Peut-être êtes-vous convaincu que votre mot de passe est uniquement valide sous sa forme exacte, avec sa séquence précise de majuscules, minuscules et symboles. Or, Facebook, pour simplifier votre expérience, tolère de légères variations de votre mot de passe. Et rassurez-vous, cela n’entame pas la sécurité de votre compte.
La saisie des mots de passe : une source d’erreurs
Les plateformes comme Facebook font face à un défi. Idéalement, ils souhaiteraient que vous utilisiez des mots de passe complexes et longs, mais ces derniers sont souvent difficiles à saisir. L’utilisation d’un gestionnaire de mots de passe serait une solution, mais la plupart des utilisateurs n’y recourent pas. Ces facteurs combinés rendent les erreurs de saisie de mots de passe fréquentes.
Face à cela, quelle approche Facebook doit-il adopter ?
Doit-il vous bloquer immédiatement pour une simple erreur de frappe et ainsi vous contraindre à une seconde tentative ? Ou bien doit-il reconnaître que le mot de passe saisi est probablement le bon, malgré une petite erreur, et ainsi faciliter votre accès à votre fil d’actualité et aux photos de vos proches ?
L’analyse des erreurs de mots de passe par Facebook
Comme l’explique Alec Muffet, un ancien ingénieur logiciel de l’équipe sécurité de Facebook à Londres, Facebook a opté pour la seconde solution. Si votre mot de passe ressemble beaucoup à sa forme correcte, il est considéré comme valide. Les critères sont simples : Facebook accepte un mot de passe incorrect s’il remplit au moins l’une de ces conditions :
- La touche de verrouillage majuscule est activée, et les majuscules sont inversées.
- Un caractère supplémentaire est présent au début ou à la fin du mot de passe.
- La première lettre du mot de passe est en majuscule alors qu’elle devrait être en minuscule.
Ces variations sont toutes liées à l’idée de manquer légèrement son mot de passe lors de la frappe. Cela peut parfois être lié à une correction automatique qui met une majuscule à la première lettre d’un mot. Si votre mot de passe erroné respecte ces règles, vous ne remarquerez pas l’erreur et serez directement connecté.
Par exemple, si votre mot de passe est « Acces », Facebook acceptera également « aCCES » (inversion de la touche de verrouillage majuscule) et « acces » (première lettre en minuscule). De même, il validera « 1Acces » et « Acces2 », car il ne s’agit que d’un caractère supplémentaire en début ou fin. En revanche, « ACCES », « acces » ou « 12Acces » seront refusés.
Un processus sécurisé
À première vue, cette souplesse de Facebook peut sembler risquée. Cependant, la réalité est plus complexe. Contrairement à l’image véhiculée par les anciens films de hackers, le piratage ne fonctionne généralement pas par la force brute. Certes, la méthode consistant à essayer des combinaisons à l’infini existe, mais elle diffère grandement de la représentation télévisuelle. Comme le démontre xkcd, plus un mot de passe est long, plus le temps nécessaire pour le déchiffrer augmente exponentiellement. Ajouter de la complexité aide, mais moins que ce que l’on imagine souvent.
Par conséquent, une variante acceptée par Facebook, un caractère supplémentaire au début ou à la fin du mot de passe, serait plus difficile à utiliser par la force brute. Les pirates devraient déjà avoir le mot de passe correct pour pouvoir essayer les combinaisons avec un caractère de plus.
L’inversion de la touche de verrouillage majuscule est particulièrement intéressante. Lors d’un test, j’ai d’abord saisi mon mot de passe dans un bloc-notes, puis inversé sa casse, et ensuite copié ce résultat dans Facebook. Cette tentative a échoué. En revanche, en activant la touche de verrouillage majuscule et en saisissant mon mot de passe comme si elle était désactivée, l’accès m’a été accordé. Facebook ne vérifie pas uniquement le mot de passe, mais aussi la façon dont il est saisi. La force brute ne fonctionne pas dans ce cas, à moins de simuler la touche de verrouillage majuscule, ce qui serait plus difficile que de s’attaquer au mot de passe réel.
Mise à jour: Comme le précise Paul Moore, consultant en sécurité informatique sur Twitter, Facebook ne stocke probablement que votre mot de passe original (haché et salé correctement), et non ses variantes. Lorsque vous soumettez un mot de passe pour vous connecter, il est d’abord comparé à votre mot de passe d’origine. En cas d’échec, Facebook applique ses règles de variantes. Par exemple, si la touche de verrouillage majuscule est activée, Facebook prend votre mot de passe, en inverse la casse et réessaye. S’il ne fonctionne toujours pas, Facebook passe à la règle suivante. En résumé, Facebook reproduit ce que vous feriez après avoir reçu le message « mot de passe incorrect » : vérifier une erreur accidentelle et la corriger. Cela améliore votre expérience utilisateur sans compromettre la sécurité, car une idée du mot de passe correct est toujours nécessaire et les variantes autorisées sont limitées.
Il est important de souligner que la force brute n’est pas la principale méthode d’accès aux comptes. L’ingénierie sociale et les fuites de mots de passe sont bien plus répandues. Si vous avez des questions sur la réinitialisation de mot de passe, il y a de fortes chances que les réponses soient disponibles publiquement. Si votre question de réinitialisation porte sur votre lieu de naissance, le nom de jeune fille de votre mère ou le nom de votre lycée, il est possible de trouver la réponse. Dès lors, un pirate peut réinitialiser votre mot de passe, ce qui rend toute tentative de devinette inutile.
Malheureusement, de nombreuses personnes utilisent toujours la même combinaison d’adresse e-mail et de mot de passe sur plusieurs sites. Il est facile de trouver des exemples de violation de données. Si vous utilisez les mêmes identifiants sur plusieurs sites, vos mots de passe sont le maillon faible, et non la politique de Facebook.
Si vous doutez d’avoir été victime d’une fuite de données, allez sur haveibeenpwned.com et vérifiez si votre mot de passe a été compromis. Il y a de fortes chances qu’au moins un de vos comptes ait été piraté.
Renforcez la sécurité de vos comptes
Si cette politique vous inquiète, vous pouvez prendre des mesures. La première est d’arrêter d’utiliser le même mot de passe partout. Utilisez plutôt un gestionnaire de mots de passe, qui génèrera des mots de passe uniques et longs pour chaque site. Ainsi, si un site que vous utilisez est piraté, vous pouvez changer uniquement ce mot de passe, sans risquer que les pirates utilisent vos identifiants sur d’autres plateformes.
Après avoir sécurisé vos mots de passe, activez l’authentification à deux facteurs sur tous les sites qui la proposent. Facebook offre cette option, il est donc recommandé de l’activer. La meilleure authentification à deux facteurs repose sur une application sur votre smartphone qui génère un code nouveau ou une clé physique. L’authentification à deux facteurs par SMS est mieux que rien, mais elle reste vulnérable aux techniques d’ingénierie sociale. Si vous pouvez utiliser une application d’authentification ou une clé physique, faites-le. Et prévoyez une solution de secours en cas de problème avec votre téléphone ou votre clé.
Avec cette combinaison, votre compte est bien mieux protégé, quelle que soit la politique de mots de passe de Facebook. Il est recommandé d’utiliser un gestionnaire de mots de passe et des mots de passe uniques, et encore mieux de les combiner avec l’authentification à deux facteurs.
Pas de panique, profitez du confort
Il est facile de s’inquiéter de cette politique de mots de passe de Facebook, en craignant qu’elle soit moins sécurisée. Pourtant, en réalité, les avantages l’emportent sur les risques. La sécurité est un équilibre. Plus un système est verrouillé, moins il est pratique à utiliser. Et inversement, un accès plus pratique peut nuire à la sécurité. L’objectif est de trouver le juste milieu pour protéger les utilisateurs sans les frustrer. Facebook a ici fait un choix en faveur de la facilité d’utilisation, et c’est probablement un compromis acceptable.