En matière de cybersécurité, les mots de passe sont l’objet de nombreux débats. Sont-ils amenés à disparaître ? Si oui, qu’est ce qui les remplacera ? Aujourd’hui, ils sont en tous cas toujours présents dans notre quotidien numérique. Malheureusement, la sécurité d’un mot de passe est difficilement quantifiable, et les indicateurs de force sont souvent obsolètes. Pour pallier à cela, Maurizio Filippone d’Eurecom et Matteo Dell’Amico de Symantec — ancien chercheur d’Eurecom également — ont mené des travaux sur l’optimisation de ces indicateurs en prenant en compte l’état de l’art en matière de cyberattaque.
Lequel de « Bjpdf54 » ou de « welovemacron » est le meilleur mot de passe ? Si vous pensez que les chiffres et les majuscules sont un paramètre garantissant la sécurité de votre mot de passe, il vous faudra peut-être changer d’avis. Plus important, vous devrez probablement apprendre à ne plus faire confiance aux indicateurs de sécurité d’un mot de passe que vous pouvez trouver sur les sites web. En octobre dernier, Maurizio Filippone et Matteo Dell’Amico ont en effet présenté leurs travaux sur les calculs de force d’un mot de passe à la 22ème conférence ACM sur la sécurité des ordinateurs des communications. La publication qui s’en est suivie a par ailleurs été relayée par la prestigieuse MIT Tech Review. En utilisant des grandes bases de données de mots de passe diffusés, les deux chercheurs en sciences informatiques ont testé plusieurs types d’attaque afin d’évaluer quels mots de passe avaient le plus de probabilité d’être découverts, et lesquels résistaient le mieux.
Pour Maurizio Filippone, récemment arrivé à Eurecom, et Matteo Dell’Amico (aujourd’hui à Symantec après 6 ans à Eurecom), il s’agissait avant tout d’optimiser les indicateurs de force pour qu’ils donnent à l’utilisateur une idée juste de la sécurité offerte par le mot de passe. Ceux-ci sont en effet jugés obsolètes aujourd’hui, renvoyant à des indications uniquement pertinentes lorsqu’il s’agit d’attaques « brutales » — brute force en anglais — c’est à dire des attaques où un logiciel teste toutes les combinaisons possibles de caractères.
Mais actuellement « les meilleures techniques pour percer un mot de passe adoptent une approche probabiliste » écrivent les deux chercheurs. Ces modèles de cassage de code se basent sur des listes de milliers de mots de passe, et leur attribuent une probabilité d’être utilisés d’après leur occurrence. À partir de là, chaque mot de passe est testé, en partant de ceux ayant la plus grande probabilité d’être choisis par l’utilisateur. Chaque modèle probabiliste attribue des probabilités différentes aux mots de passe, de sorte que la force d’un mot de passe n’est calculable que pour un type d’attaque donné.
Filippone et Dell’Amico ont ainsi démontré que certaines attaques sont plus performantes pour les mots de passe puissants, mais sont moins efficaces que d’autres pour les petits mots de passe. Cependant, il existe bien pour les chercheurs une « corrélation évidente, suggérant que la force d’un mot de passe contre une attaque est indicative de sa force contre une autre attaque ». Dans leur publication, ils présentent notamment une méthode d’évaluation de la force d’un mot de passe face à l’ensemble des attaques possibles, moins coûteuse que celle actuelle d’émulation d’attaques.
Un mot de passe performant
Leurs résultats permettent également de mettre à l’épreuve les conseils donnés aux utilisateurs, tels que l’insertion de chiffres ou de lettres capitales. L’une de leurs premières conclusions ? « La longueur du mot de passe augmente de façon homogène sa force ». À l’exception notable des mots de passe à 8 caractères qui sont parmi les plus faibles, du fait que « beaucoup de mots de passe communs ont 8 caractères ».
Plus surprenant, les logiciels conseillant « des mots de passe avec à la fois des chiffres et des lettres ne permettent d’augmenter que très peu la sécurité ». Pour Filippone et Dell’Amico, « cela pourrait venir du fait que ces mots de passe ont une structure prévisible, c’est à dire avec les chiffres à la fin ». Les lettres capitales fonctionnent mieux pour l’augmentation de la sécurité, à l’exception des petits mots de passe, pour lesquels là aussi il est facile de prévoir une lettre capitale au début de la série de caractères.
Certes, « welovemacron » est donc plus faible que « Bjpdf54 », qui nécessite dix fois plus de tentatives avant d’être trouvé. Mais le second mot de passe est cependant loin d’être optimal. Matteo Dell’Amico en profite d’ailleurs pour sensibiliser les francophones sur un point : « les anglophones non natifs tendent à utiliser des mots anglais dans leurs mots de passe, mais comme ils ont un vocabulaire moins développé, leurs choix sont plus prévisibles ».
Selon les chercheurs, le paramètre d’amélioration le plus performant est l’intégration dans le mot de passe de symboles. Ceux-ci sont en effet « moins prévisibles et placés à des positions différentes dans le mot de passe ». Des mots de passe courts intégrant des symboles seraient ainsi « aussi forts que des mots de passe de 12 caractères sans symboles ». Finalement, il vaut donc peut-être donc mieux troquer « Bjpdf54 » pour quelque chose ressemblant à « maYtHe4tHBeW/Y0u ».
À lire sur le blog : Cybersécurité : la recherche prend les devants
Maurizio Filippone : biographie
« J’ai grandi à Gênes. À 14 ans j’ai commencé l’athlétisme, activité que j’ai continuée jusqu’à un niveau semi-professionnel. À 16 ans je me suis acheté ma première guitare. J’ai intégré un groupe avec lequel j’ai joué jusqu’à ce que je quitte l’Italie. Au collège et au lycée, j’ai toujours été attiré par les matières scientifiques, d’où ma décision de faire des études de physique. C’est comme cela qu’a début mon intérêt pour l’apprentissage automatique (machine learning). »
Découvrir la biographie plus complète de Maurizio Filippone sur le site d’Eurecom.
Eh bien! Je dirais que pour ne pas rester dans le doute et pour pouvoir rendre plus performant la sécurité de ses comptes par les mots de passe, pourquoi ne pas choisir un mot de passe qui soit à la fois complexe et long? Dans ce cas, avoir une bonne mémoire serait obligatoire.
Sujet très intéressant merci pour ce résumé.
Il est à noter toutefois que quelle que soit la « force » du mot de passe, il suffit qu’il soit capturé une seule fois pour qu’il devienne tout simplement une passoire. Et les occasions ne manquent pas! Appareil autonome placé entre le clavier et l’ordinateur, caméra de surveillance, spyware, sites webs stockant le mot de passe sous forme réversible (il en existe encore beaucoup), etc.
Il y a également certains sites qui offrent la possibilité de calculer la force de son mot de passe… sans indiquer que le mot de passe testé rejoint directement une base de données !!!
Au minimum deux règles supplémentaires sont à mon avis à prendre en compte:
– ne jamais utiliser le même mot de passe pour une connexion à deux services différents
– adopter systématiquement l’authentification forte par deux facteurs (beaucoup de sites Internet le proposent, et il existe également des solutions efficaces à des prix abordables – voir en open source – pour tout ce qui est connexion d’entreprise)