Les mots de passe. Vaste sujet qui ne date pas d’hier et qui fait partie des fondamentaux de la sécurité. Le mot de passe est toujours aujourd’hui le moyen le plus simple et le plus utilisé pour authentifier un utilisateur. Malheureusement c’est un moyen d’authentification peu sécurisé et très difficile à sécuriser. Un mot de passe ne restera une sécurité efficace que s’il reste secret et connu seulement de l’utilisateur à qui il a été attribué.
L’avantage du mot de passe c’est que tout le monde sait ce que c’est et que chacun d’entre nous en possède un, enfin aujourd’hui plutôt des dizaines, et c’est là que ça se complique. La simplicité se transforme en difficulté pour se terminer en faille de sécurité.
Quand on sensibilise des utilisateurs, le sujet du mot de passe est souvent le premier mis en avant. En effet, il existe des dizaines de bonnes pratiques de sécurité, des règles censées nous aider à créer des mots de passe robustes, à les protéger et donc à améliorer la sécurité de nos systèmes, de notre identité numérique et plus généralement de nos informations.
Quand on travaille dans la sécurité, ces règles et ces bonnes pratiques paraissent triviales et évidemment de bon sens. Elles sont partagées et répétées (inlassablement) depuis des dizaines d’années. Mais sont-elles vraiment efficaces et réalistes ?
Les fameuses bonnes pratiques en matière de sécurité des mots de passe
Pour commencer, reprenons ce tweet de l’excellent compte Twitter de la Gendarmerie Nationale.
Un mot de passe bien choisi limite les risques de #piratage de vos données numériques ! pic.twitter.com/y62gUZUOfp
— GendarmerieNationale (@Gendarmerie) 3 Février 2014Elle conseille donc à ses followers de suivre 8 (bonnes) règles pour bien choisir leur mot de passe et ainsi « limiter les risques de piratage ».
Même si ce tweet part d’une très bonne intention, malheureusement, ces 8 bonnes pratiques ne permettront pas pour autant aux utilisateurs d’améliorer leur hygiène informatique en matière de gestion de leurs mots de passe.
« Pour un mot de passe plus sûr » symbolise parfaitement le fossé qui existe toujours entre théorie et pratique… Ces règles ne doivent pas pouvoir s’appliquer à un mot de passe mais à 10, 15 ou 30 voire 100 mots de passe. Et là, c’est le drame.
Quand on se place dans la pratique, dans la « vie réelle » (qu’elle soit personnelle ou professionnelle), on comprend alors facilement pourquoi les utilisateurs utilisent des mots de passe trop simples à deviner, avec peu de caractères et qu’ils les réutilisent souvent.
Malheureusement certains « experts » de la sécurité continuent toujours à se voiler la face et à penser que tout est de la faute de l’utilisateur. La voie de la facilité peut-être ? Celui qui ne veut pas faire d’effort et qui est de toute façon le maillon faible de la sécurité. Peut-être faudrait-il faire évoluer nos bonnes pratiques en les rendant « pratiques » (sic) et accessibles à tous ? Se remettre en question après des décennies d’échec semble être une bonne piste d’amélioration, vous ne trouvez pas ?
Stocker les mots de passe de façon sécurisée. Try again.
Admettons que nous ayons une bonne dizaine de mots de passe pour nous connecter à nos sites Internet préférés. Nous avons suivi les bonnes pratiques et avons donc construit des mots passe complexes, très difficiles à deviner mais faciles à se souvenir (ou alors on possède une excellent mémoire).
Mais patatra en faisant notre veille quotidienne ou en consultant notre boite mail (cette semaine j’en ai reçu un de Domino’s Pizza et un rappel d’un autre site victime de la faille HeartBleed…), nous apprenons que notre site préféré a été victime d’une attaque informatique. Des cybercriminels sont parvenus à s’introduire dans les serveurs de l’entreprise et à accéder à des bases de données dont celles contenant nos mots de passe. Malheureusement, les mots de passe étaient stockés en clair dans une base pas assez protégée (mais ça on ne vous le dit pas dans le mail de notification). Par contre, on nous demande de changer rapidement nos mots de passe pour ne pas avoir d’ennuis.
Le problème avec cet exemple c’est qu’il ne reflète que trop bien la réalité des problèmes de sécurité de hier, d’aujourd’hui et sûrement de demain. On demande à tout le monde de créer des mots de passe forts et différents pour chaque site mais on apprend trop souvent qu’ils ont fuité dans la nature.
A quoi ça sert de demander aux utilisateurs de générer des mots de passe complexes (enfin souvent les sites n’exigent pas de mots de passe très compliquées…) si c’est pour au final ne pas les protéger dans leur phase de stockage ? Et on peut en trouver plein d’exemples de ce type…
A quoi ça sert de demander aux utilisateurs de générer des mots de passe complexes si c’est pour les envoyer en clair par e-mail à la fin de l’inscription ?
A quoi ça sert de demander aux utilisateurs de générer des mots de passe complexes si c’est pour laisser les mots de passe par défaut sur la nouvelle application ou le nouveau routeur ?
A quoi ça sert de demander aux utilisateurs de générer des mots de passe complexes si c’est pour développer une application avec des mots de passe en dur qu’on ne peut pas changer ?
Et pendant ce temps…
Ca n’empêche pas de nombreux acteurs de nous spammer d’étude sur le niveau de sécurité des mots de passe des utilisateurs. Chaque année, on a le droit au fameux Top 10 des mots de passe les plus utilisés et donc souvent les plus faibles.
On préfère, comme toujours, désigner notre coupable idéal : l’utilisateur ou le facteur humain dit le maillon faible de la sécurité.
Faut-il pour autant déresponsabiliser l’utilisateur ? Non, ce n’est pas le message que j’essaye de faire passer. Il faut plus souvent exiger des mots de passe complexes et ne pas laisser les utilisateurs en choisir des faibles.
A chaque fuite de données impliquant des mots de passe, on en rajoute une couche en répétant inlassablement les méthodes pour créer un bon mot de passe. Même si le problème est ailleurs (sécurité du SI, sécurité des bases de données…) et qu’il provient de la négligence d’informaticiens (car il ne faut pas croire qu’ils sont plus sensibilisés qu’un « simple » utilisateur) qui n’ont pas respecté leurs bonnes pratiques de sécurité et qui mettent donc en danger leurs utilisateurs voire leurs clients selon les cas.
La responsabilité du mot de passe est partagée entre l’utilisateur qui le choisit et le service / prestataire qui doit le stocker de façon sécurisée.
Mais quoi faire ?
Au-delà des bonnes pratiques pour créer un mot de passe, les utilisateurs ont surtout besoin qu’on leur fournisse des outils simples pour gérer leurs mots de passe. Et ils existent depuis longtemps !
Comme on leur interdit souvent (ou tout du moins on leur déconseille) de mémoriser leurs mots de passe dans leur navigateur web, pourquoi ne pas plus parler des gestionnaires de mots de passe ?
Des solutions comme Keepass peuvent être utilisées pour faciliter la génération, l’utilisation et le stockage chiffré de mots de passe « forts ». Keepass est un logiciel Open Source dont une version a été certifiée par l’ANSSI au titre de la CSPN. On peut donc le considérer comme de « confiance ».
D’autres solutions existent et beaucoup sont proposées comme des services en ligne. Mais pouvons-nous faire confiance à ces services ? Bonne question, certains semblent plus sérieux que d’autres. On peut citer :
- Dashlane (qui nous avertit quand un site sur lequel on possède un compte a été compromis)
- 1Password
- LastPass
ZDNet a également publié vendredi un comparatif des différentes solutions du marché, pour professionnels ou particuliers.
La plupart de ces services ont l’avantage d’être disponibles sur de multiples plateformes : Windows, Mac, Android, iOS… et de pouvoir se synchroniser via Internet. Evidemment on peut voir ça comme une nouveau risque, de « confier » ses mots de passe à un tiers qui les synchronise via Internet…
Ces services sont souvent gratuits mais disposent également de versions « Premium » donnant accès à plus de fonctionnalités (notamment la compatibilité avec les versions mobiles).
Un gestionnaire de mot de passe semble être, à première vue, la solution idéale pour renforcer la sécurité de ses nombreux mots de passe. Evidemment si on compromet votre ordinateur ou votre téléphone, cela peut faciliter la vie de l’attaquant… C’est également le cas si quelqu’un découvre des failles dans le logiciel ou le service en ligne qui stocke vos mots de passe.
Malheureusement ces solutions restent assez méconnues du grand public et assez peu généralisées dans les entreprises (sauf pour les mots de passe les plus critiques). Pourtant elles restent assez simples d’utilisation et très pratiques. A nous de les faire connaître au plus grand nombre !
Pour aller plus loin : l’authentification à double facteur
Pour renforcer la sécurité des accès sur vos équipements préférés ou vos services en ligne favoris et ainsi lutter contre l’usurpation d’identité, il est également possible d’opter pour une solution de protection supplémentaire qui ajoute un nouveau « facteur » en plus du mot de passe pour « vérifier » votre identité.
On parle généralement de « token » logiciel ou matériel qui va générer un code unique (OTP) à indiquer en plus du mot de passe afin de s’authentifier sur son ordinateur ou son blog. Il peut également s’agir d’un simple « objet » tel qu’une clé USB ou tout autre périphérique qui permettra de « valider » l’authentification réalisée par mot de passe. Cela signifie qu’un attaquant devra récupérer votre mot de passe et ce dispositif « personnel » pour usurper votre identité.
Et ce qui est pratique c’est que certains gestionnaires de mot de passe sont compatibles avec ces « token ». Par exemple, LastPass peut être utilisé avec une vieille clé USB transformée en deuxième facteur ou avec une YubiKey (j’en ai acheté une il y a quelques années).
Dashlane peut être utilisé avec Google Authenticator qui se présente comme une application mobile (iOS ou Android) qui génère un code unique généré quand vous avez besoin. Vous pouvez également simplement recevoir un code par SMS (comme lors de certains achats effectués par carte bancaire sur Internet).
Et je ne parle pas des solutions pour les entreprises qui sont encore plus nombreuses. Evidemment elles ont un coût mais le gain en matière de sécurité est loin d’être négligeable. Des attaques comme celle menée contre Target (compromission des identifiants et mots de passe d’un sous-traitant pour ensuite pénétrer le réseau de Target) aurait pu être évitée ou rendue plus difficile avec une authentification à double facteur…
Gestionnaire de mots de passe + deuxième facteur sont deux vrais « plus » en matière de sécurité. Ainsi équipé, personne ne pourra dire que vous êtes le maillon faible de la sécurité !
Encore faut-il franchir le pas. Il est évident que ça impose un changement important mais seulement au début, le temps de tout bien configurer et de prendre une nouvelle habitude. Mais ensuite vous vous libérez des contraintes liées aux mots de passe : plus besoin de les mémoriser, plus besoin d’en inventer des complexes…
A nous maintenant de faire passer le bon message et surtout d’accompagner ce changement en proposant des outils simples et accessibles, qui n’ajoutent pas de nouvelles contraintes mais les suppriment petit à petit.
Si ce billet vous a plu, je vous conseille de lire également celui de Morgan Hotonnier, du Comptoir Sécu qui revenait très justement sur ce sujet en février 2014 et en arrivait aux mêmes conclusions !
Sur le fond je suis parfaitement d’accord avec toi.
Tu oublies un cas : celui où c’est ton supérieur qui t’impose des mots de passe simples parce qu’il veut les taper facilement sur son iBidule
Perso, j’ai été obligée de céder mais en déclinant toute responsabilité en cas de problèmes. Il n’empêche que ça m’a bien gonflé.
Oui tout à fait.
J’ai préféré plus parler des particuliers que des professionnels mais j’aurais pu parler des politiques de mot de passe qui doivent venir de la direction. Et malheureusement parfois si l’exemple ne vient las du haut, comment veut on qu’on l’applique partout dans l’entreprise ? C’est aussi au management de montrer son implication et de ne pas céder à ses propres « caprices » ou à ceux de certaines populations de l’entreprise qui se montreraient réticents au changement. Mais encore faut il les accompagner et les aider.
Je suis d’accord avec Tris.
Dans les entreprises, souvent c’est le manque d’implication de la direction et des fameux VIP, qui demande à bypasser la PSSI, qui mettent en péril la sécurité générale de l’entreprise.
Bon article de synthèse ! Par contre je pense que les deux solutions évoquées (coffre fort et authentification 2 facteurs) ne sont malheureusement pas si « pratique » que ça… Pour avoir essayer dès les déployer, elles augmentent le niveau de complexité de l’authentification et les utilsateurs n’apprécient guère. Je trouve qu’on est aujourd’hui dans une situation difficile, avec une solution très répandue mais peu sûre et d’autres solutions trop complexe. Il faut réfléchir à d’autres solutions, peut être en regardant tout ce qqui est lié à l’authentification basée sur les risques et les alertes dans les applications metiers. Avec cette cible on autorise des actions simples et on accepte le risque de compromission. Pour les opérations les plus dangereuses, on augmente la solidité du mécanisme. Et je pense que l’utilisateur est peut le comprendre. Mais il y a encore du chemin à faire, ce n’est pas parfait non plus !
Bon article de synthèse ! Par contre je pense que les deux solutions évoquées (coffre fort et authentification 2 facteurs) ne sont malheureusement pas si « pratique » que ça… même en faisant des efforts. Pour avoir essayer dès les déployer, à titre pro mais aussi perso, elles augmentent le niveau de complexité de l’authentification et les utilisateurs n’apprécient guère.
Je trouve qu’on est aujourd’hui dans une situation difficile, avec une solution très répandue mais peu sûre et d’autres solutions trop complexe. Il faut réfléchir à d’autres solutions, peut être en regardant tout ce qui est lié à l’authentification basée sur les risques et les alertes/blocages dans les applications métiers.
Avec cette cible on autorise l’accès à des actions simples avec un mot de passe en acceptant le risque de compromission. Pour les opérations les plus dangereuses, on augmente la solidité du mécanisme, avec de l’authentification à deux facteurs. Et là je pense que l’utilisateur est peut le comprendre. Mais il y a encore du chemin à faire, ce n’est pas parfait non plus !
Gérôme
Pour avoir gouté aux deux extrêmes de ce panel (sensibilisation sécu de Mme Michu et amélioration du code de Keypass pour des besoins SSI bancaires), l’efficacité de la gestion des mots de passe tient surtout dans la population qui les emploie.
Voici une petite BD en anglais que j’aime bien et qui illustre le sujet :
http://xkcd.com/936/
Mais ne résout pas le problème d’avoir à se rappeler une centaine de mots de passe différents !
Bonjour,
Il me semble intéressant d’insister sur la compromission du poste de travail, qui est un scénario très fréquent, aussi bien pour les particuliers que pour les professionnels.
En effet, la valeur ajoutée d’un stockage sécurisé des mots de passe sur le poste de travail est relativement faible vis-à-vis de la sécurisation du poste de travail lui-même.
Si un attaquant dispose d’un accès au poste de travail, il finira mécaniquement par connaître vos mots de passe, même si ceux-ci sont stockés dans Keepass; il lui suffira d’attendre que vous les utilisiez, par le biais d’un keylogger ou en accédant au presse-papier.
Keepass reste néanmoins une bonne solution pour le partage de mots de passe entre utilisateurs, bien meilleure que le fichier txt ou Excel que l’on rencontre trop fréquemment en tests d’intrusion…
C’est là qu’est tout l’intérêt d’utiliser des postes d’administration dédiés, ou à multi-niveaux de sécurité.
Oui mais bien sûr que la compromission du poste détruit tous les efforts pour améliorer la gestion de mots de passe forts.
Il n’y a pas de solution parfaite. Ça va ralentir l’attaquant. Mais s’il est motivé et qu’il a du temps il y arrivera quelque soit les protections mises en place.
J’insistais dans ce billet plus sur les usages des particuliers. En entreprise on devrait pouvoir penser que le poste est plus sécurisé même si malheureusement en pratique on est loin d’avoir la majorité des entreprises qui respectent les bonnes pratiques et encore moins qui dédient des postes dédiés pour les taches les plus sensibles…
@Gérôme BILLOIS
Je suis d’accord avec vous mais l’objectif en lui-même est d’augmenter le niveau de complexité pour optimiser la sécurisation de son identité Web. On peut aussi voir le verre à demi-plein, si on parle du cas ou la plupart des utilisateurs se refuse un achat rien qu’en voyant le formulaire à remplir alors que Lastpass par exemple le fera à votre place en un clic et d’une manière cryptée.
Je trouve aussi que c’est le moment où jamais de renforcer sa sécurité et surtout la sécurité de ses mots de passe avec toutes ces failles de sécurité qui s’abattent sur tous les géants (eBay, Sony, Adobe, Apple…)
Et une autre solution serait le Touch ID de Apple avec son authentification par empreinte digitale, mais je ne vois pas trop la différence avec l’identification via Lastpass + Yubikey (Double authentification).
Steven
Merci pour l’article. Je ne connaissais pas les solutions de gestion des mots de passe du type Keepass. Cependant, la faiblesse est que si l’on se fait voler son mot de passe principal ou si le logiciel est piraté, l’accès à tous nos mots de passe devient trivial.
Pour le stockage des mots de passes, keepass est juste parfait.
Ajouter une passphrase et une clé de sécurité pour chiffrer les mots de passe c’est une très bonne idée. De plus, il permet d’en générer de nouveaux suivant une méthodologie complexe ou non.
Pour le stockage de mot de passe en ligne, étant donné qu’ils se font pirater relativement souvent…
Sécuriser un mot de passe, mettez autant entrée que vous voulez keepass et compagnie ok c’est bien mais y’ as mieux. Authentification par certificat type Smart Card Logon, clé privée conservée sur un support sécurisé. Géré le avec une touche de RGS et vous garantisse l’identité de la personne qui se connecte tout en lui simplifiant la vie pour la gestion des mots de passe.
Je suis d’accord avec le début de l’article et sur le fond, mais pas sur lka solution du gestionnaire de mots de passe proposées.
J’explique mes raisons dans un article écrit hier sur mon site, je ne vais donc pas les réécrire ici, mais je vous laisse aller voir si ça vous intéresse : https://geekonweb.fr/les-gestionnaires-de-mots-de-passe-une-solution-seduisante-mais-risquee.html
Je reste convaincu que même avec une grosse dizaines de mots de passe (on en a rarement plus en tant que particulier), et même avec des mots de passe très complexe, on peut tous les retenir sans trop de soucis, pour preuve, j’y arrive.
Mes mots de passe sont générés aléatoirement, comprennent majuscules, minuscules, chiffres, et caractères spéciaux, et font environ 10 caractères ou parfois beaucoup plus (20 à 24).
Je pense, et mon expérience l’a démontrée (je bosse dans l’informatique), qu’il y a aussi pas mal d’utilisateurs qui ne veulent faire aucun effort de ce côté là pour sécuriser leurs données, et qui choississent donc des mots de passe extrêmement simple.
Quand je leur dis : Attention au mot de passe, il est trop simple !
On me réponds : Pfff, qui va bien deviner que c’est le prénom de mon chien que j’ai choisis pour ce compte…
(c’est un exemple)
A partir de là, que veux-tu faire ? Tu as beau leur expliquer qu’il ne s’agit pas de « deviner » leur mot de passe à proprement parler, mais la plupart du temps de le brute-forcer (en leur expliquant un peu le principe), ils ne changent pas d’avis…
Alors certes, tout n’est pas de la faute de l’utilisateur, mais ils ne sont pas non plus complètement hors de cause comme tu semble vouloir le dire, loin de là.
Oui, il y a toujours un risque mais je l’ai évalué et surtout accepté. Sinon je n’ai pas une dizaine de mots de passe mais plutôt 200…