La récente divulgation sur Internet d'une liste de mots de passe dérobés au site rockyou.com a donné lieu à une volée d'articles similaires à travers la presse IT, et parfois même généraliste. On a ainsi pu assister à la crucifixion en règle de "123456", élu mot de passe idiot de la décennie. Et bien entendu, tous les vendeurs de solutions d'authentification forte y sont allés de leur communiqué de presse.

Mais les commentateurs empressés oublient un détail : RockYou.com n'est pas représentatif de tous les sites ou de toutes les applications de la planète. Ses utilisateurs ne sont pas forcément ceux du site d'à côté, et encore moins de votre Système d'Information. Bref : arrêtons de tirer des conclusions d'un incident qui est certes représentatif d'une tendance généralisée à la facilité, mais certainement pas indicateur d'une faiblesse identique (comme le faisait d'ailleurs récemment observer un membre de SecurityVibes dans les Cafés)

Car après tout entre des politiques adaptées, les réglementations diverses qui imposent à minima de vérifier la solidité des mots de passe, la pléthore d'outils Libres capables de tester la solidité de ces derniers à la création ou a postériori, et tous les services tiers d'authentification à intégrer facilement via une API qui se chargent de ces contrôles, le paysage du mot de passe a bien changé. Un site qui se retrouverait aujourd'hui avec les mots de passe les plus populaires de la liste de RockYou.com l'aurait bien cherché.

Donc oui, l'authentification forte c'est mieux. Mais non, les mots de passe faibles à la RockYou.com ne sont pas une fatalité.