Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Synthèse sur les mots de passe. Partie III

17 oct. 2016 - 11:07,
Tribune - Cédric Cartau
Il n’était pas prévu de faire une V3, mais – preuve s’il en était besoin qu’en matière de SSI l’humilité est la règle – Francis Bergey, un ingénieur sécurité de mes amis, me signale plusieurs points discutables dans les deux premiers volets, et notamment dans la conclusion. Dans un souci d’exhaustivité et de transparence, je me dois de vous en faire part.

Tout d’abord, pour ce qui concerne le cas de l’attaque d’un site Web avec mire de connexion login/password, le temps de réponse de deux à trois secondes n’est absolument pas un frein dans la mesure où un attaquant peut lancer plusieurs tentatives d’authentification en parallèle. Que la réponse mette une seconde ou dix minutes à arriver ne change rien. Certes, le mécanisme d’attaque est singulièrement complexifié, mais rien d’impossible pour peu que l’on ait la puissance machine et la volonté. 

De plus, si un attaquant ne cible pas un compte particulier mais cherche à obtenir des comptes sur un site, la technique d’attaque peut être complètement changée : il suffit de fixer le mot de passe et de le tester sur tous les comptes.

La seule manière de contrer ces attaques est d’insérer un captcha à la saisie du mot de passe ou, à défaut, si ce n’est pas acceptable d’un point de vue ergonomique (normes d’accessibilité Web notamment), de mettre en place des limitations de vélocité ou des captchas au bout de n tentatives depuis une seule IP. Pour cette deuxième mesure, la protection sera insuffisante vis-à-vis d’attaquants déterminés qui vont utiliser des Clouds, des réseaux d’anonymisation et de proxy pour changer leur IP au bout de deux ou trois tentatives. En conclusion, sans mécanisme de captcha systématique, un attaquant un peu malin et déterminé va réussir à obtenir les comptes pour lesquels un mot de passe basique est utilisé.

Enfin, point non technique, le terme « mot de passe » est très mal choisi car il sous-entend la nécessité d’utiliser un « mot ». Or, on vient de voir que recourir à un mot de dictionnaire était une très mauvaise idée. Du coup, quand les équipes sécurité demandent d’ajouter des majuscules, des caractères spéciaux, etc., les utilisateurs hybrident le « mot » pour intégrer ces contraintes, et donc cela devient très complexe. Utiliser les termes « code secret » à la place de « mot de passe » permettrait de changer la posture intellectuelle de la personne devant choisir ce code secret.

Fin, à moins d’autres remarques ?

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’IA générative en santé : un outil prometteur, à utiliser de manière responsable

L’IA générative en santé : un outil prometteur, à utiliser de manière responsable

30 oct. 2025 - 11:15,

Communiqué

- HAS

Face à l’expansion rapide des systèmes d’intelligence artificielle (IA) générative – tels que Mistral AI, CoPilot ou ChatGPT – la HAS publie ses premières clés pour un usage responsable de ces technologies dans les secteurs sanitaire, social et médico-social. Ce guide concis et pédagogique, destiné ...

Illustration Les cyber-tuiles ont toutes été posées par cyber-temps sec

Les cyber-tuiles ont toutes été posées par cyber-temps sec

27 oct. 2025 - 22:19,

Tribune

-
Cédric Cartau

Chaque semaine, je me demande bien ce que je vais pouvoir raconter dans le billet de la semaine suivante… et il me suffit de jeter un œil sur l’actualité pour tomber sur des sujets en veux-tu en voilà qu’il est d’autant plus facile de relier à la cyber que les analogies sautent aux yeux comme une am...

Illustration Conformité au Programme CaRE D2

Conformité au Programme CaRE D2

27 oct. 2025 - 17:00,

Communiqué

- Gplexpert

Le Programme CaRE, lancé en 2023, constitue une initiative majeure du Ministère de la Santé pour renforcer la cybersécurité et la résilience des établissements de santé. Dans ce cadre, le Domaine 2 (D2), consacré à la continuité et à la reprise d’activité, impose aux établissements de santé de nouve...

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.