussent par endroits estompés ou entrecoupés, se voyait le contour d’une enclume et d’un marteau surmontés d’une couronne avec sept étoiles. (…) Les mots ne révèlent rien d’important pour nous. Ils disent seulement ceci : « Les Portes de Durin, Seigneur de la Moria. Parlez, ami, et entrez. »

Le mot de passe n’est pas individuel, ni compliqué. Il suffit de le connaître pour entrer. Et il suffit juste de bien connaître le dialecte elfique Sindarin pour le deviner*.

 

Dans le quatrième chapitre du Pendule de Foucault d’Umberto Eco, paru en 1988, le narrateur Casaubon tente d’accéder aux textes cachés par Jacopo Belbo dans son fort primitif micro-ordinateur, baptisé Aboulafia.
De fait, à peine ai-je chargé la machine qu’est apparu un message qui me demandait : « Tu as le mot de passe ? » (Formule non impérative, Belbo était un homme poli.) Une machine ne collabore pas, elle sait qu’elle doit recevoir le mot ; elle ne le reçoit pas, elle ne dit mot. Comme si toutefois elle me signifiait : « Pense un peu, tout ce que tu veux savoir, moi je l’ai ici, dans mon ventre, mais tu peux toujours gratter, vieille taupe, tu ne le retrouveras jamais. »
Là encore, le mot de passe n’est ni individuel, ni compliqué. Il suffit de le connaître pour entrer. Et il suffit juste de bien connaître l’exquise politesse italienne pour le deviner**.

La malédiction des mots de passe personnels, forts et nombreux 

Le monde a changé. Aujourd’hui, les mots de passe sont supposés être personnels, uniques pour chaque individu et propres à chaque système. Un mot de passe est associé à votre identifiant – numéro de compte, adresse E-mail, numéro de Sécurité Sociale, etc. Il vous permet de prouver votre identité. Vous êtes fortement encouragé à ne jamais partager aucun mot de passe. Et vous êtes aussi fortement encouragé à avoir un mot de passe différent pour chaque système. Ceci, alors que vous avez la chance d’avoir accès à des dizaines, sinon des centaines de systèmes !

Aujourd’hui, les mots de passe sont aussi supposés être compliqués – on les dit « forts ». « password » : c’est pas bien. « Julie » : c’est mieux. « Julie55 » : c’est encore mieux. « Julie55+ » : encore un effort. « Lo4EeZxtfaMbhNUSEPAu » : là, on est bien, là c’est fort, là c’est sécurisé ! Ouf !
Et ensuite, vous devez générer le même genre de mot de passe pour chaque système, toujours différent pour chacun de ces centaines de systèmes. Et enfin, vous devez les apprendre par cœur, et voilà, vous êtes en sécurité. Youpi !

Aujourd’hui, tout le monde déteste les mots de passe. La magie a disparu. 

Less is more 

Heureusement, l’histoire ne s’arrête pas. Il sera certes impossible de revenir aux mots de passe élégants des Mines de la Moria et d’Aboulafia.

Aujourd’hui, l’élégance est dans les solutions elles-mêmes. Les mots de passe d’aujourd’hui, personnels, distincts, forts, ne sont qu’une étape, et seront bientôt le passé. Les nouvelles solutions sont personnalisées, individualisées, autant que des identifiants et des mots de passe individuels, permettant d’authentifier exactement la bonne personne. Les nouvelles solutions sont fortes, solides, plus encore que les mots de passe comme « LoTReZxtfaMb3lB0EPAu » ou que des certificats cryptés dopés aux amphétamines polyphosphatées à 2048 octets comme le jeu bien connu.

Certaines de ces solutions envoient un code à quelques chiffres à usage unique sur votre téléphone ou sur votre boîte mail. D’autres s’appuient sur le lecteur d’empreinte digitale ou sur la caméra d’un de vos engins personnels. D’autres encore sur les comptes dont vous disposez déjà sur le système d’exploitation d’un de ces engins ou sur des caractéristiques ou des souvenirs dans les entrailles de ces mêmes engins. D’autres encore délèguent à d’autres. Et d’autres agrègent plusieurs des « facteurs d’authentification » précités.

Le retour de la magie 

Gandalf le Gris et Jacopo Belbo auraient adoré ces solutions, qu’on appelle pour faire court « passwordless » en bon français. Ces solutions sont à la portée de toutes les organisations utilisant des plateformes modernes de gestion des identités et des accès, telles que Memority.
Comme l’a écrit Arthur C. Clarke :
Toute technologie suffisamment avancée est indifférenciable de la magie.

Epilogue 

* Gandalf a interprété l’inscription elfique trop vite. L’inscription qu’il avait traduite par « Parlez, ami, et entrez. » veut plutôt dire « Dites : ami, et entrez ». Le mot de passe est donc « mellon », le mot elfique pour « ami ».

** Casaubon a lu la question de Belbo trop vite. La question est : « Tu as le mot de passe ? » La réponse est évidente. Le mot de passe est : « non ». Belbo était un homme poli.

Michel "Le Gris"
QA Lead