Journée mondiale du mot de passe : l’histoire des mots de passe

L’heure est au changement ! Cette année, au lieu de célébrer la journée mondiale du mot de passe comme à l’accoutumée, LastPass propose la journée mondiale du (sans) mot de passe afin d’anticiper notre avenir débarrassé des mots de passe. Alors que nous nous préparons à abandonner les mots de passe, il n’est pas inutile de revenir sur leur longue histoire. Voici une brève chronologie de la genèse des mots de passe en informatique, de la manière dont nous avons commencé à les utiliser pour protéger notre vie numérique, et de la façon dont ils nous protègent aujourd’hui contre les cybermenaces.

Les années 60

Alors que les astronautes de la NASA se préparaient à se poser sur la lune pour la première fois dans le cadre du programme Apollo, Fernando Corbató créait les premiers comptes informatiques protégés par mot de passe au MIT (Massachusetts Institute of Technology). Les utilisateurs qui se connectaient à son système CTSS (Compatible Time-Sharing System) avec leurs identifiants de connexion respectifs pouvaient gérer leurs propres ensembles de fichiers sur des terminaux reliés à l’ordinateur central de l’université. Bien que ce mécanisme d’authentification précoce centré sur l’utilisateur présentait des failles de sécurité, il a directement influencé la manière dont les mots de passe allaient être exploités par les informaticiens comme par les gens ordinaires durant les décennies à venir.

Les années 70

En 1972, la sécurité des mots de passe a été renforcée lorsque le cryptographe Robert Morris a mis au point un processus de chiffrement baptisé ‘hachage’, qui transforme les mots de passe en nombres. Plus tard au cours de la même décennie, Robert Morris s’est associé à son collègue Ken Thompson pour créer une technique complémentaire baptisée ‘salage’, dans laquelle des chaînes aléatoires sont ajoutées aux mots de passe lors de leur stockage afin de les rendre encore plus difficiles à déchiffrer. Le hachage et le salage sont encore très utilisés aujourd’hui. Et d’ailleurs, LastPass exploite ces deux meilleures pratiques pour protéger le mot de passe maître de chaque utilisateur.

Les années 90 à 2000

Lorsqu’Internet a commencé à s’insérer dans la vie quotidienne, il a fallu mettre au point des protocoles d’authentification plus sûrs. AT&T déclare avoir inventé l’authentification à deux facteurs (A2F) en 1995, et la société a obtenu un brevet pour cette technologie en 1998. Autrefois une solution confidentielle, l’A2F est aujourd’hui largement répandue. Il y a de fortes chances que vous l’utilisiez déjà pour vous connecter à certains de vos comptes en ligne. Lorsque vous exploitez l’A2F, le système d’authentification vous demande de fournir un type (ou facteur) d’authentification supplémentaire, comme un code à usage unique, afin de prouver que vous êtes bien qui vous prétendez être. Vous pouvez recevoir ce facteur supplémentaire par SMS, par e-mail ou dans une application d’authentification. Une fois que vous avez reçu le code, vous l’insérez dans la demande d’authentification, et si tout est en règle, vous obtenez l’accès à votre compte. L’A2F et son successeur, l’authentification multifacteur (MFA), ont gagné en popularité au cours des années 2000, lorsque les entreprises ont commencé à déployer des règles ‘BYOD’ (pour Bring Your Own Device) autorisant leurs employés à utiliser leurs appareils personnels à des fins professionnelles.

Les années 2010

Le décollage des applications mobiles au cours des années 2010 a rendu le renforcement de la sécurité des mots de passe encore plus urgent. L’authentification à deux facteurs (A2F) s’est transformé en authentification multifacteur ou MFA, qui demande aux utilisateurs qui se connectent à un compte en ligne de fournir plusieurs types d’authentification, en plus de leurs identifiants de connexion. Les professionnels de la sécurité classent ces facteurs de la manière suivante :

• Choses que vous savez (comme votre mot de passe)
• Choses que vous avez (comme votre téléphone, un jeton MFA ou une carte à puce)
• Choses que vous êtes (informations biométriques comme votre empreinte, votre visage ou votre voix)

Lorsque les fuites de données se sont multipliées à la une des journaux, les meilleures pratiques comme l’A2F et la MFA se sont démocratisées. Contrairement aux identifiants de connexion, qui peuvent être volés et échangés librement sur le dark web à l’insu des utilisateurs, les jetons A2F et MFA sont plus difficiles à pirater. La MFA est une forme de protection particulièrement importante aujourd’hui, surtout si vous utilisez un même mot de passe pour accéder à plusieurs comptes en ligne (ce qui est le cas pour 62 % des personnes interrogées, selon le Rapport 2022 sur la psychologie des mots de passe). Si un pirate essaie d’usurper votre identité alors que la MFA est activée sur votre compte, vous pouvez être averti de cette activité suspecte, alerter vos collègues du SI, et prendre des mesures pour vous protéger et protéger votre entreprise.

Les années 2020

Au cours des années 2020, les fuites se sont banalisées, les cybercriminels ont pris de l’assurance, et l’utilisateur lambda a commencé à mieux comprendre l’importance de ne pas négliger la sécurité des mots de passe. Lorsque de nombreux employés se sont retrouvés à travailler de chez eux au début de la pandémie, leur univers numérique s’est élargi, et les acteurs malveillants en ont profité pour faire des dégâts à plus grande échelle. Au cours des décennies précédentes, un mot de passe de huit caractères composé de lettres majuscules et minuscules, de chiffres et de symboles était considéré comme suffisamment fort pour protéger un compte en ligne. Arrivé aux années 2020, ce n’était plus le cas. Pour se protéger, les employés ont donc commencé à utiliser des mots de passe plus longs et complexes (pratique souvent imposée par leur service informatique). Ces mots de passe de 12 à 18 caractères sont censés être plus difficiles à deviner. Toutefois, même les personnes les plus soucieuses d’adopter les meilleures pratiques en matière de sécurité des mots de passe se sont heurtées à un problème. Avec tellement de comptes en ligne, gérer un grand nombre de mots de passe devenait d’autant plus compliqué que ces mots de passe étaient plus difficiles à mémoriser. C’est pourquoi de nombreux utilisateurs et entreprises sensibles à la cybersécurité ont commencé à utiliser des gestionnaires de mots de passe pour stocker leurs mots de passe en toute sécurité.

Préparez-vous à un avenir sans mot de passe

Le mot de passe nous a accompagnés à chaque étape de l’ère numérique, en s’adaptant en cours de route aux exigences de cybersécurité de plus en plus strictes. S’il est difficile d’imaginer le jour où nous n’utiliserons plus de mots de passe, ce jour approche pourtant à grands pas. Gartner prévoit que plus de 50 % des travailleurs seront passés au sans mot de passe d’ici 2025. La journée mondiale du (sans) mot de passe est donc le moment idéal pour nous préparer à cet avenir sans mot de passe. Essayez le sans mot de passe gratuitement à l’aide de l’application LastPass Authenticator. Si vous souhaitez en savoir plus sur comment renforcer votre sécurité grâce au sans mot de passe, rejoignez-nous pour un webinaire le 4 mai. Réservez votre place dès maintenant.