Articles IT et Télécoms

Le danger des mots de passe insuffisamment protégés

Tous les utilisateurs – quel que soit leur niveau – sont amenés à gérer de nombreux couples login/mots de passe pour accéder à différents sites et applications. Est-il possible de gérer de manière simple et sécurisée cette prolifération de mots de passe ?

Même l’utilisateur « basique » est rapidement amené à créer et donc gérer plusieurs identités virtuelles (FAI, mail, forums, réseaux sociaux…).

Les logins sont souvent communs également et servent généralement à la gestion de plusieurs comptes. Le login est généralement l’adresse email de l’utilisateur (ou une des adresses emails).

Or, On a vu récemment un certain nombre de sites attaqués avec pour conséquence le vol d’adresses email et de passwords pouvant conduire à la réutilisation de ces identifiants.

Mots de passe réutilisés

La gestion des mots de passe devient si rapidement problématique que les utilisateurs sont souvent amenés à ne pas mettre en œuvre les « bonnes pratiques » (Best practices) ou au minimum à les contourner.

Dans ces conditions, il est tentant de définir un mot de passe unique qui sera réutilisé sur de nombreux sites.

Les conséquences peuvent être de deux ordres :

  • Mots de passe faciles à « Cracker » ou à deviner (on se souviendra du piratage du compte Yahoo de Sarah Palin grâce à la réponse à une question secrète, réponse qui avait été trouvée en 2 clicks sur Google).

De nombreuses applications disponibles sur le Web permettent de cracker des mots de passe trop simples (attaques en force brute).

En cas de découverte d’un mot de passe « maître », il est souvent possible d’accéder à de nombreux autres comptes.

  • Si la découverte du mot de passe concerne l’accès à la messagerie, les conséquences sont plus graves car une personne mal intentionnée peut alors récupérer de nombreux autres mots de passe (via la fonction mot de passe oublié).

Cette pratique peut être néanmoins limitée si les stratégies de mots de passe sont correctement déployées. Ces stratégies incluent idéalement un changement régulier tous les 30 ou 60 jours ET la création d’un mot de passe fort (de + de 8 caractères incluant une majuscule, un chiffre et un signe de ponctuation au moins).

Les fonctions pratiques des navigateurs

Les navigateurs incluent depuis longtemps des fonctions permettant de faciliter la vie des internautes. La saisie semi-automatique et la fonction « se souvenir du mot de passe » ou « se souvenir de moi » représentent un danger réel pour les utilisateurs non sensibilisés aux risques.

Trop de sécurité tue la sécurité

La conséquence de la mise en œuvre d’une telle stratégie implique que l’utilisateur note son mot de passe quelque part, souvent à proximité de son poste de travail, qui se traduit par le fameux post it collé sous le clavier et met à mal l’efficacité de la stratégie de sécurité dans son ensemble.

Le fichier unique

Il est également tentant de regrouper tous ses logins et mots de passe dans un document unique (de type Word par exemple). Cette solution – bien que basique – peut si elle est bien réalisée garantir un minimum de sécurité. En effet, un fichier Word crypté et sécurisé par un mot de passe complexe peut difficilement être lu (bien qu’il semble que cela soit maintenant possible):

http://www.securityweek.com/passware-helps-crack-bitlocker-go-encryption

Les autres risques

  • Les virus

Rappelons d’abord la nécessité de maintenir correctement les postes de travail afin d’éviter l’installation discrète de dispositifs destinés à enregistrer les frappes effectuées au clavier et donc de récupérer les mots de passe (Les Keyloggers et autres malwares).

  • Le « social engineering »

Nous conseillons également de sensibiliser les utilisateurs aux risques du « social engineering« , pratique qui permet d’obtenir des données grâce à la force de persuasion. Certains utilisateurs pourraient ainsi se faire prendre au piège dans le cas d’un appel émanant apparemment du service informatique dont le but est d’obtenir des données ou informations confidentielles.

Une gestion rigoureuse des comptes et des droits des utilisateurs complète efficacement le dispositif global.

  • Les postes publics

Un risque non négligeable consiste en l’utilisation de PC publics, ou plus précisément partagés. Ces postes accessibles en libre-service (ou via la simple utilisation d’un ordinateur appartenant à un ami), sur lesquels les frappes au clavier peuvent être enregistrées ainsi que les mots de passe. Vous pouvez consulter un article développant ce sujet ici: http://www.01net.com/editorial/524121/les-cybercafes-sont-mal-securises-selon-des-experts/

  • Les réseaux sociaux

La constitution de méga bases de données d’utilisateurs sur de nombreux réseaux (+ de 500 millions de membres sur Facebook) représente également un réel danger en cas de vol ou d’usurpation de mot de passe. Les réseaux sociaux sont devenus la cible la plus fréquente d’attaques, de malware ou de phishing.

A cet égard, Facebook a mis en place fin 2010 un système de mot de passe ayant une durée de vie limitée censé mieux protéger l’identité de ses membres (http://www.facebook.com/help/?page=1079&hloc=fr_FR). D’autres fournisseurs prestigieux tels que Microsoft et Yahoo ont également annoncé l’implémentation de ce type de dispositif dans le futur.

Les parades

  • OpenID

Une solution (en passe d’être abandonnée) qui permet de limiter ces risques est l’utilisation d’OpenID, un dispositif censé permettre l’utilisation d’un login unique répertorié chez un fournisseur d’identité. Néanmoins, la mise en œuvre de cette solution est relativement complexe pour un utilisateur non spécialiste, ce système est difficilement utilisable en entreprise et peu de sites ont adopté ce système resté confidentiel.

Cela ne règle donc pas définitivement le problème de gestion de mots de passe multiples.

  • Cryptage de fichiers

Comme nous l’avons vu, une solution consiste à utiliser un document qui recense tous les logins/mots de passe de l’utilisateur. Ce document est ensuite protégé, par exemple via la fonction bitlocker applicable aux clés USB. Malheureusement, ces fonctions de cryptage sont déjà crackables (http://www.securityweek.com/passware-helps-crack-bitlocker-go-encryption) et ne peuvent garantir une confidentialité à 100% dans le cas d’une organisation possédant des informations sensibles.

  • Login via lecteur d’empreinte digitale ou d’analyse de l’iris

De plus en plus de dispositifs physiques permettent de reconnaitre un utilisateur sans avoir besoin de saisir un mot de passe. Les technologies de reconnaissance faciale se développent également et feront probablement partie des nouveautés proposées par les futurs OS.

  • Clé RSA

Cette solution est relativement chère et complexe à mettre en œuvre et est peu adaptée aux utilisateurs particuliers.

Nous pouvons citer également les solutions de Kaspersky (Kaspersky Password Manager) ou Lastpass, un addon qui permet de s’affranchir de la ressaisie d’informations à chaque session de navigation.

Ces outils permettent de n’avoir à se souvenir que d’un mot de passe unique pour accéder à tous les sites Internet requérant une identification/authentification.

En conclusion

On le voit, assurer la confidentialité des données en permettant aux utilisateurs de gérer de nombreux comptes est particulièrement complexe à mettre en œuvre.

En effet, toutes ces solutions répondent partiellement à la problématique posée et ne sauraient remplacer à elles seules une stratégie globale de sécurité qui prenne en compte les aspects humains, de loin les plus sensibles.

N’oublions pas que des fournisseurs de services se sont déjà vu dérober des millions de logins et mots de passe, ce qui démontre que même en mettant en œuvre une stratégie adaptée, nul n’est à l’abri d’une utilisation illicite des données personnelles ou confidentielles.

Advertisements

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :