Mot de passe : technique et bon sens indissociables
06 juin 2016 - 19:16,
Tribune
- Charles Blanc RolinLe mot de passe, véritable sésame pour accéder à un système, à des données, scellé de notre identité numérique, est aujourd’hui un véritable fléau pour l’utilisateur, mais parfois aussi pour le développeur.
Nous en avons de plus en plus, autant dans le cadre professionnel que personnel. Accès à nos terminaux (ordinateur, smartphone, tablette), accès à notre messagerie, notre compte bancaire, applicatifs métiers, sites de vente en ligne…
Comme me l’a rappelé récemment un médecin, « la mémoire humaine, c’est comme un disque dur, c’est limité, alors moi, pour me faciliter la vie, je mets le même partout, et puis dans la sécurité informatique, on sait tous qu’il n’y a rien de fiable à 100 %… ».
Partant de ce principe, comme on sait tous qu’une serrure peut se « crocheter », on peut également laisser la porte ouverte en partant de chez soi le matin.
Plus sérieusement, nous avons tous des efforts à faire sur la construction de nos mots de passe, que nous soyons utilisateurs, administrateurs ou éditeurs de solutions.
- Contexte utilisateur
Premier conseil, appliquer la règle du 1 pour 1 : 1 mot de passe = 1 application (ou site Internet). En cas de fuite de données (ou leaks comme vous pourrez l’entendre dans le milieu de la sécurité), cela évite de se faire dérober l’ensemble de ses accès.
Je vais reprendre un exemple qui pique de M. Philippe Loudenot [3] : lors de l’énorme fuite de données du site de rencontres « extraconjugales » Ashley Madison qui a eu lieu l’année dernière, des personnes au ministère ont vu leur adresse de messagerie professionnelle et leur mot de passe diffusés sur le Web. Il s’avère que pour plusieurs d’entre elles, le mot de passe utilisé pour se connecter au SI [4] du ministère était le même !
Si vous êtes comme moi et que vous avez plus de 200 mots de passe, vous me direz qu’il est impossible de tous les retenir, et c’est là qu’un gestionnaire de mot de passe comme KeePass [5] devient vraiment indispensable.
Deuxième conseil, construire un mot de passe solide, ce qui est encore plus important pour des comptes ayant des droits élevés sur les systèmes (administrateurs), mais aussi pour les applications contenant des données de santé comme le Dossier patient informatisé (sur le site de La Redoute, ça m’inquiète moins).
Pour commencer, évitez d’utiliser des mots du dictionnaire, en cas d’attaque « par dictionnaire » [6] justement, ils seront très vite cassés. Il en est de même pour des mots de passe qui sont déjà apparus dans des leaks : les attaquants les ont dans leurs dictionnaires et ils seront trouvés très rapidement même s’ils se composent d’un grand nombre de caractères.
Pour une attaque de type « force brute » [7], le nombre de caractères est important. Un mot de passe d’environ 14/15 caractères commence à être vraiment solide (à condition que ce ne soit pas un mot connu, ou 15 fois le même caractère par exemple). L’idéal est une suite de caractères totalement aléatoires sans lien avec vous, votre établissement, l’application ou le site Internet. Très difficile à retenir me direz-vous, mais en même temps très difficile à casser.
La plupart des gestionnaires de mots de passe, comme KeePass là encore, entrent une seconde fois en scène car ils disposent d’une fonction de génération de mots de passe aléatoires à partir de critères que vous définissez. Personnellement, ça fait pas mal d’années que je fonctionne comme ça, je ne connais pas mes mots de passe et je ne m’en porte pas plus mal.
- Contexte éditeur
Les prochains conseils s’appliquent en particulier aux éditeurs, mais ils sont à prendre en compte côté DSI pour évaluer ses prestataires et éventuellement établir de futurs cahiers des charges.
Troisième conseil donc, aux éditeurs : pour le stockage des mots de passe dans vos bases de données, utilisez une solution de « chiffrement » solide. Je n’ai pas encore poussé le vice jusqu’à aller voir comment sont stockés les mots de passe dans nos applicatifs métiers, mais je pense (je suis peut-être mauvaise langue) qu’il y a moyen de trouver des mots de passe stockés en clair chez certains éditeurs du secteur de la santé.
J’ai encore vu récemment une plateforme Web d’un service de santé étendu au niveau national envoyer par mail les mots de passe « en clair » aux utilisateurs ayant perdu leur mot de passe. Si vous avez lu mon récent article la messagerie : le premier maillon faible, vous saurez que là encore, c’est à éviter, et qu’en tant qu’utilisateur, il est préférable de changer son mot de passe promptement.
Quatrième et dernier conseil, mettre en place des restrictions sur les formulaires d’authentification pour pallier les attaques de type « force brute », en interdisant un attaquant d’essayer une multitude de mots de passe dans un minimum de temps.
En 2016, on peut encore voir des éditeurs, qui pour des raisons pratiques utilisent le même mot de passe dans tous les établissements et bien souvent des mots de passe « bidon », il faut le dire. Je vais prendre un exemple dans le secteur de l’imagerie où, en plus d’être le même chez tous ses clients, le mot de passe du compte d’accès à la base de données ne dépasse pas trois caractères et n’est autre que le nom de l’éditeur lui-même. Pas plus rassurant côté identifiant qui, pour couronner le tout, est identique au mot de passe.
- Conclusion
En résumé, pour la sûreté de nos mots de passe, les contraintes techniques et le bon sens resteront toujours indissociables.
Cet article peut paraître long à certains, même s’il est assez succinct, mais si ce vaste sujet vous intéresse et que vous souhaitez l’approfondir, je vous invite (en particulier les éditeurs) à écouter un podcast très intéressant qui m’a conforté dans certaines de mes idées, et qui m’a également fait réviser certains de mes préjugés sur le Comptoir Sécu avec la participation d’Hydraze, spécialiste du pass cracking ou cassage de mot de passe : http://www.comptoirsecu.fr/2016/05/episode-36-les-mots-de-passe/
Vous pouvez aussi consulter les conseils de l’ANSSI sur le sujet : http://www.ssi.gouv.fr/guide/mot-de-passe/ (Hydraze pousse un peu plus loin sur le nombre de caractères notamment et donne quelques astuces supplémentaires intéressantes dans le podcast.)
[1] One Time Password ou mot de passe à usage unique : système de mot de passe secondaire que vous pouvez recevoir par mail ou SMS, pour la validation d’un paiement en ligne par exemple.
[2] Single Sign-On : système d’authentification unique qui vous permet, une fois authentifié sur votre terminal, d’être automatiquement authentifié dans l’ensemble des applications qui ont été paramétrées.
[3] Philippe Loudenot est notre FSSI (Fonctionnaire de sécurité des systèmes d’information) pour les ministères en charge des Affaires sociales.
[4] Système d’information : ensemble de ressources matérielles et applicatives permettant de collecter, stocker, traiter et distribuer de l’information.
[5] Keepass est un gestionnaire de mots de passe gratuit, faisant d’ailleurs partie du socle interministériel des logiciels libres 2016. Contrairement à LastPass, il s’installe en local sur votre terminal (PC, smartphone, tablette) au lieu d’être hébergé dans le Cloud. Même si c’est un peu moins pratique, pour ma part je préfère, et encore plus depuis le leak de LastPass l’an passé. Ces gestionnaires de mot de passe fonctionnent comme un coffre-fort sécurisé avec du chiffrement, stockant l’ensemble de vos mots de passe.
[6] Les « casseurs de mots de passe » utilisent des dictionnaires (avec les mots que l’on retrouve dans Le Petit Robert ou le Larousse, ou encore des mots de passe déjà cassés lors de précédents leaks).
[7] Ce type d’attaques consiste à essayer toutes les combinaisons de caractères possibles.