Module 2, Unité 4 du cours SecNum Académie proposé par l'ANSSI.

L'authentification à pour principal objectif de sécuriser l'accès de vos comptes de messageries, de vos appareil électroniques où d'autres services en ligne. Même s'il existe plusieurs types d'authentification, le mot de passe reste aujourd'hui le moyen le plus répandu mais il a ses limites:

• compromission
• divulgation
• risque d'oubli

Il est plus que jamais nécessaire de construire des mots de passe forts, c'est à dire suffisamment longs et imprédictibles sans lien avec le service utilisé ou avec votre vie privée. Ces mots de passes peuvent être nombreux, il est nécessaire de les mémoriser. De plus une fois créés, ces mots de passe doivent rester secrets ( ils ne doivent en aucun cas être diffusés à une tierce personne de quelque manière que ce soit ).

Rappelons également qu'il est nécessaire de prendre des précautions supplémentaires lorsque vous saisissez votre mot de passe sur un ordinateur public.

Enfin pour rester sécurisé, vous devez disposer d'un moyen permettant de changer vos mots de passe. Il peut être utile en effet de forcer le renouvellement régulièrement (par exemple une fois par an) pour tester le mécanisme.

En effet les cyberattaques ne sont pas rares et comme de nombreux sites ne protègent pas suffisamment leurs bases de données, ils sont vulnérables aux risques de divulgation. Notons de surcroît que ce type d'attaque tarde souvent à être révélé dans un temps suffisamment court pour que vous puissiez protéger votre mot de passe. Il est donc essentiel de pouvoir changer les mots de passe en cas de compromission.

Alors comment mémoriser cette multitude de mots de passe qui évolue constamment sans les écrire ou les enregistrer?

Dans cette unité vous découvrirez comment gérer vos nombreux mots de passe et comment les protéger de leur éventuelle divulgation.

Nous avons vu que de nombreuses règles de sécurité doivent être prises en compte concernant l'authentification par mot de passe.

Comment gérer la multiplication de ces mots de passe et des règles de sécurité à respecter ?

Comment les logiciels que nous utilisons manipulent ces mots de passe ?

Et comment les configurer pour éviter certaines menaces ?

Dans cette unité, nous allons tenter de répondre à quelques-unes de ces questions et vous donner quelques bonnes pratiques supplémentaires qui permettront de protéger vos mots de passe contre la divulgation.

La multiplication des services sur Internet (e-commerce, service public etc.) fait que nous possédons aujourd'hui une multitude de comptes et de mots de passe associés.

Pour nous aider à gérer cette problématique, des solutions existent:

• Le point d'authentification unique (SSO);
• Le coffre-fort de mots de passe.

Pour limiter le nombre de mots de passe, certains services proposent d'utiliser ce qu'on appelle des points d'authentification unique, solution que vous connaissez peut-être sous son appellation anglaise Single Sign-On (SSO).

Le point d’authentification unique est une solution qui permet de centraliser (mutualiser) les systèmes d’authentification de plusieurs applications ou systèmes.

Par exemple, lors de la création de votre compte sur un service de stockage de photos, il vous est proposé d’utiliser votre compte Facebook ou Google (qui sont des points d'authentification très répandus sur Internet).

Si vous optez pour cette solution, vous n’aurez pas besoin de créer un compte et surtout de choisir un nouveau mot de passe pour ce service, il vous suffira d'utiliser le compte du point d'authentification unique.

Bien que cette solution soit pratique, le point d’authentification unique présente deux contraintes.

Tout d’abord, en cas de découverte du mot de passe du compte utilisé comme point d’authentification unique, toutes les applications qui utilisent cette solution seront, à leur tour, exposées.

L’attaquant pourra alors accéder aux différentes données stockées sur ces applications.

Ensuite, il est important de noter que ces points d'authentification permettent généralement bien plus que de vous authentifier. Ils permettent aussi de partager des informations entre les services, en vous demandant normalement votre consentement.

Par exemple, l'utilisation de Facebook en tant que point d'authentification unique pour une application mobile de course à pied peut impliquer la publication de vos parcours sur le mur Facebook.

Au-delà d'afficher ces informations, le service mettant en œuvre ce point d'authentification unique peut récupérer les informations de tous les services associés au compte, les analyser pour s'en servir à des fins commerciales ou bien les revendre à d'autres services.

Avant de les utiliser, il faut donc lire les conditions générales d'utilisation et faire attention à ce qu'elles impliquent. Si vous n’approuvez pas les conditions présentées, n'utilisez pas les services du point de distribution en question.

Vous avez encore trop de mots de passe à retenir malgré l’utilisation des points d'authentification unique ?

Comment conserver tous vos mots de passe sans remettre en cause les différentes règles de sécurité vues dans les unités précédentes ?

Une solution consiste à utiliser des coffres-forts de mots de passe. Les coffres-forts de mots de passe sont des logiciels spécialisés dans la gestion des mots de passe.

Ils permettent de centraliser le stockage de tous ces mots de passe dans une base de données dont le contenu est chiffré (contrairement à un simple fichier stocké sur son ordinateur).

En cas de perte ou de vol, personne ne peut accéder aux mots de passe car la base est protégée par un mécanisme qui la rend illisible lorsqu'on ne l'utilise pas.

Nous reviendrons plus en détail sur l’utilisation de ce type de mécanisme (le chiffrement), lors de la prochaine unité.

Au-delà de la sécurisation des mots de passe, ces logiciels permettent également de générer des mots de passe robustes.

La base de données chiffrée peut être conservée sur un support numérique : le disque dur d'un ordinateur, un disque dur externe ou sur une clé USB pour la transporter, ainsi que sur une application mobile.

1. Authentification d'accès
2. Chiffrement du contenu
3. Possibilité de générer des mots de passe forts
4. Base de données transportable.

Le coffre-fort numérique a donc l'avantage de permettre de ne plus avoir à retenir ses mots de passe et celui de renforcer leur robustesse dans leur choix mais il présente l'inconvénient de ne pas être accessible à tout moment, puisqu’il faut un équipement informatique pour le lire (ordinateur, téléphone mobile).

Il a pour avantage:

• De n'avoir à retenir qu'un mot de passe fort.
• Il aide à définir des mots de passe robustes.

Il est également important de sauvegarder son coffre-fort sur plusieurs supports numériques, car en cas de panne matériel ou de problème logiciel, le risque est de perdre tous ses mots de passe en une seule fois.

Attention aussi de n’utiliser le coffre-fort que sur des équipements de confiance. Sinon un virus installé pourrait lire les données du coffre après son déverrouillage.

En inconvénients, on notera donc:

• Qu'il nécessite un équipement informatique de confiance pour pouvoir être utilisé;
• Il faut prévoir des sauvegardes/redondances pour éviter toute perte.

Pour accéder à un service où sont stockées des informations potentiellement importantes (par exemple vos courriers électroniques), vous pouvez utiliser un logiciel ou un navigateur Internet installé sur un ordinateur, ou bien encore une application dédiée installée sur votre téléphone mobile.

Ces logiciels et applications manipulent les mots de passe des comptes puisqu'ils sont chargés de leur transfert.

Afin de protéger la confidentialité de vos mots de passe, il est possible de configurer ces logiciels et applications, tout comme il est possible de configurer l'ordinateur ou le téléphone mobile utilisés pour y accéder.

Pour accéder à ses emails depuis son ordinateur en utilisant un client de messagerie, tel que Mozilla Thunderbird ou Microsoft Outlook par exemple), il est nécessaire de fournir le mot de passe de sa messagerie.

Il est alors préférable, lors de la configuration, de ne pas cocher la case demandant au client mail de le mémoriser.

En effet il est généralement peu protégé et peut ensuite être facilement volé par un virus ou par un individu qui accéderait brièvement à notre ordinateur (par attaques indirectes comme vu dans l'unité 2).

De manière similaire, pour l’authentification auprès d'un service Internet en utilisant un navigateur, nous entrons notre identifiant et notre mot de passe dans un formulaire d'authentification.

Lors de cette étape, la plupart des navigateurs (Internet Explorer ou Edge, Firefox, Chrome, etc.) proposent de mémoriser ces informations pour remplir automatiquement le formulaire d'authentification et éviter ainsi de le faire lors du prochain accès.

Il est par conséquent préférable de refuser cette mémorisation en particulier sur un ordinateur partagé entre plusieurs utilisateurs.

Notez toutefois que si vous tenez à utiliser cette fonctionnalité, certains navigateurs offrent la possibilité de protéger les mots de passe stockés par le paramétrage d'un mot de passe principal qui sera demandé avant le pré-remplissage automatique d'un formulaire d'authentification.

Tout comme pour les coffres forts de mots de passe, un tel mot de passe doit être suffisamment fort pour ne pas être trouvé par des attaquants.

Pour accéder à un ordinateur personnel (c'est-à-dire « ouvrir une session utilisateur »), il est possible et préférable de configurer des comptes avec un mot de passe.

Il existe deux types de comptes, le compte administrateur et le compte utilisateur.

Le compte administrateur permet d'accéder à toutes les fonctionnalités et données stockées de l'ordinateur, et de créer des comptes utilisateurs (non-administrateurs) qui disposent de droits restreints.

Pour éviter une prise de contrôle de l'ordinateur par un logiciel malveillant, il est important d'utiliser un compte utilisateur restreint pour l'utilisation quotidienne de l'ordinateur, et de paramétrer un mot de passe fort pour le compte administrateur.

Dans le cadre d'une utilisation par plusieurs membres de la famille, il est également préférable de créer un compte avec un mot de passe personnel par membre.

Cela permet de gérer les droits en fonction des besoins d'utilisation, pour restreindre l'accès à des données ainsi que l'installation ou l'exécution de logiciels.

L'utilisation de l'ordinateur avec un compte restreint et nominatif permet également d'éviter de contaminer d’autres comptes présents sur le même ordinateur, en cas d’attaque.

Les téléphones mobiles contiennent de plus en plus d'informations personnelles.

Un nombre croissant d'applications installées permettent d'accéder à des services sur Internet grâce aux réseaux mobiles de plus en plus performants.

Ces applications peuvent stocker localement des informations pour augmenter encore leurs performances en évitant l'utilisation du réseau.

Une application bancaire peut par exemple stocker l'historique de vos opérations bancaires directement sur le téléphone. Certaines applications, pour faciliter l'accès, ne demandent pas une authentification systématique, elles conservent alors localement un jeton d'authentification. C'est souvent le cas des applications des réseaux sociaux.

Afin d'éviter que n'importe qui puisse accéder à ces informations personnelles, il est important de protéger l'accès du téléphone mobile par un verrouillage automatique au bout de quelques minutes sans utilisation et une authentification pour le déverrouiller.

En fonction du modèle et du système d'exploitation, il est possible d'utiliser un code de 4 à 6 chiffres, un mot de passe, l'empreinte d'un doigt, une figure géométrique reliant des points entre eux, etc.

Attention, l'authentification de déverrouillage du téléphone mobile est indépendante du code PIN de déverrouillage de la carte SIM (carte fournie par votre opérateur téléphonique et à insérer dans votre téléphone). Les deux sont complémentaires et doivent être différents.

Nous venons de voir qu’il est possible de protéger vos authentifications de certains risques en configurant vos logiciels et matériels.

Nous allons conclure cette unité avec deux points de contrôle à effectuer pour protéger vos authentifications et données sensibles d’éventuelles interceptions.

Pour cela, il est d’abord nécessaire de comprendre que lorsque vous envoyez des emails ou que vous naviguez sur Internet, vos logiciels de messagerie et navigateurs communiquent via Internet avec des machines appelées serveurs.

Nous reviendrons plus en détails sur le fonctionnement d’Internet et la notion de serveurs lors du prochain module, retenez néanmoins pour le moment que lorsque vous vous authentifiez, votre mot de passe transite sur un réseau par ce qu’on appelle un protocole et que ce protocole peut être sécurisé ou non.

Il existe beaucoup de protocoles et Internet ne se résume pas à de la navigation Web ou de la messagerie.

Néanmoins, s’agissant des deux usages principaux, les deux points de contrôle que nous allons évoquer ici visent à vérifier que les protocoles dédiés à ces usages sont sécurisés.

Pour la navigation internet tout d’abord, un moyen assez simple et assez efficace est de repérer le caractère « S » en suffixe du nom du protocole utilisé.

Ce « S » signifie « sécurisé ». Même si dans les faits, c'est un peu plus compliqué que cela, ce « S » est déjà un très bon début.

Dans la barre d'adresse de votre navigateur, « HTTP » signifie que l'échange n'est pas sécurisé (ma session de navigation et toutes les données saisies ou affichées pourront être interceptés facilement), et « HTTPS » signifie qu'il est protégé en confidentialité (les données sont chiffrées et donc illisibles) et intégrité (les échanges ne peuvent être altérés).

Si vous devez saisir vos identifiants et mots de passe, et accéder à des données sensibles, assurez-vous donc au préalable d’être connecté en « HTTPS ».

De la même façon avec votre messagerie, ce sont les protocoles « IMAP », et « SMTP », qui doivent être sécurisés et donc apparaître avec un « S » pour assurer que vos échanges sont sécurisés et que vos mails ne pourront être interceptés facilement. Pensez à vérifier dans les paramètres de messagerie que les protocoles utilisés sont bien « IMAPS » et « SMTPS ».

Dans certains logiciels, l’option s’appelle SSL/TLS ou STARTTLS.

Pour conclure cette unité, retenons les différentes bonnes pratiques qui vont vous permettre de gérer la multiplication des mots de passe et de mieux les protéger contre la divulgation :

• Avant d’utiliser des points d’authentification uniques, lisez les conditions générales d’utilisation et restez vigilant quant aux informations qui seraient potentiellement transmises au service en question.
• L’utilisation d’un coffre-fort de mots de passe peut être une excellente solution si elle est maîtrisée et correctement utilisée.
• Restez vigilant quant à la mémorisation automatique de vos mots de passe, configurez les logiciels manipulant vos mots de passe et les matériels (ordinateur, mobile) que vous utilisez pour accéder à vos comptes.
• Vérifiez que les protocoles que vous utilisez sont sécurisés.

Nous allons dans la suite de ce MOOC voir qu’il est possible d’aller encore plus loin dans la sécurisation de vos données avec l’utilisation de la cryptographie.