«

»

mar
27
2012

Sécurité et failles des mots de passe – la grande illusion ?

En entreprise, le plus souvent le premier, voir le seul, niveau de protection des systèmes informatiques est un contrôle d’accès par mot de passe. Or les mots de passe sont loin d’être infaillibles. La problématique est complexe :

  • il faut que l’utilisateur se souvienne du mot de passe
  • il faut que lui seul le connaisse
  • il faut que le mot de passe soit difficile à deviner (par un humain ou par une machine)

D’autres systèmes sont venus renforcer la sécurité : les clés générant un code unique ou synchronisé sur le serveur, les cartes avec des codes (à fournir en réponse à une question du système), voir la biométrie, mais il reste une faiblesse fondamentale à tous ces systèmes : la sécurité est une contrainte pour l’utilisateur, lui complique la vie et s’il ne la comprend pas, il sera le maillon faible du système. La systèmes techniques, outre qu’ils sont peu pratiques sont aujourd’hui contournables par des codes malveillants (ici).

Le SSO, ou comment le confort devient un danger

Le « single sign on » permet de n’avoir à saisir un mot de passe qu’une seule fois, typiquement lors du login dans le système. Par la suite si une application demande un mot de passe, le SSO le fournira silencieusement, sans gène pour l’utilisateur. Cela évite aux utilisateurs de commettre certaines imprudences quant à la gestion de leurs mots de passe car ils n’ont plus qu’un mot de passe à mémoriser, mais cela peut induire trois faiblesses :

  • l’éventualité d’un programme malicieux qui profite aussi du SSO et peut donc discrètement utiliser les habilitations de l’utilisateur
  • Dans certaines implémentations naïves de certains SSO le/les systèmes les plus contraignants (les plus faibles) définissent la sécurité des mots de passe (systèmes (pré-)historiques imposant que des majuscules, pas de caractères spéciaux, une longueur fixe…)
  • Un même mot de passe ouvre tous  les accès de l’utilisateur indépendamment du niveau de confidentialité des données

En final la sécurité repose donc toujours grandement  sur le comportement de l’utilisateur dans sa gestion des mots de passe.

Peu d’entreprises sensibilisent réellement leur utilisateur à la gestion des mots de passe, elles se contentent bien souvent de règles syntaxiques (longueur, incluant certains types de caractères…) et de renouvellement régulier (pas un mots de passe déjà utilisé, changement tous les x mois). Mais ces règles sont sans grande utilité contre la négligence.

1er péché : le mot de passe pseudo compliqué

… qui ne l’est pas ( http://xkcd.com/936 ), parce qu’il est basé sur des dates, des départements, des substitutions simples (a par 4 ou @, e par 3 ou &, etc.), que les chiffres sont à la fin, voir parce que il est intrinsèquement faible, voir pour l’exemple les code pin des iphones, cette liste ou les listes publiées sur pastebin.

2ème péché : la « pass phrase » qui a un sens

Une alternative est la passphrase, plus humaine à retenir, avec une entropie facilement au niveau d’un simple mot de passe classique (voir ci-dessus xkcd). Là encore notre utilisateur est le problème quand il choisit un nom de club de foot… (voir l’article de Light Blue Touchpaper).

3ème péché : la réutilisation

Devant la multiplicité des services en ligne, chacun avec un mot de passe, les utilisateurs sont tentés d’utiliser toujours le même mot de passe… Sans imaginer un site malveillant (quoique, voir xkcd), un site mal protégé qui en plus stock les mots de passe en clair (si si cela existe, comme celui-ci) peut suffire.

Certains de ces sites offrent des services pour récupérer un mot de passe oublié basé sur quelques questions « d’authentification ». Ce système peut lui-même devenir un back door, comme dans le cas du compte yahoo de Sarah Palin (voir ici).

Denier clou dans le cercueil : le mot de passe que l’on partage

« Un mot de passe c’est comme une brosse à dent, cela ne se prete pas et on en change souvent », mais voilà, dans certaines organisations l’administrateur demande le mot de passe ouvrant la porte à d’intéressantes attaques d’ingénierie sociale. On trouve aussi le classique post-it sous le clavier qui malgré tout existe encore (je l’ai vu dans une DSI d’une assurance…). Enfin, le manque de réactivité des administrateurs sécurité (création de compte, ajouts d’habilitation…) conduit les utilisateurs à se passer les logins et mots de passe (« il faut bien travailler »).

En guise de conclusion

Il n’y a pas de solution technique qui puisse compenser les mauvaises pratiques des utilisateurs. L’humain ne sait pas générer de l’aléatoire, n’aime pas les contraintes, il faut donc le sensibiliser, le former, lui expliquer, créer une culture de la sécurité, aussi bien pour la vie privée que pour la vie professionnelle ; les deux s’interpénètrent tellement que l’un ne va pas sans l’autre. La sécurité ne se fera pas malgré les utilisateurs, mais avec eux ou plutôt par eux.

 

F. Fourré   – « Commission Résilience et Sécurité «  

Laisser un commentaire