Le 8 avril, une faille de sécurité Internet nous obligeait à changer tous nos mots de passe. Chiffres, symboles, question secrète ? Trouver le combo ultime est devenu un calvaire.

Il paraît que, dans la nuit du 7 au 8 avril 2014, on s’est retrouvés tout nus sur le Web. Comme ça, sans prévenir. La faute à Heartbleed (littéralement « cœur qui saigne »), un vilain bug exhibitionniste qui, comme d’autres avant lui, permettrait à quelques yeux mal intentionnés de regarder par-dessus notre épaule. Résumons l’affaire : vous voyez le petit cadenas vert qui accompagne vos activités les plus sensibles sur Internet ? Il semblerait qu’il soit mal fermé. Front ruisselant, mains tremblantes, paumes moites, on commence à paniquer. Il va falloir appeler la banque, faire opposition sur la carte bancaire, renoncer à ces billets d’avion en promotion et se réfugier dans un abri antiatomique. On va peut-être en profiter pour dépoussiérer le Minitel religieusement conservé sous une bâche. Et puis non : il suffirait de changer ses mots de passe. Tout simplement. Enfin presque.

Selon une étude très sérieuse du ministère du Doigt mouillé, l’auteur de ces lignes utilise environ soixante-cinq mots de passe. Pile dans la moyenne de nos existences en réseau. Deux boîtes de messagerie, un compte Facebook, Twitter, Tumblr, Amazon, eBay, une banque, un service de paiement en ligne, quelques douzaines de forums, de blogs et de sites d’e-commerce. Des wagonnets crissant de caractères alphanumériques, de majuscules, bas-de-casse et points d’exclamation. Et autant de questions secrètes sur le nom du cochon d’inde de notre enfance, de moyens mnémotechniques qu’on finit par oublier. Qui ne s’est jamais retrouvé enfermé dehors, à tambouriner à la porte sans se souvenir du mot magique ? Aujourd’hui, si on veut suivre les admonitions des ayatollahs de la sécurité informatique, nos mots de passe ressemblent au carambolage stylistique entre la « disparition » oulipienne de Perec et le supercalifragilisticexpialidocious de Mary Poppins. D’ailleurs, on ne parle plus de « mot de passe », mais de « phrase de passe ». Et par souci hygiéniste, il faudrait en changer tous les trois mois. Aussi régulièrement qu’une brosse à dents.

Utiliser “password” est un suicide virtuel

La réalité est beaucoup moins propre. Comme on porterait les mêmes sous-vêtements deux jours de suite, nous sommes encore nombreux à utiliser un seul mot de passe sur plusieurs sites ; on recourt encore au leet speak, ce « sociolecte » de programmeurs informatiques inventé dans les années 1980 et qui remplace des lettres par des chiffres ou des caractères spéciaux ; pire, des appels au viol comme « password », « 123456 » ou « azerty » continuent de s’assurer une belle rente. Pourquoi ? Parce qu’on s’en fiche. Comme l’expliquait récemment un expert porté sur la métaphore, dans un article du site américain BuzzFeed, « [le mot de passe] est comme une assurance automobile. La plupart du temps, vous n’y pensez pas, et c’est quand quelque chose tourne mal que vous réalisez à quel point vous en avez besoin ». En 2014, il ressemble surtout à un résidu de l’Internet « d’avant », une peinture rupestre sur un écran à cristaux liquides. C’est bien simple, à l’heure du confort numérique où aucune action n’excède deux clics, le mot de passe est devenu contre-intuitif.

Pour essayer de rationaliser ce système préhistorique, des services comme 1Password ou LastPass proposent désormais des gestionnaires de mots de passe, soit de gros trousseaux dématérialisés qui permettent de ranger toutes ses clés derrière… un mot de passe. Après trente minutes de tutoriel vidéo et un froncement de sourcils, on doute encore de la portée universelle de ces outils. Dans cent ans, depuis leurs smartphones biométriques et leurs ordinateurs à scanner rétinien (guère plus rassurants, convenons-en), nos arrière-petits-enfants contempleront probablement nos gymnastiques syntaxico-mentales avec autant de circonspection que Champollion face aux hiéroglyphes.