Hervé Debar, Télécom SudParis – Institut Mines-Télécom, Université Paris-Saclay
Qu’est-ce vraiment qu’un mot de passe ?
Un mot de passe est un secret, associé à une identité. Il permet d’associer deux éléments, ce que l’on possède (une carte bancaire, un badge, un téléphone, une empreinte digitale) et ce que l’on connaît (mot de passe ou code).
Les mots de passe sont très largement utilisés, en informatique, en téléphonie, dans le monde bancaire. La forme la plus simple en est le code numérique (PIN) à 4 ou 6 chiffres. Nos smartphones utilisent ainsi deux codes PIN, l’un pour déverrouiller l’appareil et l’autre, associé à la carte SIM, pour accéder au réseau. Les mots de passe sont plus généralement associés aux services Internet (messagerie, réseaux sociaux, e-commerce…).
Concrètement, l’identité aujourd’hui est portée par une adresse de messagerie. Cette adresse sert à identifier une personne vis-à-vis du site web. Le mot de passe est un secret, connu à la fois du service et de l’utilisateur, qui permet de « prouver » au service que l’identité donnée est authentique. Une adresse de messagerie étant le plus souvent publique, la seule connaissance de cette adresse ne permet pas de reconnaître un utilisateur. Le mot de passe sert de verrou à cette identité. Les mots de passe sont en conséquence stockés par les sites web auxquels nous nous connectons.
Quel est le risque associé à ce mot de passe ?
Le risque principal est le vol du mot de passe, qui permet d’usurper l’identité associée. Un mot de passe doit normalement être conservé caché, pour préserver le secret lors de ce type d’incidents : le vol des identifiants Yahoo et éviter l’usurpation d’identité.
Un site web ne conserve donc pas directement le mot de passe (ou il ne devrait pas le faire). Il utilise une fonction de hachage pour calculer son empreinte, par exemple la fonction bcrypt utilisée par Facebook. Connaissant le mot de passe il est très facile de calculer l’empreinte et de vérifier qu’elle est correcte. À l’opposé, il est mathématiquement très difficile de retrouver le code si l’on connaît seulement l’empreinte.
Recherche du mot de passe à partir de l’empreinte
Malheureusement, les progrès technologiques ont rendu les outils de recherche par force brute de mots de passe, comme « John the ripper », extrêmement efficaces. Par conséquent, un attaquant peut relativement facilement retrouver des mots de passe à partir des empreintes s’il obtient ceux-ci.
L’attaquant peut aussi capturer des mots de passe, par exemple en piégeant l’utilisateur. L’ingénierie sociale (phishing ou hameçonnage en français) incite l’utilisateur à se connecter sur un site imitant celui auquel il pense avoir affaire, permettant ainsi de voler ses identifiants (adresse de messagerie et mot de passe).
De très nombreux services (réseaux sociaux, commerce, banque) demandent une identification et authentification de leurs utilisateurs. S’assurer que l’on s’adresse effectivement au bon site, et que la connexion est chiffrée (cadenas, couleur verte dans la barre du navigateur), est nécessaire pour éviter que ces mots de passe ne soient compromis.
Peut-on se protéger, et comment ?
Pendant longtemps, le risque principal était le partage d’ordinateurs. Le fait d’écrire son mot de passe sur un post-it collé sur son bureau était donc prohibé. Dans beaucoup d’environnements, cela constitue aujourd’hui un moyen pragmatique et efficace pour conserver ce secret.
Aujourd’hui, le risque principal est lié au fait qu’une adresse mail est associée aux mots de passe. Cet identifiant universel est donc extrêmement sensible ; il est en conséquence une cible naturelle pour les attaquants. Il convient donc de prendre en compte toutes les possibilités qu’offre le fournisseur du service de messagerie de protéger cette adresse et cette connexion. Ces mécanismes peuvent être l’envoi de codes par SMS sur un téléphone portable, un compte de messagerie de secours, des codes pré-imprimés à usage unique, etc. Ces canaux permettent de contrôler l’accès à son compte de messagerie en étant alerté de tentatives de compromission, et de récupérer cet accès en cas de perte du mot de passe.
Pour l’usage personnel
Un autre danger des mots de passe est la réutilisation de ceux-ci pour plusieurs sites. Les attaques contre les sites web sont très fréquentes, et les niveaux de protection très hétérogènes. Réutiliser un mot de passe sur plusieurs sites accroît donc les risques de compromission de manière très importante. La bonne pratique à l’heure actuelle consiste donc à utiliser un gestionnaire (ou coffre-fort numérique) de mots de passe (comme KeePass ou Password Safe, logiciels libres et gratuits), pour conserver un mot de passe différent pour chaque site.
La fonction de génération automatique de mot de passe de ces gestionnaires permet également d’obtenir des mots de passe plus difficiles à casser. Cela simplifie fortement l’effort de mémoire et améliore significativement la sécurité.
Le mieux est également de conserver la base de données sur une clé USB, et d’en faire des sauvegardes fréquentes. Il existe également des solutions de gestion des mots de passe dans le cloud. À titre personnel je ne les utilise pas car je souhaite conserver la maîtrise de la technologie. Cela peut m’empêcher de l’utiliser dans certains environnements, par exemple un smartphone.
Pour les professionnels
Le changement fréquent de mots de passe est souvent une obligation du monde professionnel. Cela est vécu souvent comme une contrainte, amplifiée par d’autres comme la longueur, la variété des caractères utilisés, l’absence de réutilisation d’anciens mots de passe, etc. L’expérience montre que trop de contraintes amènent les utilisateurs à choisir des mots de passe moins sûrs.
Il est recommandé d’utiliser un jeton d’authentification (carte à puce, token USB, OTP…). Cela fournit, pour un coût modique, à la fois un niveau de sécurité important et des services supplémentaires comme l’accès distant, la signature de la messagerie et des documents, ou la protection de l’Intranet.
À retenir pour éviter la perte des mots de passe ou limiter l’impact de cette perte
Les mots de passe, associés aux adresses mail, sont un élément critique de l’usage des services Internet. Les deux précautions clés aujourd’hui pour un bon usage des mots de passe est d’utiliser un mot de passe par service (si possible généré aléatoirement et conservé dans un coffre-fort numérique) et d’apporter un soin particulier à la sécurisation de services sensibles, comme l’adresse de messagerie – identifiant (en utilisant les mécanismes de protection fournis par ces services, comme la double authentification par SMS, ou les codes de récupération, et en étant vigilant en cas d’anomalie). Des recommandations complémentaires sont disponibles sur le site de l’ANSSI.
Hervé Debar, Responsable du département Réseaux et Services de Télécommunications à Télécom SudParis, Télécom SudParis – Institut Mines-Télécom, Université Paris-Saclay
La version originale de cet article a été publiée sur The Conversation.
2 comments
Pingback: Hervé Debar - I'MTech
Pingback: L'IMT présent au grand rendez-vous annuel de la cybersécurité - I'MTech