On t’a menti pendant 20 ans. On t’a forcé à inventer des mots de passe imbuvables avec des majuscules, des chiffres et des caractères spéciaux que tu oublies tout le temps. Résultat ? C’est une torture pour ton cerveau, mais un jeu d’enfant pour un hacker et ses algorithmes.
Dans cette vidéo, on déconstruit le mythe de la “complexité” pour parler de la seule chose qui compte vraiment : l’entropie.
Si vous connaissez pas xkcd, ce post a inspiré la création de cette vidéo : https://xkcd.com/936/
Les vidéos de la chaîne principale sont entièrement faites par moi, mais sur la chaîne secondaire, c’est cette goat qui s’occupe du motion design : https://www.instagram.com/elsa.fbrr
Chapitres
00:00 Introduction
01:13 Pourquoi ce mot de passe est nul
03:42 L’entropie
05:07 La méthode Diceware
07:58 Comment l’utiliser partout ?
• Ma chaîne principale : @V2F
• Mon Tipeee et Patreon : https://www.patreon.com/c/V2F ou https://fr.tipeee.com/v2f
• Mon serveur Discord : https://disc/ ord.com/invite/APz8EYVqng
• Instagram : https://www.instagram.com/IV2FI
• Tiktok : https://www.tiktok.com/@iv2fi
• X : https://x.com/IV2FI
• Facebook : https://www.facebook.com/IV2FI
A bientôt !
J’avais lutté en interne de [grande entreprise française] pour que les mots de passe soient moins restrictifs. Ils avaient une politique chiante de 12 caractères, majuscule, minuscule, caractère spécial, changement tous les 6 mois, ne jamais réutiliser un ancien pass… du coup les employés notaient leurs mots de passe sur un post-it pour ne pas les oublier. J’étais sûr que sans ces restrictions et en les éduquant aux passphrases, ce comportement disparatrait et la sécurité augmenterait.
Un jour, quelqu’un d’étranger à l’entreprise est rentré dans les locaux, s’est connecté à la machine d’une collègue en utilisant le pass sur un post-it, et a volé un export de toutes les données clients. Ça a coûté énormément à l’entreprise en relations publiques et pénalités diverses.
C’est donc logiquement que cette histoire arrive à la conclusion où j’ai pu monter une réunion avec le RSSI en invitant toute la direction pour leur présenter le xkcd 936, afin de leur expliquer pourquoi on préférait moins de restrictions sur les caractères et une meilleure éducation des employés sur la sécurité et les bons mots de passe.
J’aurais raconté cette histoire dans un monde cohérent, moins hiérarchisé, moins gérontocrate. Dans notre monde, le RSSI a été viré pour la “faute grave” d’avoir été en poste pendant cette fuite de données, et la direction ne m’a pas écouté. Ça ne m’a pas donné envie de continuer à gérer leur run tout pourri, donc je me suis cassé ailleurs.
Il y a vraiment des gens assez brave pour faire ce genre de truc? Juste entrer comme si de rien n’était, se brancher à un ordinateur d’un employé qui est clairement dans les environs et aller chercher, oui chercher, une liste de client à quelque part sur l’intranet.
Oui, le vecteur de >90% des “hacks” c’est juste ça, une faille humaine, des gens qui rentrent dans des locaux, des personnes qui répondent à un peu trop de questions au téléphone, etc.
Un RSSI se trouve à faire plus de travail humain que de travail informatique. Former les gens, inculquer des bonnes pratiques, c’est tout aussi important que d’avoir un réseau sécurisé et des données bien protégées.
Je viens d’aller faire des tests sur des sites et - chien dans les nuages sur un fauteuil- obtient 173.9. C’est sur que c’est facile à retenir. Mais si on a 45 passphrases à retenir, ça revient au même, en tout cas pour moi Il faudrait surtout éduquer les gens au gestionnaire de mot de passe, non ? Qui lui génère des mots de passe. Et qui soit accessible via une passphrase. Parce-que la plupart des sites demandent les caractères spéciaux et cie.
Il en parle à la fin. Il conseille la passphrase pour le gestionnaire de mdp et des mdp générés par le gestionnaire pour le reste
