C’est une histoire qui inspire la pitié mais aussi la moquerie. Un Américain qui avait investi quelques milliers d’euros dans les bitcoins il y a huit ans se retrouve aujourd’hui à la tête d’une fortune colossale qui est estimée entre 200 et 300 millions d’euros selon les fluctuations de la plus célèbre des cryptomonnaies, ces monnaies virtuelles qui attirent de plus en plus d’investisseurs, même institutionnels. Mais cet incroyable jackpot, Stefan Thomas risque de ne jamais pouvoir en profiter car il n’arrive plus à se souvenir du mot de passe utilisé pour protéger son compte. Après huit tentatives infructueuses, il ne lui reste plus que deux essais. Il a intérêt à ne pas se tromper à nouveau, sinon le compte sera définitivement bloqué. Le plus fort, c’est que Stefan est loin d’être le seul distrait, on estime que 115 milliards d’euros seraient ainsi bloqués sur des plates-formes virtuelles pour cause de code secret oublié. On pourrait sourire devant une telle absurdité mais posons-nous la question : et nous, n’avons-nous jamais oublié un mot de passe ? Avec quelle conséquence ? Comment réparer un oubli et comment se prémunir à l’avenir ? Nous avons posé la question à un spécialiste de la sécurité informatique.

Le Bitcoin évolue dans un monde parallèle, malheur aux distraits

" Le cas de Stephan Thomas ne m’étonne pas vraiment ". Axel Legay est ingénieur et professeur en cybersécurité à l’UCLouvain, il est impliqué dans différentes plates-formes liées au covid19, qu’il s’agisse de testing, de vaccination ou de l'application Coronalert mais c’est en tant que spécialiste de la sécurité informatique que nous l’avons interrogé. " Aux débuts du Bitcoin, de nombreuses personnes ont investi par curiosité ou même par jeu, ils ne s’attendaient pas à voir leurs euros se multiplier par mille voire dix mille. Aujourd’hui, après quelques années de yoyo, leur mise de départ a littéralement explosé, surtout avec les derniers records qui ont vu le Bitcoin dépasser les 40.000 dollars mais le souci, c’est qu’ils ont parfois oublié le code secret choisi lors de la création de leur compte. Et comme le Bitcoin est une monnaie virtuelle ne dépendant d’aucune instance régulatrice, il est impossible de s’adresser à un service ou à quelqu’un pour demander une réinitialisation du mot de passe, comme c’est le cas dans une banque classique. Le système même des cryptomonnaies repose sur une décentralisation et une absence de contrôle, ce qui lui confère une grande indépendance et surtout une totale discrétion, deux qualités qui sont les buts recherchés et les clés de son succès. Un Bitcoin c’est une suite de chiffres et de transactions dont l’accès se fait via un portefeuille électronique. Mais malheur aux distraits, le système se protège en bloquant l’accès à ceux qui ont perdu leur clé. Si on oublie le code du portefeuille, c’est comme s’il se détruisait ou se bloquait pour toujours, personne ne pourra plus le rouvrir. C’est à la fois la force et la faiblesse de ce genre de système. "

Des mots de passe compliqués et souvent renouvelés, des recettes à doubles tranchants

Le citoyen lambda observe les fluctuations du Bitcoin avec curiosité et une pointe d’envie mais rares sont ceux qui se lancent dans une aventure qu’ils jugent hasardeuse. Et les instances européennes leur donnent d’ailleurs raison en appelant à la prudence vis-à-vis des cryptodevises. Il n’empêche, à moins d’avoir une organisation parfaite ou une mémoire d’éléphant, nous avons quasi tou.te.s déjà connu des mésaventures avec des mots de passe oubliés. "L’avantage avec notre système bancaire et la plupart des organismes publics ou commerciaux, c’est qu’on peut leur demander de l’aide en cas d’oubli d’un mot de passe. La règle de base en matière de sécurité informatique, c’est qu’ils ne voient qu’une version cryptée de votre mot de passe, ils ne le voient pas en clair et ils ne peuvent donc pas vous le redonner mais ils peuvent le réinitialiser, c’est-à-dire vous en redonner un nouveau que vous pourrez éventuellement modifier pour retrouver l’ancien. Le problème, c’est que face aux menaces de piratage et de vols de données, ce qu’on appelle le phishing ou le hameçonnage, on a abondamment conseillé aux gens de choisir des mots de passe complexes et d’en changer régulièrement. Or, la mémoire ayant ses limites, de nombreuses personnes ont pris l’habitude de noter ces codes et autres mots de passe, notamment dans leur GSM ou leur ordinateur. Il suffit dès lors de pénétrer l’appareil, ce qui n’est si compliqué, pour obtenir un accès à une foule de services. On a aussi remarqué que les gens qui changent régulièrement de mots de passe ont tendance à les choisir de plus en plus simples. Autrement dit, en voulant se protéger par des mots de passes compliqués, on crée ensuite une brèche en les inscrivant en clair dans un endroit vulnérable, et en voulant les varier on finit par les simplifier, ce qui ruine l’effort initial. " C’est un effet pervers auquel ne sont pas toujours sensibles les responsables de cybersécurité. Leurs conseils sont souvent justifiés mais ils ne tiennent pas toujours suffisamment compte de la psychologie humaine.

Mots de passe : attention à la paresse, il faut les varier. Oui mais…

Un autre souci, c’est que les gens ont tendance à utiliser le même mot de passe pour diverses utilisations. " Tant que c’est pour un même organisme, par exemple des codes liés à votre employeur, ça va, mais dès qu’on a un mot de passe qui donne accès à divers services ou organismes, ça craint. Il faut savoir qu’un hacker qui a obtenu un mot de passe va tenter de le réutiliser sur tous les plates-formes que vous fréquentez. Il a déniché votre code d’accès à Facebook ? Il va le tester sur votre entreprise, votre fournisseur d’eau, votre banque en y récoltant chaque fois des informations utiles pour accéder à d’autres services et de fil en aiguille il va obtenir de quoi vous surveiller, vous dépouiller voire de détruire votre vie s’il le désire. Imaginez quelqu’un qui prend le contrôle de vos appareils, de vos communications, de vos photos, de vos contacts, de vos comptes en banque… Ça peut paraître effrayant mais c’est malheureusement la face sombre de notre monde hyperconnecté, en plus des agressions physiques, il faut s’attendre à de plus en plus d’agressions électroniques. " Quel est le bon de passe alors ? Existe-t-il vraiment ? " Le bon mot de passe, c’est un peu le serpent qui se mord la queue. Il ne doit pas être trop simple, ni trop permanent, ni trop universel, il faut donc le rendre compliqué, en changer régulièrement et ne pas utiliser le même partout. On conseille par exemple d’avoir un code différent par carte bancaire. Le principe est d’éviter la duplication, ça limitera les dégâts en cas de faille d’un compartiment. Mais bonne chance pour s’y retrouver ensuite ! Je n’ai malheureusement pas de recette magique pour gérer tout ça. La plupart des gens en sont réduits à accepter la proposition que leur fait leur écran quand il demande ''Se rappeler de moi ?'' ou ''Enregistrer mon mot de passe ?'' C’est évidemment tentant, le but est de faciliter la vie mais il faut être conscient que celui qui accède à votre appareil ou à l’organisme qui a enregistré votre code, celui-là trouvera la porte sur la clé pour accéder à d’autres services liés à vous et pourra se comporter comme vous-mêmes. Or, un GSM ou un smartphone est en vrai gruyère en matière de cybersécurité."

S’identifier par nos empreintes, nos yeux, notre visage ou nos veines : d’autres dangers en vue

Et si la solution venait de la technologie ? Au lieu de taper un code chiffré, de plus en plus d’appareils ou de sites réclament qu’on pose un doigt, qu’on prononce un mot ou qu’on exhibe son visage. Et là, on ne risque pas d’oublier et de se les faire voler. Enfin, c’est ce qu’on croit. Car Axel Legay fait la grimace. " On connaît même des systèmes de reconnaissance via le système veineux, a priori unique. Mais tous ces systèmes admettent une certaine marge de tolérance sinon il suffirait de cheveux trop longs, de cernes sous les yeux ou d’une griffe au doigt pour qu’on ne soit pas reconnu. Cette marge pourrait être exploitée par les pirates qui utiliseraient des photos ou des sujets fort ressemblants. Tout peut être contourné, on peut même imaginer des vols d’organes pour déjouer un détecteur d’iris ou d’empreinte. Et puis, quand tout reposera sur des données biométriques, qui contrôlera l’usage que feront les sociétés, souvent américaines, qui collectent ces données ? Celui qui obtiendra ou détournera toutes vos données physiologiques et peut-être même un jour votre ADN aura de quoi voler votre identité. Ce n’est pas tout à fait de la science-fiction. "

Les entreprises belges : une remontée de la fin au milieu de peloton

Et puis, il existe des sociétés qui proposent des sortes de coffres-forts virtuels où vos mots de passe et autres codes secrets sont conservés de manière cryptée et donc inviolable mais elles s’adressent surtout à d’autres entreprises, pas tellement au grand public. " Les entreprises belges ont fait des efforts en matière de sécurité informatique. Il y a quelques années encore, nous étions en queue de peloton européen mais nous sommes désormais dans la moyenne. Il reste néanmoins du boulot. La preuve, cette enquête menée auprès de dirigeants et qui montre que la productivité reste encore prioritaire par rapport à la cybersécurité. Trop souvent encore, il n’y a pas de responsable spécifique pour ce secteur pourtant crucial. Le personnel n’est pas davantage conscient des enjeux, lui qui estime que c’est un problème qui concerne la direction et pas l’ensemble de l’entreprise. Heureusement, les pouvoirs publics semblent de plus en plus sensibles à cette problématique. " En attendant, Stefan Thomas se creuse toujours les méninges pour retrouver son mot de passe à 300 millions. Et ne lui conseillez pas de taper simplement " password ", il l’a déjà essayé !