Les mots de passe : back to basics

Les mots de passe : back to basics

Une attaque comme celle de TV5Monde ne se lance pas du jour au lendemain. Ces opérations, préparées à l’avance, débutent lorsque les attaquants sont certains que celles-ci aboutiront. Elles utilisent largement comme vecteur d’attaque le social engineering et la faiblesse des mots de passe. 

L’utilisateur : un maillon dans la sécurité du système d’information

Imaginons la sécurité d’un système d’information comme une chaine. Si, un seul maillon casse, c’est l’ensemble de celle-ci qui est rompue, l’utilisateur faisant partie de cette chaine par son comportement, ses actions, et son authentification.

Un attaquant choisira toujours comme vecteur d’infiltration, le maillon le plus faible. Or, il est fréquent que ce dernier soit l’utilisateur. En effet, celui n’ayant pas conscience que certaines de ses pratiques peuvent conduire à des actes malveillants de grande ampleur.

Les mots de passe faibles

Qui, aujourd’hui, utilise un mot de passe contenant plus de 8 caractères, ne correspondant à aucun mot du dictionnaire, contenant des chiffres, des majuscules et des caractères spéciaux ? Qui, aujourd’hui, utilise un mot de passe différent pour chacun de ses comptes ?

Souvent, les utilisateurs ne comprennent pas toujours pourquoi ils doivent se connecter avec un mot de passe. Il en va de la sécurité de leur compte bien sûr, mais également du système d’information. On retrouve donc souvent des mots de passe triviaux comme :

  • azerty
  • 1234
  • password

Dans le monde professionnel, les formats de mots de passe sont généralement les suivants :

  • « Nom entreprise » + année
  • « Nom de la ville » + Chiffre

La faiblesse des mots de passe constitue un des principaux risques en termes de sécurité des systèmes d’information.

Aujourd’hui, les ordinateurs embarquent une puissance de calcul importante qui peut être utilisée pour réaliser des attaques de brute-force sur les mots de passe, et ainsi compromettre des comptes utilisant des mots de passe triviaux. Le temps importe peu, la finalité est d’obtenir un compte valide. Pour pallier ce genre de pratiques, certaines entreprises mettent en place des politiques de sécurité qui définissent des contraintes sur la complexité des mots de passe. Par exemple : 1 Majuscule, et 1 Chiffre obligatoire. Mais là encore, l’inattention des utilisateurs conduit ces pratiques à l’échec. Ainsi un mot de passe tel que « azerty » deviendra bien souvent « Azerty1 ». Généralement, les utilisateurs avertis, vont faire le choix de remplacer des lettres par des chiffres ou des caractères spéciaux (ainsi azerty va devenir @z3rty). Cependant, cette pratique ayant largement été répandue, elle est désormais intégrée dans divers programmes de dérivation de mots de passe (tels que John the Ripper, Common User Password Profiler, etc.). Ainsi le mot de passe @zerty1, dérivé de azerty est donc lui aussi un mot de passe faible.

Dernier point d’attention : les politiques de mot de passe sont généralement diffusées aux utilisateurs, l’attaquant pourra donc bien souvent y avoir accès. Il sera donc en mesure de modifier sa liste des mots de passe à tester en fonction de celle-ci.

Un mot de passe fort ça ressemble à quoi finalement ?

Concrètement un mot de passe fort, ça ressemble à : « D|lk »cQ;K!L`*0hH/tyD ». Convenons qu’il s’agit d’un mot de passe très difficile à retenir, en plus d’être long à taper, mais qui a l’avantage de ne pas être aisément devinable. Attention, il ne faut jamais noter un mot de passe sur un support papier (on retrouvera typiquement le post-it sous le clavier). Par  exemple, avec l’incident à TV5Monde, de nombreux journalistes ont filmé les locaux. Il suffit qu’un cameraman passe une seconde sur ce type de document pour diffuser un mot de passe sans même avoir ciblé l’entreprise. Sachant qu’il faut utiliser un mot de passe différent pour chaque compte, se souvenir d’un mot de passe d’une telle complexité relève de l’impossible. Mais là encore, pas question de dupliquer le mot de passe sur tous les comptes, car si un attaquant  parvient tout de même à récupérer ce mot de passe (il existe des dizaines de possibilités) celui-ci pourra se connecter sur l’ensemble des comptes. Enfin, choisir une « passphrase »  plutôt qu’un « password » permet de limiter drastiquement les attaques par dictionnaire et brute-force.

Par exemple la phrase suivante : j’ai rencontré ma femme sur la seine
Mot de passe initial :     jairencontrémafemmesurlaseine
Ajout de caractères majuscules :   JaiRencontréMaFemmeSurLaSeine
Ajout de caractère spéciaux et chiffres :  Ja!RencontréM@F3mmeSurLaSe!ne
Mot de passe final :     Ja!RM@F3SLSe!ne

 

Quelle solution ?

Pour pallier tous les inconvénients d’une bonne sécurité des mots de passe, il existe des coffres forts de mot de passe. Il s’agit d’applications dont le rôle est de rassembler vos mots de passe, de les chiffrer et les protéger par un mot de passe. Il vous suffit alors de mettre un mot de passe très fort sur cette application. Par exemple notre mot de passe : D|lk »cQ;K!L`*0hH/tyD. 
Cela reste une solution radicale, bien que parfois compliquée à instaurer pour les utilisateurs.

Temps de cassage d’un mot de passe : Chiffrement : Raw MD5  Processeur : I7 

PrécédentAccueilSuivantPartager