En 1961, dans un laboratoire du MIT, un ingénieur résout un problème banal avec une idée qui va changer l’histoire de l’informatique. Le concept du mot de passe numérique moderne apparaît cette année-là au Massachusetts Institute of Technology, quand Fernando Corbató développe le Compatible Time-Sharing System (CTSS), un système permettant à plusieurs utilisateurs de travailler sur un même ordinateur, chacun possédant ses propres fichiers privés. La solution imaginée pour les protéger ? Un simple mot secret tapé au clavier. Soixante-cinq ans plus tard, on tape encore ce geste des milliers de fois par jour sans savoir à quel point son acte de naissance fut à la fois génial et catastrophique.
À retenir
- Le premier mot de passe numérique naît d’une nécessité pratique, mais sans aucune vraie protection
- Moins d’un an après son invention, le système est déjà complètement compromis par un étudiant malin
- Le phishing et le hacking existaient déjà en 1960 : certaines menaces ne vieilliront jamais
Un problème pratique, une réponse radicalement simple
Corbató avait ouvert la voie aux ordinateurs personnels en mettant au point le temps partagé, une technique permettant de répartir la puissance de calcul d’un ordinateur entre plusieurs comptes d’utilisateurs. À cette époque, les ordinateurs, d’énormes machines appartenant généralement à des universités, ne pouvaient traiter qu’un ensemble de calculs à la fois. Résultat : les chercheurs faisaient la queue, parfois des heures, pour accéder à la machine. Le CTSS a changé ça en rendant le partage simultané possible.
Mais partager une machine entre dizaines d’utilisateurs posait une question évidente : comment empêcher l’un de fouiller dans les fichiers de l’autre ? L’objectif de Corbató n’était pas une haute sécurité ; il voulait offrir un minimum de cloisonnement dans un environnement communautaire. Les équipes du CTSS auraient pu opter pour une authentification par connaissance, où l’ordinateur pose une question personnelle plutôt que de demander un mot de passe. Mais dans les premiers temps de l’informatique, les mots de passe étaient bien plus simples à stocker. Un système basé sur la connaissance « aurait nécessité de stocker beaucoup d’informations sur chaque personne, et personne ne voulait consacrer autant de ressources machine à cette histoire d’authentification. »
Le CTSS, introduit au MIT en 1961, fut le premier système informatique à implémenter une connexion par mot de passe. Il disposait d’une commande LOGIN qui demandait à l’utilisateur de saisir un mot de passe. Chose notable : après avoir tapé le mot PASSWORD, le système coupait le mécanisme d’impression pour que l’utilisateur puisse saisir son code en toute confidentialité. Une précaution de façade, car derrière les coulisses, rien n’était vraiment protégé.
Le premier mot de passe, déjà perdu, et déjà piraté
Le tout premier mot de passe jamais utilisé sur un ordinateur est perdu dans l’histoire : aucune trace du contenu exact tapé par le premier utilisateur n’a survécu. Ce détail presque poétique dit beaucoup sur l’état d’esprit de l’époque : personne, au fond, ne pensait que ça compterait vraiment.
Le CTSS ne disposait d’aucun chiffrement ni hachage, les mots de passe étaient stockés en texte clair, et quiconque y avait accès pouvait les lire. Et accéder à ces fichiers n’était pas très compliqué. Dès 1962, un doctorant du nom d’Allan Scherr trouva le moyen de faire imprimer tous les mots de passe du système. Il suffisait de soumettre une carte perforée avec le numéro de compte et le nom du fichier. Un vendredi soir, il en fit la demande, et au petit matin du samedi, alla récupérer le listing dans l’armoire à fichiers. Sa motivation ? Obtenir plus que ses quatre heures quotidiennes allouées sur la machine.
Ce que Scherr fit ensuite relève presque de l’humour noir : il distribua la liste de mots de passe à d’autres utilisateurs pour masquer son implication. Les administrateurs crurent à un simple bug, et il ne fut jamais pris sur le fait. On ne sait qu’il en était responsable que parce qu’il l’a honteusement avoué presque un demi-siècle plus tard. L’un des bénéficiaires de la liste, J.C.R. Licklider, se connecta aussitôt au compte du directeur du laboratoire, Robert Fano, et lui laissa des « messages narquois ».
L’histoire ne s’arrête pas là. En 1966, le CTSS connut une deuxième fuite massive : un administrateur mélangea accidentellement le fichier d’accueil affiché aux utilisateurs et le fichier maître des mots de passe, exposant ainsi l’intégralité des codes d’accès à quiconque tentait de se connecter. L’ingénieur Tom Van Vleck, dans un article commémorant le cinquantième anniversaire du CTSS, rappelle l’incident avec humour, notant que « cela se produisit naturellement un vendredi à 17h », et qu’il dut passer plusieurs heures imprévues à changer les mots de passe de tout le monde.
Du texte clair à la cryptographie : la longue marche vers la sécurité
La leçon du CTSS a mis du temps à être tirée. C’est seulement au début des années 1970 que Robert Morris développa un système de stockage des mots de passe sous forme hachée, dans le cadre du système d’exploitation Unix. Ce système reposait sur une machine de chiffrement simulée et fit son apparition dans la sixième édition d’Unix en 1974. Une révolution silencieuse : désormais, même en accédant à la base de données, on ne pouvait plus lire les mots de passe directement.
Le CTSS avait, entre-temps, posé les bases de nombreux piliers de l’informatique moderne : le courrier électronique, les machines virtuelles, la messagerie instantanée et le partage de fichiers. Un héritage immense pour un système dont le premier hack avait consisté à imprimer un fichier avec une carte perforée.
Ce que Corbató lui-même n’avait pas anticipé, c’est l’ampleur du problème qu’il venait de créer. Il a d’ailleurs reconnu lui-même que les mots de passe peuvent être « une sorte de cauchemar ». Ce qui avait commencé comme un outil simple pour protéger des fichiers est devenu une pierre angulaire de la sécurité numérique, et finalement, l’un de ses plus grands maux de tête.
Un détail peu connu clôt parfaitement ce récit fondateur : un étudiant du MIT avait même créé un faux écran de connexion pour capturer les mots de passe des autres utilisateurs et voler leur temps alloué sur la machine. Le phishing, l’une des cybermenaces les plus répandues du XXIe siècle, était déjà là, en germe, dans les couloirs d’un laboratoire universitaire des années 1960. Certaines choses, décidément, ne vieillissent pas.
Sources : srp.fr | cloudgratuit.fr