Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Slurps sécurité - kick #15 - la grande mascarade des mots de passe

Slurps sécurité - kick #15 - la grande mascarade des mots de passe
2012-03-232013-02-28sériesfr
Les personnes travaillant dans la sécurité (moi en 1er) défendent parfois de vielles habitudes qui n'ont plus lieu d'être. Les mots de passe font partie de ces "manies" présentent depuis des années. Les 3 "sacro-saintes" règles défendues sur les mots de passe sont typiquement : Il...
Publié le 23 Mars 2012 par Jean-François Audenard dans séries
slurps sécurité - kick #15 - la grande mascarade des mots de passe

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps présentation

Les personnes travaillant dans la sécurité (moi en 1er) défendent parfois de vielles habitudes qui n'ont plus lieu d'être. Les mots de passe font partie de ces "manies" présentes depuis des années. Les 3 "sacro-saintes" règles défendues sur les mots de passe sont typiquement :

  1. Il faut changer son mot de passe périodiquement
  2. Il faut que son mot de passe soit complexe
  3. Il faut utiliser un mot unique pour chaque site (pas de ré-utilisation).

Le constat c'est que ces règles ne sont pas suivies par les utilisateurs : soit les règles sont mal foutues ou alors ce sont les utilisateurs qui ne comprennent rien. Comme ça, j'aurai tendance à pencher pour la 1er option. C'est le sujet de ce Slurps #15, idéalement nommé "la grande masquarade". Vous êtes prêt(e)s  ? Let's go !

et un coup du droit dans la règle #1

Forcer les utilisateurs à changer leur mot de passe périodiquement (genre tous les 6 mois) c'est développer des stratagèmes du genre "je change le caractère 8 par 9". Donc c'est du pipeau. Exemple:

Comme ça, le système qui vérifie bien que le mot de passe fourni est complexe (cf la règle #2) est content. Pour l'utilisateur c'est tout bon, il va se souvenir de son "nouveau de mot de passe"... ca rends les mots de passe prédictibles.... Et puis, changer la lettre "S" par "$" ou la lettre "o" par le chiffre "0" c'est d'un naze : tous les bons outils de crack le savent....

Et puis, fondamentalement, le problème n'est plus aux attaques en "brute-force" (énumération) mais désormais aux attaques de phishing et autres keyloggers. Donc la règle #1 est caduque, elle doit évoluer. En plus cette règle #1 va clairement à l'encontre de la règle #2 qui dit que celui-ci doit être complexe. L'utilisateur va l'oublier...

La seule raison de changer son mot de passe : si on pense (ou suspecte) que celui-ci a été compromis. Après, reste à être au courant d'un tel problème. Je vous invite à aller jeter un oeil à la conclusion de la règle #3.

et paf ! dans le nez de la règle #2

C'est bien beau les mots de passe complexes avec des miniscules des majuscules, des chiffres et des caractères spéciaux, le tout devant (bien sur) être de 6 ou 8 caractères voire plus. Clairement, c'est la galère surtout quand on se trouve sur une tablette ou un iPhone ou Android... Ce type d'appareil n'est tout simplement pas adapté à ce type de "gymnastique".

Bien sûr, interdit d'utiliser comme mots de passe ceux présents dans un dictionnaire ou des trucs comme "azertyuiop" ou d'autres mots de passe nuls comme "1234567890". Comme l'objectif est d'éviter les choses trop simples, la recommandation serait d'utiliser des mots de passe d'une taille longue, genre 25 caractères ou plus :

  • "monmotdepasseestceluiducapitainecrochet" ou
  • "lesmalabarsalafraiseoualamenthesontlesmeilleurs".

Les sites web qui limitent leur mots de passe à 8 caractères sont nazes. Une telle pratique est signe annonciateur qu'ils stockent les mots de passe en clair (et oui, car un hashcode MD5/SHA1 a toujours la même taille quelque soit le mot de passe).

la règle #3 est l'exception

Utiliser un même mot de passe sur tous les sites c'est faire preuve d'inconscience. Le top c'est un mot de passe par site : c'est ce que je fais (oui, je suis un peu fondu, demandez confirmation à mon épouse). Le résultat ? J'ai quelque chose comme 136 mots de passe différents. Vive les petits carnets et les gestionnaires de mot de passe.

Pour ceux d'entre-vous qui sont encore sains d'esprit, mutualisez vos mots de passe : 4 ou 5 mots de passe pour les 4 ou 5 groupes de sites (1 pour les sites "d'infos" sans aucune info personnelle, 1 autre pour les sites avec des données un peu sensibles, etc...) et pour les sites sensibles c'est un mot de passe unique/dédié.

slurps conclusion

Bon, je suis peut-être à contre-sens : si ça se trouve ma tête va être mise à prix et des centaines de policiers du RAID, du GIGN ou de la DCRI vont me guetter à la sortie du bureau. Enfin, je tape un peu dans le système mais la sécurité n'est-elle justement pas là pour être challengée ?

Les vielles règles sont à bousculer car c'est de cette façon que les choses évoluent ! Donc aux ch...ttes les règles #1 et #2 et conservez la règle #3 au chaud !

Jean-François

12 Commentaires

  • 10 Avril 2012
    2012-04-10
    par
    Remi
    Erreur corrigée ! Merci de l'avoir notifié et bon après-midi,

    Rémi
  • 10 Avril 2012
    2012-04-10
    par
    Bruno
    Une solution simple d'avoir des mots de passes fiables et facile a retenir, et qui plus est lies a un site donné, ce qui permet de respecter au mieux toutes les regles ci dessus, c'est de se creer une phrase du genre "le blog d'orange business est une grande source d'information" et de ne garder que les premieres lettres (lbobeugsi) ; il vous suffit d'avoir une phrase par site et le tour est joué ! je doute que sans la phrase magique qq un soit en mesure de se souvenri d'un tel mot de passe, mm si la personne le tape devant lui.
  • 10 Avril 2012
    2012-04-10
    par
    Bonjour,
    Mascarade plutôt que "masquarade", non ?
    A bientôt.
    Erri.
  • 10 Avril 2012
    2012-04-10
    par
    Jérémie Cramail
    J'ai bien compris que "Les vielles règles sont à bousculer[...]" et j'en tombe volontiers d'accord.
    Je pense toutefois que les règles d'orthographe pour vieilles qu'elles soient doivent, elles, être respectées.
    Ainsi : "Mascarade" prend bien un "c" et non pas un "q" et un "u" comme son homonyme anglais "Masquerade"
    Un simple appui sur votre touche F7 vous eût ainsi évité ce franglais inutile ainsi qu'une ou deux autres fautes...
  • 10 Avril 2012
    2012-04-10
    par
    Dorville satyam
    Mouai... ca ne répond pas vraiment au problème... Il reste qu'il y a une vraie difficulté des utilisateurs à gérer les mots de passe, c'est une galère pour tout le monde admin y compris. Il serait temps d'amener de la vrai disruption sur ce système qui n'a pas changé depuis le début du web et en finir une fois pour toute avec le concept même de mot de passe. Ex : Activer la webcam pour photographier la rétine ou l'empreinte de l'utilisateur, se connecter à la voix... Quelque chose d'ultra simple et naturel pour l'utilisateur, même si ultra challenging technologiquement... Un truc que seuls les experts sécu de chez Orange pourraient nous pondre  ;-)

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage