AVIS D'EXPERT : Mot de passe, chronique d’une mort annoncée

double-authentification

L’article source a été écrit par Stéphane Lesimple, responsable de sécurité chez OVH. Le mot de passe tel que nous le connaissons va disparaitre. La solution de la double authentification est intéressant. Celle de Yahoo m’a également plu qui est qu’il envoi un mot de passe unique (juste la première fois) pour chacun de vos appareils. Cela permet de bien compartimenter ses comptes, de les sécuriser sans la prise de tête de devoir se rappeler ses mots de passe.


 

L’authentification par mot de passe est morte. Ce n’est pas encore entré dans les mœurs de la plupart des acteurs de l’Internet, et encore moins chez les utilisateurs, mais c’est pourtant le cas. Au même titre que telnet est mort et enterré au profit de ssh – à tel point que l’on a presque du mal aujourd’hui à se souvenir que l’on a pu jadis utiliser telnet – l’authentification par mot de passe est morte, et l’entrée dans l’ère de l’authentification à deux facteurs généralisée est inévitable.
Il y a plusieurs raisons à cela. D’abord, les utilisateurs, bien sûr. De plus en plus nombreux, et de moins en moins sensibilisés aux principes de sécurité informatique (corollaire de la démocratisation et de la généralisation d’Internet dans les sociétés), ils offrent une surface d’attaque toujours grandissante. L’augmentation du nombre de plateformes web très populaires en nombre d’abonnés accroît également le risque, la plupart des personnes utilisant inévitablement le même mot de passe sur l’ensemble des sites web. Le login, quant à lui, est aujourd’hui universellement accepté comme étant par défaut l’adresse e-mail de l’abonné, et en cela la centralisation des plateformes e-mails aggrave encore le problème : trouver un login valide sur une plateforme en ligne par simple essai/erreur est de fait pratiquement une équation à zéro inconnue.
Le principe même de « mot de passe » est très souvent perçu comme une contrainte insupportable et surfaite, et il est complexe de convaincre un utilisateur non versé dans la sécurité informatique que cet élément est critique pour la protection de ses données personnelles. Il est facile donc de rejeter la faute sur l’utilisateur, incapable de comprendre les enjeux du choix d’un mot de passe fort. Mais des milliards de personnes peuvent-elles avoir tort ? Et si c’était la communauté de la sécurité informatique qui se trompait depuis le début ? Nos cartes bancaires – rien de moins que ça – sont protégées par un simple code PIN à 4 chiffres, alors comment espérer convaincre les utilisateurs de protéger leurs selfies sur Facebook avec un mot de passe fort à 10 caractères et majuscules-minuscules-chiffres-ponctuation obligatoires ? Les gens détestent les mots de passe, et ils ont raison.
S’il fallait encore s’en convaincre, il est facile de constater que même un mot de passe fort, comme souvent rendu obligatoire par les chartes informatiques des entreprises, ne règle en réalité qu’assez peu de problèmes de sécurité. Que dire du mot de passe, dont l’entropie est plébiscitée par le RSSI local, simplement noté sur un post-it ? Que penser du mot de passe fort tout juste généré par le SI, envoyé en clair par e-mail et stocké à vie sur l’ordinateur du salarié ? Que faire du mot de passe fort épelé consciencieusement par l’utilisateur au téléphone, parce qu’une personne à l’autre bout du fil se faisant passer pour le département informatique, le lui a simplement demandé ? Même en quittant le monde de l’entreprise et en revenant à l’Internet en général, comment faire confiance aux multiples sites web ou forums en tout genre, à propos du stockage en base de données des mots de passe qui leurs sont confiés ? Combien d’entre eux renvoient simplement le mot de passe oublié par e-mail, indiquant qu’il était stocké en clair dans leur base ? Combien utilisent encore un algorithme de hashage de type MD5 non salé, tellement simple à inverser à l’aide d’algorithmes jouant sur le compromis « temps de calcul/espace mémoire » (type tables arc-en-ciel), aujourd’hui à la portée de n’importe qui grâce au coût dérisoire du stockage ?

« A l’instar de la carte bleue et de son code PIN, la seule vraie solution est une généralisation de l’authentification à deux facteurs. »

Il est temps d’accepter que le mot de passe est purement et simplement mort, et qu’à l’instar de la carte bleue et de son code PIN, la seule vraie solution est une généralisation de l’authentification à deux facteurs. Rappelons-le, les trois catégories de facteurs principaux peuvent se résumer en « ce que je sais » (mot de passe), « ce que je possède » (une clé, ou tout autre objet) et enfin « ce que je suis » (biométrique : empreinte digitale, reconnaissance de l’iris, etc). On se souvient des tokens de type « RSA SecureID », que certaines grandes entreprises avaient mises en place pour protéger l’accès de leurs salariés à leurs réseaux sécurisés. Ce principe d’authentification ne date pas d’hier, mais ce n’est que récemment qu’il est devenu abordable et donc éligible à la généralisation. Aujourd’hui, environ la moitié des Français possèdent un smartphone, rendant le coût de cette technologie pratiquement nul : une simple application permet d’avoir la même sécurité qu’un token physique, via l’utilisation d’un algorithme public permettant de dériver un TOTP (Time-based One Time Password). Il s’agit d’un mot de passe à usage unique, valable pendant une minute seulement, créé à partir d’une constante (un secret commun partagé entre le client et le serveur, à forte entropie et qui n’a pas besoin d’être connu de l’utilisateur final), et d’une variable : le temps. Ce type d’application existe pour tous les smartphones, elles sont gratuites et génériques : elles peuvent stocker autant de secrets partagés que nécessaire pour autant de périmètres sécurisés auxquels l’utilisateur a besoin d’accéder. L’implémentation de ces systèmes côté serveur est assez aisée, les algorithmes étant publics et disponibles librement. Bien sûr, cela ne remplace pas le bon vieux mot de passe : il s’agit bien d’associer le TOTP donné par le smartphone (ce que je possède), et le mot de passe classique (ce que je sais), pour créer une authentification forte à deux facteurs. Le taux de pénétration des smartphones va continuer d’augmenter, mais en attendant nul besoin d’exclure ceux qui n’en possèdent pas : il suffit de proposer à l’utilisateur l’envoi d’un SMS par le serveur qui cherche à l’authentifier ce qui remplit parfaitement le rôle de « ce que je possède » (mon téléphone).
Tout est là, donc, et il ne reste qu’à pousser ce type de technologie auprès des utilisateurs. La balle est bien dans le camp de la communauté de sécurité informatique, car ce n’est pas le métier des utilisateurs de savoir comment assurer leur sécurité : nous devons rendre les outils permettant de faire de l’authentification forte simples, et expliquer aux utilisateurs pourquoi c’est important. De plus en plus de grands acteurs de l’Internet mettent ce type d’authentification en place, et certains ont de très bonnes approches permettant de responsabiliser l’utilisateur et de le guider pas à pas pour activer cette option, sans jamais verser dans le langage technique abscons. Cela va sans doute prendre encore un peu de temps, mais le plus vite sera le mieux : c’est alors que l’on verra les utilisateurs tomber sur un site web ne proposant qu’une authentification par mot de passe simple et qu’on l’on entendra dire « wow, je crois que je vais aller chez le concurrent » que l’on pourra dire qu’enfin, ce combat est gagné !

Source : https://www.ovh.com/fr/news/a1682.mot-de-passe-chronique-d-une-mort-annoncee

Advertisements

Un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s