slurps sécurité - kick #15 - la grande mascarade des mots de passe

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps présentation

Les personnes travaillant dans la sécurité (moi en 1er) défendent parfois de vielles habitudes qui n'ont plus lieu d'être. Les mots de passe font partie de ces "manies" présentes depuis des années. Les 3 "sacro-saintes" règles défendues sur les mots de passe sont typiquement :

  1. Il faut changer son mot de passe périodiquement
  2. Il faut que son mot de passe soit complexe
  3. Il faut utiliser un mot unique pour chaque site (pas de ré-utilisation).

Le constat c'est que ces règles ne sont pas suivies par les utilisateurs : soit les règles sont mal foutues ou alors ce sont les utilisateurs qui ne comprennent rien. Comme ça, j'aurai tendance à pencher pour la 1er option. C'est le sujet de ce Slurps #15, idéalement nommé "la grande masquarade". Vous êtes prêt(e)s  ? Let's go !

et un coup du droit dans la règle #1

Forcer les utilisateurs à changer leur mot de passe périodiquement (genre tous les 6 mois) c'est développer des stratagèmes du genre "je change le caractère 8 par 9". Donc c'est du pipeau. Exemple:

  • avant: SuPe5Passw@rd!
  • après: SuPe6Passw@rd!
  • ou comme variante: $uPe5Passw@rd!!

Comme ça, le système qui vérifie bien que le mot de passe fourni est complexe (cf la règle #2) est content. Pour l'utilisateur c'est tout bon, il va se souvenir de son "nouveau de mot de passe"... ca rends les mots de passe prédictibles.... Et puis, changer la lettre "S" par "$" ou la lettre "o" par le chiffre "0" c'est d'un naze : tous les bons outils de crack le savent....

Et puis, fondamentalement, le problème n'est plus aux attaques en "brute-force" (énumération) mais désormais aux attaques de phishing et autres keyloggers. Donc la règle #1 est caduque, elle doit évoluer. En plus cette règle #1 va clairement à l'encontre de la règle #2 qui dit que celui-ci doit être complexe. L'utilisateur va l'oublier...

La seule raison de changer son mot de passe : si on pense (ou suspecte) que celui-ci a été compromis. Après, reste à être au courant d'un tel problème. Je vous invite à aller jeter un oeil à la conclusion de la règle #3.

et paf ! dans le nez de la règle #2

C'est bien beau les mots de passe complexes avec des miniscules des majuscules, des chiffres et des caractères spéciaux, le tout devant (bien sur) être de 6 ou 8 caractères voire plus. Clairement, c'est la galère surtout quand on se trouve sur une tablette ou un iPhone ou Android... Ce type d'appareil n'est tout simplement pas adapté à ce type de "gymnastique".

Bien sûr, interdit d'utiliser comme mots de passe ceux présents dans un dictionnaire ou des trucs comme "azertyuiop" ou d'autres mots de passe nuls comme "1234567890". Comme l'objectif est d'éviter les choses trop simples, la recommandation serait d'utiliser des mots de passe d'une taille longue, genre 25 caractères ou plus :

  • "monmotdepasseestceluiducapitainecrochet" ou
  • "lesmalabarsalafraiseoualamenthesontlesmeilleurs".

Les sites web qui limitent leur mots de passe à 8 caractères sont nazes. Une telle pratique est signe annonciateur qu'ils stockent les mots de passe en clair (et oui, car un hashcode MD5/SHA1 a toujours la même taille quelque soit le mot de passe).

la règle #3 est l'exception

Utiliser un même mot de passe sur tous les sites c'est faire preuve d'inconscience. Le top c'est un mot de passe par site : c'est ce que je fais (oui, je suis un peu fondu, demandez confirmation à mon épouse). Le résultat ? J'ai quelque chose comme 136 mots de passe différents. Vive les petits carnets et les gestionnaires de mot de passe.

Pour ceux d'entre-vous qui sont encore sains d'esprit, mutualisez vos mots de passe : 4 ou 5 mots de passe pour les 4 ou 5 groupes de sites (1 pour les sites "d'infos" sans aucune info personnelle, 1 autre pour les sites avec des données un peu sensibles, etc...) et pour les sites sensibles c'est un mot de passe unique/dédié.

slurps conclusion

Bon, je suis peut-être à contre-sens : si ça se trouve ma tête va être mise à prix et des centaines de policiers du RAID, du GIGN ou de la DCRI vont me guetter à la sortie du bureau. Enfin, je tape un peu dans le système mais la sécurité n'est-elle justement pas là pour être challengée ?

Les vielles règles sont à bousculer car c'est de cette façon que les choses évoluent ! Donc aux ch...ttes les règles #1 et #2 et conservez la règle #3 au chaud !

Jean-François

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens