Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L'exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l'utilisateur et de lui seul et ne jamais être consigné par écrit... Nombreux sont les utilisateurs qui se plaignent de devoir constituer des mots de passe (un par application) de plus en plus complexes et de ne plus arriver à les retenir ou à les gérer convenablement.
Ces règles qui semblent aller de soi sur le papier sont-elles pour autant efficaces dans la réalité? Faisons nous un instant l'avocat du diable et tentons de remettre en question ces règles.
Il existe des entreprises qui ont pris le parti de ne pas interdire aux utilisateurs de consigner leurs mots de passe par écrit. Ils sont ainsi autorisés à conserver les mots de passe par écrit dans un tiroir verrouillé aussi longtemps que ces mots de passe restent dans les locaux de l'entreprise. Les utilisateurs ont donc plus de facilité à choisir (et à changer régulièrement) des mots de passe longs et complexes. Le risque est donc transféré au niveau de la sécurité physique.
Les mots de passe doivent être complexes. Pour beaucoup un mot de passe complexe ressemble à "0e5C112fM79aa". Mais pour un logiciel comme un keylogger qui tente entre autre chose de capturer les login/mots de passe des utilisateurs sur leur poste de travail, la complexité attire l'attention. En effet, pour un attaquant '0e5C112fM79aa' ressemble plus à un mot de passe que 'La réunion de Jeudi est décalée à 11h30' (pourtant bon candidat pour un mot de passe : long, majuscules, minuscules, caractères accentués, chiffres ; seuls les espaces peuvent poser problèmes à certaines applications).
Le challenge d'un mot de passe est de rester secret. Or il existe toutes sortes de logiciels (keylogger...) dont le but est de capturer ces précieuses informations. Que se passerait-il si mon mot de passe était sauvegardé dans un coffre-fort de mots de passe ou, solution encore plus dégradée, dans mon navigateur? En cas de perte/vol du matériel, son nouveau propriétaire aura tout ce qu'il lui faut pour accéder à mes applications (ex: mon webmail). Mais après tout, si je m'aperçois du vol de mon PC portable, j'ai peut être suffisamment de temps pour changer mes mots de passe depuis un autre poste (ou de verrouiller l'accès à mes applicatifs en proposant N fois un mot de passe erroné. Parons à l'urgence, on verra plus tard pour obtenir un nouveau mot de passe). Bref, mon mot de passe étant sauvegardé, tout ce que le keylogger pourra observer, c'est le mot de passe d'accès au coffre-fort et non celui de mes applicatifs.
Une fois de plus, preuve est faite que la sécurité absolue n'existe pas. Il est primordial de s'intéresser au contexte et à la culture propre à chaque entreprise pour trouver 'une' bonne solution. Authentification forte multi-facteurs, coffre-fort de mots de passe, règles d'usages... les éléments de solutions ne manquent pas et certaines pratiques sont loin d'être à dénigrer.
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles