Erreur : votre mot de passe est trop longĀ 

Nous vivons dans un monde envahi par la pĆ©remption ou l’obsolescence. Le lait, le jambon, les recommandations de sĆ©curitĆ©. Tout se pĆ©rimeā€¦ surtout les recommandations de sĆ©curitĆ©.

Qui se souvient encore qu’au siĆØcle dernier, en lieu et place de la taille minimale, les mots de passe devaient avoir une taille maximale ? ƀ l’Ć©poque, dans le meilleur des cas, ils Ć©taient stockĆ©s en clair dans une base de donnĆ©es et il Ć©tait donc nĆ©cessaire qu’ils puissent entrer dans l’espace allouĆ©.

Depuis, internet a changĆ© la donne et les considĆ©rations de sĆ©curitĆ© ont primĆ© sur les contraintes techniques. Des restrictions sont apparues pour contrer les attaques de type force brute ou rainbow tables : longueur maximale, complexitĆ©, expiration, interdiction de rĆ©utilisation, diffĆ©rences minimalesā€¦

Tant et si bien que tenter d’inventer soi-mĆŖme un nouveau mot de passe pour accĆ©der Ć  un site anodin est devenu virtuellement impossible : les tentatives sont facilement rejetĆ©es les unes aprĆØs les autres au grĆ© de nouvelles rĆØgles obscures censĆ©es rendre le secret incassable. Ɖnervement assurĆ© surtout lors de la saisie de confirmation.

Ce qui est moins connu, c’est que certaines de ces pratiques annoncĆ©es comme ajoutant une nouvelle couche de sĆ©curitĆ© ont en rĆ©alitĆ© des effets pervers qui mĆØnent paradoxalement Ć  un abaissement de la sĆ©curitĆ©. Nous allons les passer en revue sans Ć©tat d’Ć¢me, avec pour objectif de sensibiliser Ć  lecteur Ć  rĆ©clamer ou mettre en place leur pure et simple Ć©radication.

 

Les questions/rƩponses aux oubliettes

On peut ĆŖtre surpris, mais cette possibilitĆ© de mettre en place un mĆ©canisme de questions/rĆ©ponse de rĆ©cupĆ©ration de compte aprĆØs mot de passe oubliĆ© rĆ©apparaĆ®t parfois encore de nos jours lors des rĆ©unions avec les clients. Le principe en est limpide : pour rĆ©initialiser un mot de passe oubliĆ©, l’utilisateur n’a qu’Ć  rĆ©pondre Ć  trois questions de sĆ©curitĆ© dont il a dĆ©jĆ  fourni les rĆ©ponses dans un passĆ© plus ou moins lointain.

Heureusement, ce genre de suggestion est immĆ©diatement tuĆ© dans l’œuf dĆØs lors qu’un des participants possĆØde un minimum d’expĆ©rience autour de la sĆ©curitĆ©.

Car ce principe de Ā« questions/rĆ©ponses Ā» allie en fait parfaitement l’inefficacitĆ© de l’opĆ©ration Ć  la faiblesse rĆ©elle du niveau de sĆ©curitĆ©.

Inefficace, car avec le temps qui passe, il peut ĆŖtre difficile par exemple de retrouver quelle rĆ©ponse on a fourni Ć  des questions un peu tordues comme Ā« quel Ć©tait le surnom de votre meilleur ami au CP ? Ā», etc.

Faible, car quand les rĆ©ponses sont simples Ć  se rappeler, c’est alors la porte ouverte aux pirates rompus Ć  l’ingĆ©nierie sociale qui lisent dans les rĆ©seaux sociaux comme dans un livre ouvert, mĆŖme sans utilisation d’algorithme d’IA.

 

Ā« ! Ā» comme acmĆ© de la complexitĆ©

Autrefois les attaques de type force brute consistaient Ć  gĆ©nĆ©rer de nombreux mots de passe issus de combinaisons plus ou moins alĆ©atoires basĆ©es sur les 26 lettres de l’alphabet et les 10 chiffres.

L’idĆ©e Ć©tait donc sĆ©duisante : plus on augmente le nombre de signes possibles, plus le nombre de combinaisons possible augmente et plus il devient coĆ»teux de tester des nouveaux mots de passe gĆ©nĆ©rĆ©es.

C’est ainsi que presque tous les sites obligent aujourd’hui Ć  choisir un mot de passe contenant minuscules, capitales, chiffres et caractĆØres spĆ©ciaux.

Et dans un magnifique Ʃlan de comprƩhension gƩnƩral des besoins accrus de sƩcuritƩ, la population a rƩpondu

  • en passant la premiĆØre lettre en majuscule,
  • en ajoutant l’annĆ©e en cours Ć  la fin,
  • pour terminer enfin par un terrifiant Ā« ! Ā» ou un Ā« $ Ā»

Ce qui a rendu Ć  n’en pas douter le travail beaucoup plus difficile aux pirates. En effet, il est bien plus difficile de hacker quand on en est Ć  se taper sur les cuisses ! Les plus futĆ©s des utilisateurs en ont mĆŖme profitĆ© pour Ć©tendre leur mĆ©thode de complexification des mots de passe en procĆ©dant Ć  quelques remplacements cosmĆ©tiques : Ā« o Ā» par Ā« 0 Ā», Ā« a Ā» par Ā« @ Ā», Ā« e Ā» par Ā« 3 Ā» afin de dĆ©courager ā€“ pensent-ils ā€“ les plus malins des hackers. Vraiment ?

 

Le rituel de la rotation trimestrielle

Puis, on a commencĆ© Ć  intĆ©grer le fait que les fuites de mot de passe Ć©taient inĆ©vitables. Et pour minimiser les risques qu’un pirate utilise le mot de passe fuitĆ©, on en est arrivĆ© Ć  la conclusion que les utilisateurs devaient forcĆ©ment en changer souvent.

Surtout que les utilisateurs utilisent souvent le mĆŖme mot de passe partout. Donc mĆŖme si je considĆØre que mon site internet est encore plus sĆ©curisĆ© que la Joconde, il pourra tout-Ć -fait se voir affectĆ© Ć  cause d’un autre site qui aura laissĆ© fuitĆ© ses informations stockĆ©es pour cause d’incompĆ©tence ou d’imprĆ©voyance manifeste.

ConsĆ©quences de notre petit monde connectĆ© et interdĆ©pendant oĆ¹ le maillon faible peut impacter tout le monde : obligation de changer de mot de passe tous les 90 jours, pour tous ! Et comme on vous voit venir avec votre mauvaise foi habituelle, on vĆ©rifiera que vous ne ferez pas semblant de changer en reprenant le mĆŖme mot de passe que la derniĆØre fois, et que la pĆ©nultiĆØme foisā€¦

Et c’est ainsi que chacun a sorti son petit jeu de contre-mesures de restrictions en choisissant de concatĆ©ner leur mot de passe de base avec, allez, disons le numĆ©ro du mois, voire celui de l’annĆ©e en cours, ou mĆŖme simplement le numĆ©ro Ā« 2 Ā» puis 3 mois plus tard en itĆ©rant, encore et encore.

On en connaĆ®t cependant qui ont essayĆ© de jouer le jeu en inventant un mot de passe entiĆØrement original tous les 3 mois, et en essayant de le retenir. Mais Ƨa n’a pas trĆØs bien marchĆ©ā€¦ ƀ prĆ©sent, si vous avez besoin d’assistance pour rĆ©initialiser votre mot de passe, demandez-leur de l’aide, car eux connaissent le processus par cœur, Ć  force de l’utiliser !

 

Des limitations de l’ĆŖtre humain

Ɖvidemment, le fond du problĆØme dans tout Ƨa, c’est que les mots de passe sont destinĆ©s aux ĆŖtres humains. Or notre lente Ć©volution n’a pas Ć©tĆ© guidĆ©e par les problĆ©matiques de mot de passe. Ce qui fait qu’on n’est pas douĆ© pour Ƨa.

D’abord on n’a aucune imagination quand il s’agit de crĆ©er un mot de passe. On rĆ©flĆ©chit, on se concentre, on s’applique quelques minutes, mais on n’arrive pas Ć  sortir beaucoup mieux que le prĆ©nom du gamin ou le nom du chat. J’en connais mĆŖme qui aprĆØs avoir Ć©puisĆ© les prĆ©noms de leur entourage sont passĆ©s aux 2e prĆ©noms d’Ć©tat civil, puis aux 3eā€¦ Ressource vite Ć©puisĆ©e.

Ensuite, il faut ĆŖtre honnĆŖte : nous n’avons pas les capacitĆ©s cognitives de retenir plus de quelques mots de passe. Quand on les utilise tous les jours, on peut certes en mĆ©moriser beaucoup, mais dĆØs que la frĆ©quence d’utilisation diminue, nos limites sont rapidement atteintes. En entreprise, c’est au retour des vacances, devant son Ć©cran de connexion qu’on s’en aperƧoit vraiment.

VoilƠ, en gros, on arrive Ơ se remƩmorer une dizaine de mots de passe.

Au dernier recensement, j’utilise personnellement des mots de passe sur plusieurs centaines de sites et je dois ĆŖtre dans la moyenne. Alors oui, il est devient pragmatique d’utiliser le mĆŖme mot de passe partout.

Bien sĆ»r, on ferait mieux d’utiliser un des gestionnaires de mot de passe du marchĆ©, comme ceux fourni de base sur iOS et Android, et leur fonctionnalitĆ© de gĆ©nĆ©ration alĆ©atoire, mais honnĆŖtement, qui connaĆ®t l’existence de Keypass ou Bitwarden en dehors des milieux informĆ©s de l’IT ?

 

Non, je ne prĆŖche pas dans le dĆ©sert

Toutes ces considƩrations, des gens Ʃminemment plus sƩrieux que moi les avancent.

Elles sont Ć©voquĆ©es par le GCHQ britannique (publication) dĆØs 2015.

Elles figurent dans le recommandations du NIST amƩricain (chapitre 5.1.1.2) de 2017.

Microsoft a mĆŖme retirĆ© l’expiration des mots de passe de ses prĆ©conisations en 2019 (post).

Elles sont reprises par le FBI (article) en 2020.

 

Que faire alors ?

Le sujet mĆ©rite bien sĆ»r plus qu’une courte conclusion d’un article de blog.

Le point essentiel, c’est de maximiser l‘entropie des mots de passe. En ce moment, Ƨa passe par des mots de passe trĆØs longs.

Les prƩconisations actuelles pour les utilisateurs reposent sur des principes simples :

  • ne pas rĆ©utiliser le mĆŖme mot de passe (du moins pour les sites sĆ©curisĆ©s)
  • ne pas chercher Ć  inventer un mot de passe, mais faire confiance Ć  un programme (les gestionnaires de mots de passe, les navigateurs et les sites spĆ©cialisĆ©s offrent leur service)
  • utiliser des mots de passe non seulement originaux, mais aussi trĆØs longs
  • noter les mots de passe et les stocker dans un endroit protĆ©gĆ© par un vrai mot de passe (gestionnaire logiciel de mots de passe, carnet dans un coffre-fort physique)
  • changer de mot de passe dĆØs qu’on sait qu’il a fuitĆ© sur Internet.

Avec une telle stratĆ©gie, plus besoin d’essayer de retenir des centaines de mots de passe, ni d’utiliser des mots de passe simples ou faussement complexes, ni d’utiliser les mĆŖmes partout. Il reste une poignĆ©e de mots de passe qu’il faut se remĆ©morer. Et c’est lĆ  qu’interviennent des mĆ©thodes efficaces pour gĆ©nĆ©rer des mots de passe qu’il sera faciles Ć  retenir. On trouve sur internet des sites Ć©trangement efficaces (malheureusement souvent payants). On appelle Ƨa une Ā« politique personnelle de mots de passe Ā». Ɖvidemment, chacun la sienne, et interdiction de la divulguer Ć  quiconque !

On peut aussi appliquer la mĆ©thode des mots sans lien entre eux, popularisĆ©e par XKCD : se choisir plusieurs mots courants au hasard. Elle prĆ©sente des limitations, mais aussi des avantages Ć©vidents par rapport Ć  Ā« Lulu186 Ā» ou Ā« Kev!ndu59 Ā». Elle est d’ailleurs recommandĆ©e par le gouvernement britannique.

Et prƩparez-vous Ơ ce que ces recommandations changent !

 

Les sites doivent s’adapter en consĆ©quence

Du cĆ“tĆ© des sites, il faut faciliter l’adoption de ces nouvelles bonnes pratiques :

  • mettre l’accent sur la longueur des mots de passe et autoriser beaucoup plus que 12 ou 16 caractĆØres
  • arrĆŖter d’imposer des rĆØgles de complexitĆ© inutiles, mais autoriser le caractĆØre Ā« espace Ā» pour sĆ©parer les mots
  • ne plus obliger les utilisateurs Ć  changer leur mot de passe sans raison
    vƩrifier la complexitƩ en temps rƩel
  • ne plus empĆŖcher le copier/coller car c’est incompatible avec l’utilisation d’un coffre-fort

En complĆ©ment, les sites doivent mettre en œuvre des mesures d’accompagnement :

  • dĆ©tecter les attaques (force brute, password spraying, CSRF)
  • prendre en compte le contexte de l’utilisateur et le risque associĆ©
  • interdire l’utilisation de mots de passe triviaux (i.e. contenant des informations personnelles)
  • vĆ©rifier auprĆØs des bases de donnĆ©es accessibles sur internet si le mot de passe a dĆ©jĆ  fuitĆ©
  • obliger l’utilisateur Ć  changer son mot de passe lorsqu’une fuite est constatĆ©e
  • informer l’utilisateur de tout Ć©vĆ©nement pouvant affecter sa sĆ©curitĆ© (demande de rĆ©initialisation du mot de passe, authentification depuis un nouvel Ć©quipement, Ć©checs rĆ©pĆ©tĆ©s, etc.)


Pour mettre en œuvre cette nouvelle stratĆ©gie 2.0 de faƧon efficace, pĆ©renne et complĆØte, le plus simple est de recourir Ć  des services spĆ©cialisĆ©s dans les mĆ©canismes d’authentification des utilisateurs, qui ne font que Ƨa, et qui peuvent assurer une sĆ©curitĆ© pointue, par l’exploitation des protocoles de dĆ©lĆ©gation OpenID Connect ou SAML.

En faisant ce choix stratĆ©gique, on sort la question de la sĆ©curitĆ© de l’authentification du pĆ©rimĆØtre historique de l’artisanat pour la confier aux mains des experts. On rationalise, on rassure, et valorise son image auprĆØs du grand public. Songez Ć  l’image dramatique que peut laisser auprĆØs du public la fuite de donnĆ©es d’une entreprise, Ć  prĆ©sent que la rĆ©glementation oblige Ć  en faire la divulgation.

Petite anecdote finale. Adopter cette nouvelle stratĆ©gie permettra d’Ć©viter cet exemple d’amateurisme qui est arrivĆ© Ć  un ami : un site commercial lui avait refusĆ© son nouveau mot de passe en rĆ©clamant un caractĆØre spĆ©cial, et quand il en a voulu en ajouter un, le site lui a opposĆ© que les caractĆØres spĆ©ciaux Ć©taient interdits (je suppose qu’il a tentĆ© un caractĆØre trop spĆ©cial pour le goĆ»t du site, mais Ƨa reste un joli exemple de Catch-22).

 

Auteur : Marc (Directeur technique)