Sur le papier, les règles d’hygiène numérique sont bien connues: un mot de passe fort, changé si besoin, stocké dans un coffre-fort numérique et évidemment pas conservé sur un post-it. Mais si Apple, Google et Microsoft viennent d’annoncer leur intention de mettre fin au mot de passe en le remplaçant par une authentification via son smartphone, c’est parce que bien souvent cela ne marche pas. Avec des conséquences qui peuvent aller très loin, en témoigne une affaire pénale qui vient d’être jugée par la 12e chambre correctionnelle du tribunal judiciaire de Paris, ce lundi 9 mai.
Au départ, il s’agit d’un conflit relativement banal entre une direction et l’un de ses employés. Cette association francilienne de taille moyenne œuvrant dans le social poursuit son ancien responsable comptable financier. Il est suspecté d’avoir piraté en juin 2021 la boîte mail de la directrice générale. Pour les plaignants, il s’agit d’un espionnage motivé par la « jalousie, pour une histoire de primes », signale Aurélien Wulveryck, l’avocat de l’association. Un dossier qui, ajoute-t-il, a également été plaidé sur un autre volet aux prud’hommes.
Gestion baroque des mots de passe
Mais cette affaire simple a été singulièrement embrouillée par la gestion baroque des mots de passe. Ce qui a d’ailleurs suscité l’incompréhension des magistrats, qui ont rendu une décision très mesurée. Le prévenu a ainsi été blanchi des accusations de piratage de la messagerie et d’atteinte au secret des correspondance pour être seulement condamné à une amende de 1000 euros avec sursis pour une tentative d’accès, la seule infraction dans le champ des poursuites.
Quelles sont ces erreurs ? La première est de taille. Selon la directrice générale de l’association, le prestataire informatique a suggéré, lors d’une migration menée il y a deux ans vers la suite office 365, d’envoyer par mail les identifiants et mots de passe des directeurs de la structure au responsable comptable. A charge alors pour lui d’imprimer le mail pour le stocker dans le coffre fort physique localisé dans son bureau.
« On ne voit pas trop l’intérêt », s’est étonné un magistrat assesseur en brandissant une feuille, visiblement l’impression papier du message. « C’était pour ne pas que cela traîne: c’est clair que l’informaticien aurait dû m’envoyer ses listes », convient la directrice générale. « Il est aussi choquant que la direction ait les mots de passe des salariés », réagit alors le président Rouaud. Si on craint de perdre des données en égarant son mot de passe, mieux vaut le stocker dans un coffre-fort numérique. Un envoi par mail peut être envisagé mais il faudrait alors chiffrer le message.
Important malentendu
Quoiqu’il en soit, l’envoi des mots de passe a été au moins la source d’un malentendu majeur. Pour l’ancien responsable comptable, cet envoi valait en effet autorisation d’accès. « La directrice générale savait que je les avais », rappelle-t-il à la barre. Ce qui explique pourquoi, alors qu’il était en arrêt-maladie, il s’est connecté avec autant de facilité à la messagerie de sa supérieure. Il voulait juste savoir où en était un projet de fusion, assure-t-il à la barre. En audition, il avait admis une « curiosité malsaine ». « Il n’avait pas d’intention malveillante », insiste son avocat Jean-Baptiste Laplace. « Mais étiez-vous autorisé à accéder à cette messagerie? », lui demande l’un des magistrats. « Ce n’était pas interdit », rétorque-t-il.
Cette mauvaise gestion des mots de passe a été accentuée par des problèmes d’organisation des messageries. L’association a par exemple dû accéder à la boîte mail d’une directrice, en arrêt-maladie, pour suivre un important dossier de subvention demandée à la région Île-de-France. Pour pallier d’éventuelles absences, il est plus simple de créer des adresses mails génériques, telles que « direction », ou par exemple « subvention », pour éviter d’avoir à accéder à la messagerie d’un salarié. « Je m’étais connecté sur d’autres messagerie à la demande de la directrice générale pour la continuité du service », observe ainsi le mis en cause.
L’association a enfin pêché sur la nature de ses mots de passe. Ainsi qu’il a été lu à l’audience, certains étaient trop simples, comme « rateau » suivi d’une courte liste de chiffres. Surtout, il aurait fallu changer régulièrement son mot de passe. « Nous ne sommes pas vraiment des geeks: je ne savais même pas qu’on pouvait le changer », résume la directrice générale. Désormais, les salariés de l’association doivent mélanger majuscules, minuscules et caractères spéciaux dans leurs mots de passe. Et les changer tous les six mois.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));