FLASH INFORMATIQUE FI



Trois ans, c’est long, changez votre mot de passe régulièrement




Laurent KLING


Dans Ali Baba et les quarante voleurs, la phrase-clé pour ouvrir la caverne remplie de mille trésors est Sésame, ouvre-toi !. Dans notre civilisation moderne, nous possédons également un mot de passe magique qui nous ouvre les portes de la messagerie, l’accès à nos fichiers ou la gestion de nos richesses. Ce point d’entrée de la sécurité est souvent considéré avec peu d’égard, au lieu d’être précieux comme la prunelle de l’oeil, il est ravalé à un processus simplifié au maximum dans une curieuse vision d’efficacité. De nombreux écueils nous guettent sur le relatif chemin de la sûreté.

La confiance dans la technologie

Dans notre société, le développement des outils dépasse largement notre capacité à l’appréhender, à ce titre il est dangereux de cacher nos manques de discernement derrières les sirènes de la technologie.
Dans un essai vieux de onze ans, Des chausse-trappes de sécurité en cryptologie, Bruce Schneier décrit parfaitement les trompe-l’oeil que représentent les descriptifs techniques et l’illusion de la sécurité : « Comparez l’algorithme cryptographique au verrou de votre porte d’entrée. La plupart des verrous ont quatre goupilles en métal, qui peuvent prendre chacune dix positions. Une clé place les goupilles dans une configuration particulière. Si la clé les aligne correctement, le verrou s’ouvre. De sorte qu’il n’y a que 10 000 clés possibles, et qu’un cambrioleur prêt à essayer les 10 000 possibilités est sûr d’entrer dans votre maison. Mais un verrou de qualité supérieure à 10 goupilles, qui autorise 10 milliards de clés distinctes, n’améliorera probablement pas la sécurité de votre maison. Des cambrioleurs n’essayent pas toutes les clés (une attaque systématique) ; la plupart ne sont pas assez intelligents pour crocheter la serrure (une attaque cryptographique contre l’algorithme). Ils fracassent les fenêtres, donnent des coups de pieds dans les portes, se déguisent en policiers, ou bien dévalisent les détenteurs des clés avec une arme. Un groupe de voleurs en Californie mettait en défaut les systèmes de sécurité en attaquant les murs à la tronçonneuse. Contre ces attaques, de meilleures serrures ne sont d’aucun secours ».
www.schneier.com/essay-027.html

La simplicité des processus

La gestion de la sécurité ressemble à celle de l’informatique, il est probable qu’on vienne vous voir quand quelque chose ne fonctionne pas, mais il est rare qu’on vous consulte avant de faire quelque chose.
Par nature, les responsables d’informatique s’occupant de sécurité, nous devons souvent gérer des mots de passe. Dans cette vision immatérielle du monde, l’usager se confond à un couple : un identifiant et un mot de passe.
Naturellement, avec plusieurs systèmes informatiques, on se trouve confronté au dilemme de la multiplicité des mots de passe :


Un individu,
  plusieurs systèmes informatiques dont chacun :
  un identifiant,
    un mot de passe.

Ce résultat peut paraître peu satisfaisant pour l’esprit, on arrive rapidement au schéma :


Un individu,
    plusieurs systèmes informatiques,
    un identifiant commun,
    un mot de passe commun.

C’est actuellement la méthode utilisée dans l’EPFL pour gérer l’authentification avec cette variante :


Un individu,
  plusieurs systèmes informatiques,
    deux identifiants communs (no SCIPER & Username),
    un mot de passe commun.

Dans ce modèle, l’identifiant et le SCIPER sont directement disponibles dans l’annuaire interne, il n’existe qu’un seul verrou, le mot de passe. L’outil de gestion des mots de passe central de l’EPFL, Gaspar, possède depuis mars 2009 un mécanisme de vérification de sa qualité (voir l’article de Martin Ouwehand Vérification de la qualité du mot de passe Gaspar dans le FI7/09).
Le mot de passe unique présente un danger, malgré quatre millénaires de civilisation, nous ne sommes pas arrivés à la clé unique, qui ouvrirait toutes les portes. Pour ceux qui évoqueraient l’ADN, je me permets de conseiller la vision de Gattaca, film de 1997 où la démocratisation de l’analyse de l’ADN entraîne une société à la course au bon gène.

JPEG - 12.8 ko
Clé et cadenas du Ladakh


Depuis l’antiquité, l’histoire militaire est remplie d’exemples de forteresses inviolables qui ont été vaincues par la ténacité ou par simplement l’astuce. Dans un esprit rationnel, il est logique de penser que l’attaquant, effrayé par la complexité de nos défenses, ne va pas faire la guerre. En bon stratège, l’agresseur va naturellement attaquer sur un point faible où l’on ne l’attend pas.
Imaginons ce scénario : Un responsable utilise un accès unifié à l’ensemble de ses ressources, il peut ainsi accéder à sa messagerie, ouvrir ses dossiers sécurisés, autoriser des achats et accréditer des collaborateurs. Il part en vacances, il désire lire sa messagerie, utilise un cybercafé malgré le handicap de caractères non européens. Malheureusement, pour respecter les lois de ce pays, ce poste de café internet enregistre l’ensemble des frappes du clavier, donc son identifiant et son mot de passe sont connus. Son accès unique est corrompu, pas en utilisant une attaque frontale, mais bien par un maillon faible du processus, l’ordinateur du Cybercafé.

La complexité des méthodes

Naturellement, la frayeur de voir nos accès si facilement compromis devrait nous orienter immédiatement à des mesures draconiennes pour le mot de passe unifié :

  • durée de vie réduite, il doit être renouvelé tous les 3 mois ;
  • complexité élevée, il est complexe avec 12 caractères ;
  • ajout d’une clé physique (authentification sous 2 formes) ;
  • sécuriser les postes de travail ;
  • ...
  • établir une police des mots de passe.

Rapidement, notre bon sens reprend le dessus, plutôt que de vouloir augmenter à l’infini la complexité du mot de passe, il est peut-être temps de renverser le problème.

Séparer les accès

Il nous paraît évident que le mot de passe du distributeur de billets n’est pas le même que celui de sa messagerie. Appliquons ce même principe aux accès informatiques, les services critiques comme la gestion financière ou l’accréditation des personnes nécessite des entrées séparées. La perte d’un de ses accès n’entraîne pas d’effet domino.
Le schéma de la sécurité informatique pourrait être


Un individu
  plusieurs responsabilités, dont chacune
    un identifiant
    un mot de passe.

Au premier abord cette méthode semble trop simple, elle ignore le cocon de sécurité que la société établit autour de nous. Cependant, c’est bien plus par des règles compréhensibles par tous qu’on détermine une sécurité efficace, car assimilée par chacun.

Évitez le syndrome du support

L’argument le plus souvent cité pour sanctuariser un accès unique est que cela simplifie le travail du support. Je ne crois pas que cela soit un obstacle insurmontable d’imaginer que plusieurs systèmes de sécurités coexistent.
Après tout, la Suisse est composée de quatre langues officielles, mais elle semble particulièrement solide malgré la guerre civile du Sonderbund en 1847. Certes, c’est bien l’intelligence du général Dufour qui a permis d’éviter un bain de sang par une tactique ingénieuse dans une société où chaque citoyen est armé : face à des adversaires de confession catholique, opposer des troupes mixtes où les catholiques sont présents.
Parmi les autres mérites de ce citoyen de Genève, la création des cartes topographiques et l’emblème actuel de la Suisse. Le bénéfice de cet épisode fut de générer l’impulsion qui donnera les bases de la Suisse moderne en 1848 avec la naissance du Franc suisse et de l’école polytechnique.
hls-dhs-dss.ch/textes/f/F3862.php

Une menace récurrente

Des attaques récentes appliquent un constat simple : votre vie privée est inexistante.
Avec les outils de socialisation, il est probable qu’il est facile de reconstituer vos goûts, vos loisirs, vos relations, votre parcours scolaire, vos amis, vos opinions politiques et même le nom de votre animal de compagnie préféré. Le comble de ce processus est que la totalité de ces informations ne soit pas recueillie par un Big Brother centralisé, mais simplement par vous-même, en effet qui connaît mieux un individu que celui qui s’inscrit volontairement dans un site de socialisation comme Facebook, MySpace ou LinkedIn (un schizophrène ou un agent secret possède un avantage, il peut remplir plusieurs identités).
De nombreux services ouvrent également une porte dérobée par la possibilité d’indiquer une autre adresse de messagerie pour récupérer le mot de passe. Si un attaquant arrive à accéder à ce compte, car par exemple il est désactivé par manque d’activité, il dispose d’un moyen imparable pour usurper votre identité. Naturellement, c’est vous-même qui avez activé cette sauvegarde.
Ainsi, ce n’est pas la sécurité absolue qui est en cause, mais bien plus la perte de reconnaissance entre les frontières de nos outils dématérialisés. Dans ce cadre, il est important de générer des mots de passe différents pour éviter de fâcheux effets domino. Nik Cubrilovic dans TechCunch décrit parfaitement les faiblesses successives qui ont permis d’accéder aux documents stratégiques de Twitter :
www.techcrunch.com/2009/07/19/the-anatomy-of-the-twitter-attack/.
Un risque majeur pour un système de sécurité est une faiblesse qui compromet l’ensemble des couples identité – mot de passe. Ces attaques sont souvent secrètes, parfois le résultat est rendu public, ce qui représente des viviers extraordinaires d’analyse du comportement des usagers.

JPEG - 4.1 ko
Répartition du nombre des mots de passe en fonction de leur longueur (car)
JPEG - 4.4 ko
Répartition du nombre des mots de passe en fonction de leur complexité


En 2006, plus de 34’000 mots de passe furent révélés par l’utilisation d’une fausse page d’entrée de MySpace. Bruce Schneier décrit dans son Blog une étude statistique particulièrement intéressante :
www.schneier.com/blog/archives/2006/12/realworld_passw.html.
J’ai été confronté à un risque similaire d’attaque pour l’ensemble des mots de passe par la faille présente dans LM avec Active Directory ; j’ai entrepris deux actions :

  • supprimer le trou et publier un article décrivant la solution,
  • enlever les chaînes de hachage de chaque usager contenu dans chaque contrôleur de domaines Active Directory.

Malheureusement, la seule méthode pour supprimer le risque était de demander aux usagers de changer le mot de passe. La solution d’un changement en masse fut rapidement écartée, j’ai opté pour un mécanisme indirect, augmenter la complexité. Depuis 2004, la commission informatique de la faculté des Sciences et Techniques de l’Ingénieur a pris la décision d’avoir un mot de passe :

  • complexe (minuscule, majuscule, chiffre, pas de nom ou de prénom),
  • exiger 9 caractères au minimum,
  • une durée de vie maximum de 999 jours,
  • ne plus conserver l’encodage LM sur les contrôleurs de domaine.

La dernière règle est en vigueur dans l’EPFL depuis 2006.
[http://flashinformatique.epfl.ch/IM...>http://flashinformatique.epfl.ch/IM...]
Naturellement, ces contraintes doivent être régulièrement réévaluées avec les progrès qui rendent possible des attaques improbables dans le passé.

Conclusion, changer son mot de passe régulièrement

Aux vues de l’étendue des risques, il faut éviter de conserver ad vitam aeternam des mots de passe, il faut les changer régulièrement. La question essentielle est le choix du mot de passe, voici une proposition qui tient compte des contraintes particulières de la faculté des Sciences et Techniques de l’Ingénieur :

En premier, un nouveau mot de passe
Votre mot de passe doit contenir au moins une majuscule, une minuscule et un chiffre et avoir une taille de 9 caractères au minimum. Rationnellement, votre mot de passe ne doit pas contenir votre prénom ou votre nom, car ces informations sont publiques.
Pour retenir votre mot de passe, une méthode efficace est de générer une phrase personnelle : Ma première voiture est une Majorette et je l’ai reçue en 1967 ; et l’utiliser comme clé de génération, trois exemples de mot de passe :

  • Voiture1967
  • 67Majorette
  • voiturePeugeot403.

En second, il faut le modifier avec Gaspar
Se connecter

  1. Saisissez votre ancien mot de passe,
  2. puis votre nouveau mot de passe et re-entrez votre nouveau mot de passe.

Et finalement, il ne faut pas l’oublier !



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.