Il faut être cohérent. Surtout quand on invente.
“Il faut être cohérent. Surtout quand on invente.” Cette phrase d’Éric Fottorino ressemble à une délicieuse pique destinée aux menteurs et autres tricheurs. Je m’en suis souvenu lorsque j’ai découvert les mots de passe utilisés par les amants et amantes infidèles pour se connecter au site Ashley Madison. Mais il s’applique tout aussi bien aux conseils des services de renseignement britanniques pour utiliser des mots de passe forts, et à la lutte acharnée de Warner Music Group pour conserver les droits sur la chanson la plus connue au monde : Happy Birthday to You.
Ashley m’a dit son mot de passe
Après la divulgation des adresses e-mail, c’était au tour des mots de passe. Si le fichier contenant les adresses e-mail a permis de constater qu’il y a encore des gens, en 2015, qui utilisent une adresse professionnelle ou nominative pour utiliser des services où il est évident que la prudence et la discrétion sont de mise, le fichier de mots de passe démontre à nouveau l’étendue cosmique et la profondeur abyssale de l’ignorance et/ou de la naïveté des internautes.
Depuis des années, on répète à qui veut bien l’entendre – c’est peut-être là que le bât blesse – que les mots de passe doivent être les plus longs possible, contenir des chiffres, des lettres en majuscule et minuscule, des symboles, ne pas faire référence à des dates ou des mots du dictionnaire ni même à des prénoms ou noms, etc.
Les sites et services sur Internet contraignent d’ailleurs de plus en plus les internautes à créer des mots de passe plus compliqués en imposant des règles strictes lors de l’ouverture d’un compte ou de la modification du mot de passe.
Il existe enfin de très nombreux logiciels qui permettent de gérer et stocker tous les mots de passe de manière sécurisée. Personnellement, j’utilise 1Password, de la société canadienne AgileBits. Rien que pour les sites et services web, j’ai… 253 mots de passe uniques.
Voilà quels sont les mots de passe les plus utilisés sur Ashley Madison, et très probablement sur un nombre incalculable d’autres sites allant de Google à Facebook, en passant par l’e-banking.
123456 12345 password DEFAULT 123456789 qwerty 12345678 abc123 pussy 1234567 696969 ashley fuckme football baseball fuckyou 111111 1234567890 ashleymadison password1 madison asshole superman
(source : ArsTechnica)
Là où les usagers ont fait preuve de cohérence, c’est lorsqu’ils ont utilisé “pussy”, “fuckme”, “fuckyou” ou “asshole” comme mots de passe sur Ashley Madison. Rien de plus adapté aux circonstances, lorsqu’il s’agit d’un site de rencontres adultères.
Certes, la faute revient aussi aux sites et services qui n’imposent pas des règles strictes (sans doute pour ne pas décourager des internautes). Personne n’aime les mots de passe, il faut reconnaitre qu’aujourd’hui c’est devenu pénible et fastidieux à gérer. Mais avec un peu de bonne volonté…
Quand l’État vous surveille, mais vous conseille sur vos mots de passe
Le GCHQ (service de renseignement britannique) et le Centre pour la protection de l’infrastructure nationale ont publié un guide destiné à tout un chacun afin d’expliquer et simplifier notre approche aux mots de passe.
L’ironie de la chose est que le GCHQ a été épinglé par les révélations d’Edward Snowden il y a deux ans, à l’instar de la NSA, pour avoir surveillé nos communications.
Mais la cohérence de la démarche est parfaite. Les sceptiques n’utiliseront pas ce guide et continueront à employer des mots de passe faibles et donc facilement déchiffrables par le GCHQ, alors que ce dernier montre aux autres qu’il a changé et se soucie désormais de la sécurité et de la confidentialité de nos données. Bel effort.
Quoi qu’il en soit, lorsque le GHCQ recommande l’utilisation d’un gestionnaire de mots de passe, une question se pose : les services de renseignement ne sont-ils pas en train de concentrer leurs efforts afin de découvrir des portes dérobées et autres failles informatiques dans ces logiciels ?
Il faut aussi se souvenir que les gouvernements sont très proactifs juridiquement et techniquement et tentent de faire en sorte que tous les logiciels créent des failles de sécurité qui ne pourraient être exploitées que par les États. J’en parlais ici.
Joyeux anniversaire, bien sûr
La chanson Happy Birthday to You, qui remonte à 1893 (soit au XIXe siècle !), est toujours protégée par le droit d’auteur. Il n’y a que moi que cela choque ?
Warner Music Group est le titulaire de ce droit et perçoit environ deux millions de dollars par année grâce aux royalties. À chaque fois qu’elle est chantée au cinéma, à la télévision, dans un restaurant, un EMS, durant un concert ou un autre événement public, Warner Music Group empoche quelques dollars. On raconte que les droits pour la chanter dans un film coûteraient 10'000 dollars.
En principe, la protection du droit d’auteur prend fin 70 ans après le décès de l’auteur de l’œuvre. À titre de comparaison, un brevet dure au plus jusqu’à l’expiration de 20 ans à compter de la date du dépôt de la demande de brevet.
Reprenons. La chanson remonte à 1893. Sa protection par le droit d’auteur a été réclamée en 1935 aux États-Unis par une société acquise ensuite par Warner Music Group. En 1998, Le Congrès US a voté le Copyright Term Extension Act qui étend la protection des œuvres collectives d’entreprises à 120 ans après la création ou 95 ans à partir de la publication. Ainsi, si Warner Music Group parvient à faire valider ses droits, la protection de la chanson prendra fin en 2030 et nous aurons le bonheur de payer encore 15 ans pour une chanson d’il y a deux siècles.
Alors qu’on ne peut même pas prouver qu’une durée de protection plus longue est économiquement favorable aux auteurs (ça l’est certainement plus pour les éditeurs, maisons de disque & Co.), comment peut-on justifier, légalement, qu’une société puisse encore collecter des royalties 100 ans après la mort de l’auteur ?
Bientôt, quelqu’un va trouver une faille ou va faire voter une loi qui verra les droits d’auteur des compositions de Beethoven ou de Bach réattribués à des sociétés.
Vive la culture. Vive le droit.