Unité 2 module 3 du cours SecNum Académie proposé par l'ANSSI.

Nous avons pu voir dans les précédentes unités que l'authentification par mot de passe présente deux principaux défauts :

1. La faiblesse potentielle des mots de passe définis par les utilisateurs;
2. Les risques de divulgation.

Aujourd'hui encore de trop nombreux utilisateurs utilisent “123456” ou “azerty”.

A présent que vous possédez une vision plus claire des faiblesses des mots de passe et des attaques possibles par un individu malveillant, vous avez toutes les clés pour commencer à sécuriser vos mots de passe.

En effet quelques techniques peuvent vous permettre de sécuriser efficacement vos mots de passe pour décourager les attaquants.

Pour commencer que qualifie t on de bon mot de passe ?

On considère qu'un mot de passe qui apporte un niveau de sécurité suffisant est un mot de passe fort : c'est à dire qu'il est suffisamment complexe pour être difficile à deviner par un attaquant dans un temps raisonnable à l'aide d'outils automatisés de recherches qui mettent en œuvre les différentes techniques d'attaques abordées précédemment telles que:

• les attaques par dictionnaire;
• par force brute;
• par permutation;
• les attaques distribuées;
• ou encore les attaques de proximité.

En revanche un mot de passe fort ne vous protégera pas d'autres types d'attaques telles que le piégeage du poste, l'hameçonnage ou l'interception réseau ou d'autres techniques exploitant ingénierie sociale.

Au regard des capacités actuelles des équipements informatiques, on considère que la taille minimum d'un mot de passe doit être de 10 caractères. Ce mot de passe doit être imprédictible. En particulier, il ne doit pas s'agir d'un mot du dictionnaire, de votre date de naissance ou d'une combinaison de ces types d'éléments.

Pour le rendre imprédictible, ne pas hésiter à utiliser tous les caractères à disposition.

Bien évidemment pour qu'un mot de passe soit efficace et sécurisé, il ne suffit pas de choisir un mot et de transformer certaines de ces lettres (les techniques de permutation y viennent facilement à bout). En effet un mot de passe basé sur le mot Ballon transformé en B@ll0n à plus de chance d'être découvert rapidement qu'un mot de passe ne signifiant rien comme “y45bA~J4?Wq”.

Une fois définit, il est important de se rappeler de ce mot de passe fort sans que celui-ci ne soit trop évident à deviner.

Pour choisir vos mots de passe de façon sécurisé, il est donc nécessaire d'être inventif et organisé pour développer des stratégies de mémorisation efficaces.

Dans cette unité on découvrira comment composer un mot de passe fort et comment s'en souvenir afin de déjouer les pièges des attaquants pour éviter la divulgation de vos mots de passes.

Le mot de passe est aujourd’hui le mode d’authentification le plus utilisé, mais nous avons pu voir que son utilisation n'était pas exempte de risque.

Piratage facilité par des outils, divulgation par ingénierie sociale, ou encore faiblesse lors de sa création sont autant de risques à prendre en compte.

Il est cependant plus que jamais essentiel de bien sécuriser son mot de passe car il est souvent l’unique moyen de protection de vos données.

Dans cette unité nous découvrirons ce qu’est un bon mot de passe, comment le mémoriser et surtout comment éviter sa divulgation.

Pour rappel, lorsqu’un mot de passe apporte un niveau de sécurité suffisant, on parle de mot de passe fort.

C'est à dire qu'il est difficile à découvrir par un attaquant dans un temps raisonnable, à l'aide d'outils automatisés de recherche qui mettent en œuvre les différentes techniques d'attaque vues précédemment:

• Attaques par dictionnaire,
• Attaques par permutation,
• Attaques par force brute,
• Attaques distribuées,
• Attaques de proximité.

Au regard des capacités techniques actuelles des équipements informatiques, la taille d'un mot de passe est idéalement d'au moins 10 caractères en s’autorisant à utiliser un éventail large de caractères (majuscules, minuscules, chiffres et caractères spéciaux).

Attention aux règles de composition toutes faites et notez que plus vous utiliserez un éventail large de caractères, mieux votre mot de passe sera protégé.

Pour 10 caractères numériques, il existe 10 milliards de possibilités.

Pour 10 caractères quelconques parmi le jeu de 90 caractères listés à l’écran, il existe 35 milliards de milliards de possibilités.

Ce qui, vous le comprenez, augmentera considérablement le temps nécessaire à un attaquant pour découvrir votre mot de passe, même en utilisant des outils automatisés.

Nous vous déconseillons de remplacer des caractères de mots du dictionnaire par des caractères spéciaux ou de simplement ajouter des signes de ponctuation en fin de mot.

Une utilisation « forcée » des caractères spéciaux n’apporte pas de valeur ajoutée.

En effet, mot2pA$$e! est facile à dériver automatiquement depuis des mots du dictionnaire (mot de passe).

Pour créer un mot de passe fort, il est donc recommandé de suivre ces quelques règles d'or :

• Définir au moins 10 caractères ;
• Utiliser un jeu de caractères varié (des contraintes sont d’ailleurs souvent imposées par les outils), choisir au moins un élément de chaque groupe de caractères (minuscules, majuscules, numériques, spéciaux) ;
• Éviter les rapports psycho-sociaux évidents vous concernant (nom, prénom, date de naissance, prénom de vos parents/enfant(s), nom de votre animal de compagnie, etc.) ;
• Éviter également les liens avec le nom du service pour lequel il est utilisé (ex : CréditAgricole5, mdpHotmail, etc.) ou encore avec sa fonction (ex : MaSociete25000, Adminserveurimprimerie, MDPmessagerie, etc.)
• Bannir tout mot issu d'un dictionnaire, même sous forme dégradée (ex : langage SMS ou encore « leet speech » ou l33t = vocabulaire consistant à remplacer les caractères alphabétiques par des numéros ou caractères spéciaux ayant des formes approchant, etc.) puisque, comme nous avons pu le voir, ceux-ci sont testés dès le premier niveau d’attaque.

L’objectif doit être de rendre le mot de passe difficile à deviner, y compris à partir de données personnelles.

En cas de compromission d’un service ou de sa base de données, il est nécessaire de disposer d’un moyen de changer son mot de passe.

Lorsque vous créez un mot de passe, il est important que vous repériez la procédure qui vous permettra de le changer en cas de problème.

Votre service informatique peut vous imposer de changer régulièrement votre mot de passe. Idéalement vous devriez choisir un nouveau mot de passe à chaque fois. En effet, si vous vous contentez d’ajouter un compteur à votre mot de passe, et qu’un attaquant découvre votre ancien mot de passe, il lui sera très aisé de découvrir celui en cours (exemple : feEgIsR#c1, feEgIsR#c2, feEgIsR#c3, etc.).

C’est pourquoi il n’est pas recommandé de forcer les utilisateurs à changer de mot de passe trop fréquemment.

A ce propos, CERT-FR propose quelques réflexions sur les politiques de mot de passe

Évitez d’utiliser certains caractères qui pourraient poser des problèmes !

Et bien entendu, un mot de passe n'est plus bon dès lors qu'il apparaît comme exemple sur Internet !

Inutile de vous rappeler de ne pas utiliser les mots de passe proposés dans ce MOOC.

Vous vous demandez certainement comment retenir un mot de passe tel que « Pa_u5W4?MG » ?

Pour le retenir, on peut être tenté de l'écrire quelque part ou de le réinitialiser à chaque utilisation en répondant à une question secrète : le nom de mon animal de compagnie par exemple.

Mais ceci serait une erreur puisque nous l’avons vu, l’écrire ou utiliser une question secrète présentent des risques en terme de divulgation.

En revanche, il est possible de créer des mots de passe forts dont on peut se souvenir facilement grâce à quelques méthodes et moyens mnémotechniques.

Pour cela, il est conseillé de définir une phrase de passe.

Le principe de base est de prendre plusieurs mots au hasard, disons quatre pour les exemples suivants, puis de les concaténer.

Par exemple : « Lunettes:Crayon:Poste:Chemin » ou bien encore « clavier?travail.fenetre:arbre ».

Ces mots facilement mémorisables sont en revanche difficilement trouvables par un individu malveillant.

La phrase de passe peut également être une vraie phrase assez longue et ponctuée, comme par exemple « Vive les MOOC ! On apprend beaucoup », mais la saisir fréquemment peut finir par être fastidieux.

Une autre méthode consiste à utiliser la phonétique, c’est-à-dire à retenir les sons de chaque syllabe pour fabriquer une phrase facile à retenir, comme dans les exemples suivants :

• « J'ai acheté huit cd pour cent euros cet après-midi » devient ght8CD%€7am.
• « J'aime les vacances à deux » devient J'mLeVa@2.
• « Deux cadeaux à noël » devient 2KDO@nowel.

Précisons que même si le système « phonétique » se rapproche beaucoup du langage SMS qu‘il est déconseillé d'utiliser, il peut cependant être acceptable dans le cas où l'on utilise une phrase de passe suffisamment longue et non un seul mot modifié.

Une autre méthode que l’on rencontre parfois consiste encore à retenir les premières lettres d'une phrase comme une citation, ou encore les paroles d’une chanson.

Une telle méthode nécessite cependant d’éviter les phrases trop communes, de choisir une phrase suffisamment longue, et de ne pas se cantonner aux minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l'auras » devient « 1Tvmq2tl@ ».

Vous pouvez également utiliser tout autre moyen mnémotechnique qui vous correspond.

Exemples :

• « Le bac et ensuite la fac » peut devenir « 1BAC,+1fac ».
• « L'indicatif 33 pour la France » peut devenir « (+33)=Fra! ».
• « Une opération de multiplication » peut devenir « op:12*5=60 ».

Enfin, il est possible de combiner plusieurs de ces méthodes, comme par exemple : « Pie-Car:5*5=25 ».

Retenez que ces différents moyens mnémotechniques vous permettront de définir des mots de passe sécurisés et faciles à retenir.

Pour résumer ces bonnes pratiques :

• Définir une phrase de passe ;
• Utiliser la phonétique pour transformer les mots ;
• Conserver les premières lettre d'une expression, d'une chanson.
• Mixer les différentes méthodes. N'hésitez pas à y recourir pour sécuriser l'accès de vos comptes.

Une autre technique de « mémorisation » consiste enfin à utiliser des coffres-forts de mots de passe et des points d'authentification unique que nous découvrirons dans une prochaine unité afin d’aller plus loin dans la sécurisation et la mémorisation des mots de passe.

Nous avons vu dans les unités précédentes qu'il ne suffit pas qu'un mot de passe soit fort pour qu'il soit sécurisé. En effet, en complément des mesures que nous venons de voir, il convient de mettre tout en œuvre pour empêcher la divulgation de votre mot de passe.

Ce dernier point est plus difficile à appréhender puisqu'il ne dépend pas du mot de passe lui-même, mais de nos usages d'Internet, du poste informatique et plus globalement de notre vigilance face aux escroqueries.

Quelques techniques peuvent vous permettre de bien réagir face aux diverses situations.

Rappelez-vous ce que nous avons vu, la divulgation d'un mot de passe peut se produire de différentes façons, vous devez donc être vigilant en toutes circonstances et savoir repérer les pièges.

Étudions comment repérer ces pièges à l’aide des quelques scénarios de divulgation de mot de passe que nous allons découvrir.

Notez que ces scénarios de divulgation ne sont pas exhaustifs.

Une personne me téléphone et se présente comme étant de l'équipe d'administration de mon entreprise. Elle demande mon mot de passe afin de corriger un problème sur mon ordinateur. Que faire?

• Mettre fin à la communication et rappeler la personne en cherchant ses coordonnées dans l'annuaire de l'entreprise. Si l'appel était frauduleux, informer le responsable de la sécurité informatique de l'incident
• On ne donne pas son mot de passe, il s'agit certainement d'une tentative de fraude par ingénierie sociale de la part d'un individu malveillant.

Je reçois un courriel de ma banque me demandant de me connecter en ligne pour vérifier une information de virement d'une somme importante que l'aurais réalisé. Je clique sur le lien pour voir de quoi il retourne et le site Internet qui s'affiche ressemble en tous points à celui de ma banque, mais l'adresse du site n'est pas celle que j'utilise d'habitude. Que faire?

• Ne pas s'authentifier, fermer le navigateur et déclarer le courriel comme spam.
• Ne jamais accéder à sa banque depuis un lien dans un courriel.
• Vérifier l'adresse du site, la valider du certificat

Je suis dans un hôtel et je dois me connecter à ma messagerie en ligne. Le seul moyen disponible pour cela est d'utiliser l'ordinateur de l'hôtel qui est en libre accès. Cette opération est elle, risquée?

• Il est généralement déconseillé de s'authentifier sur un équipement n'étant pas réputé de “confiance”. En cas de nécessité et sans authentification forte (multi-facteur) considéré votre mot de passe comme divulgué et changer le mot de passe dès que possible.

Lorsque vous vous connectez sur un ordinateur public celui-ci peut être piégé. En effet, un logiciel malveillant pourrait être installé sur cet ordinateur et intercepter les frappes du clavier pour récupérer votre mot de passe.

Vous pourriez également le divulguer sans vous en rendre compte si une personne malveillante vous observait.

Par ailleurs, si vous consultez votre messagerie et vous contentez ensuite de fermer le navigateur sans vous déconnecter « proprement » au préalable, les cookies de navigation laissés sur le poste informatique peuvent permettre à un prochain utilisateur de se connecter à votre messagerie sans avoir à saisir votre mot de passe.

Il est également possible que ce poste en libre accès soit sain mais que ses communications réseau soient interceptées par un individu malveillant étant donné que le réseau n'est pas de confiance.

J'utilise le même mot de passe partout où je m'inscris mais hier j'ai appris qu'un site Internet que j'utilise s'est fait voler des centaines de milliers de mots de passe utilisateurs lors d'une attaque informatique.

Dans ce cas il faut changer rapidement son mot de passe sur le site en question et sur tous les autres sites où il était utilisé.

Face à cette situation, les attaquants qui ont récupéré les bases de comptes utilisateurs du site piraté peuvent ensuite les utiliser pour se connecter à votre place avec le même mot de passe sur d'autres sites qui les intéressent davantage :

• Sites de commerce en ligne pour faire des achats à votre place.
• Messagerie en ligne pour voir s'ils n'y trouvent pas des choses intéressantes.
• Réseaux sociaux pour faire du spam ou de la publicité.
• Sites de stockage en ligne pour voler vos photos privées, etc.

Vous l'aurez compris, la sécurité de votre mot de passe dépend avant tout de votre vigilance et en toutes circonstances il est recommandé de suivre ces quelques règles :

• Utiliser des mots de passe forts ;
• Vous assurer de connaître la procédure de changement de mot de passe pour l’utiliser le jour où vous en aurez besoin ;
• Utiliser des mots de passe différents sur les sites où vous vous inscrivez ;
• Ne faites pas confiance dans des dispositifs d'accès à Internet (PC, portables, tablettes, smartphones, etc.) dont vous ne connaissez pas le niveau de sécurité ;
• Faites attention à la sécurité de votre propre dispositif d'accès à Internet (mises à jour, antivirus, etc.) ;

Activer les fonctions de double authentification (par SMS, application, jeton, etc.) quand elles sont disponibles.

Pour conclure cette unité, retenons que la complexité des mots de passe ne suffit pas pour garantir la sécurité de nos authentifications.

Il est également important de rester vigilant en toutes circonstances pour détecter les pièges et éviter la divulgation de nos mots de passe.

Nous pourrons voir dans la suite de ce MOOC quelques conseils pour aller plus loin dans la sécurisation des mots de passe, en abordant des notions telles que les coffres-forts numériques ou encore les points d'authentification unique.