Publicité en cours de chargement...

Publicité en cours de chargement...

Synthèse sur les mots de passe. Partie I

03 oct. 2016 - 11:05,
Tribune - Cédric Cartau
Récemment, je suis tombé sur l’une des émissions de mon podcast favori (Le Comptoir Sécu) consacrée aux mots de passe[1]. Le sujet paraît battu et rebattu, mais l’invité (Hydraze, un passcracker manifestement chevronné et surtout très pédagogue) m’en a clairement remontré. Respect et humilité. Je vais tenter une petite synthèse.  

Le mot de passe est quasiment le seul rempart contre une attaque, et il faut dès ce stade distinguer deux cas : celui d’un accès à un site Web (donc hébergé à distance et sur lequel a priori l’attaquant ne dispose pas d’accès autre que le frontal Web), et celui où l’attaquant a pu se procurer d’une façon ou d’une autre le fichier des mots de passe chiffrés, par un accès interne au système en exploitant une faille du frontal Web, une fuite de données, etc. 

Premier cas, le service Web distant. On suppose que le site est protégé contre les attaques basiques du style injections SQL, backdoor dans le code PHP, vulnérabilité Apache ou OS, etc. La préoccupation majeure de l’utilisateur lambda doit être à ce stade la question de l’oubli du mot de passe, et donc de son renvoi/régénération par le site Web. Si la procédure mise en place par le site en question aboutit au renvoi du mot de passe initial par mail, c’est que ledit mot de passe est stocké en clair dans une base utilisateur, ce qui est absolument contraire aux bonnes pratiques. Tout mot de passe doit être chiffré selon différentes techniques (fonction de hachage, utilisation de sel fixe ou variable, etc.) et a priori le site ne doit pas être en mesure de renvoyer autre chose qu’un mot de passe temporaire avec un lien d’activation. La procédure peut ensuite varier et être plus ou moins sécurisée : envoi d’un code temporaire par SMS, réponse à des questions secrètes, etc. Il y a peu encore, certains grands sites Web, avec pignon sur IP, stockaient encore les mots de passe en clair, ce qu’il faut évidemment fuir.

À noter également que même si le site se doit de proposer une mire de login (il faut bien s’y connecter), ce type d’accès est relativement à l’abri des attaques en force brute (test de toutes les combinaisons) du simple fait que soit la connexion prend de une à trois secondes, ce qui est rédhibitoire en termes de vitesse de test des combinaisons, soit parce qu’un blocage s’opère au bout de n tentatives infructueuses. À moins bien entendu que l’utilisateur ait choisi un mot de passe trivial genre Azerty ou Password, mais là, on ne peut plus rien contre la bêtise humaine. Enfin, des techniques récentes de double authentification (par exemple, les sites bancaires qui envoient un code SMS pour toute opération jugée à risque, en sus de l’authentification) permettent de sécuriser fortement les sites Web sérieux.

En résumé, les éléments à prendre en compte lors de l’ouverture d’un compte sur un site Web : le stockage du mot de passe par le site (forcément chiffré), la non-trivialité du mot de passe, la procédure de récupération et l’authentification à deux facteurs pour les sites sensibles.

La suite au prochain épisode…


[1] http://www.comptoirsecu.fr/2016/05/episode-36-les-mots-de-passe/  

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.