Les recommandations de mot de passe se périment

Erreur : votre mot de passe est trop long 

Nous vivons dans un monde envahi par la péremption ou l’obsolescence. Le lait, le jambon, les recommandations de sécurité. Tout se périme… surtout les recommandations de sécurité.

Qui se souvient encore qu’au siècle dernier, en lieu et place de la taille minimale, les mots de passe devaient avoir une taille maximale ? À l’époque, dans le meilleur des cas, ils étaient stockés en clair dans une base de données et il était donc nécessaire qu’ils puissent entrer dans l’espace alloué.

Depuis, internet a changé la donne et les considérations de sécurité ont primé sur les contraintes techniques. Des restrictions sont apparues pour contrer les attaques de type force brute ou rainbow tables : longueur maximale, complexité, expiration, interdiction de réutilisation, différences minimales…

Tant et si bien que tenter d’inventer soi-même un nouveau mot de passe pour accéder à un site anodin est devenu virtuellement impossible : les tentatives sont facilement rejetées les unes après les autres au gré de nouvelles règles obscures censées rendre le secret incassable. Énervement assuré surtout lors de la saisie de confirmation.

Ce qui est moins connu, c’est que certaines de ces pratiques annoncées comme ajoutant une nouvelle couche de sécurité ont en réalité des effets pervers qui mènent paradoxalement à un abaissement de la sécurité. Nous allons les passer en revue sans état d’âme, avec pour objectif de sensibiliser à lecteur à réclamer ou mettre en place leur pure et simple éradication.

 

Les questions/réponses aux oubliettes

On peut être surpris, mais cette possibilité de mettre en place un mécanisme de questions/réponse de récupération de compte après mot de passe oublié réapparaît parfois encore de nos jours lors des réunions avec les clients. Le principe en est limpide : pour réinitialiser un mot de passe oublié, l’utilisateur n’a qu’à répondre à trois questions de sécurité dont il a déjà fourni les réponses dans un passé plus ou moins lointain.

Heureusement, ce genre de suggestion est immédiatement tué dans l’œuf dès lors qu’un des participants possède un minimum d’expérience autour de la sécurité.

Car ce principe de « questions/réponses » allie en fait parfaitement l’inefficacité de l’opération à la faiblesse réelle du niveau de sécurité.

Inefficace, car avec le temps qui passe, il peut être difficile par exemple de retrouver quelle réponse on a fourni à des questions un peu tordues comme « quel était le surnom de votre meilleur ami au CP ? », etc.

Faible, car quand les réponses sont simples à se rappeler, c’est alors la porte ouverte aux pirates rompus à l’ingénierie sociale qui lisent dans les réseaux sociaux comme dans un livre ouvert, même sans utilisation d’algorithme d’IA.

 

« ! » comme acmé de la complexité

Autrefois les attaques de type force brute consistaient à générer de nombreux mots de passe issus de combinaisons plus ou moins aléatoires basées sur les 26 lettres de l’alphabet et les 10 chiffres.

L’idée était donc séduisante : plus on augmente le nombre de signes possibles, plus le nombre de combinaisons possible augmente et plus il devient coûteux de tester des nouveaux mots de passe générées.

C’est ainsi que presque tous les sites obligent aujourd’hui à choisir un mot de passe contenant minuscules, capitales, chiffres et caractères spéciaux.

Et dans un magnifique élan de compréhension général des besoins accrus de sécurité, la population a répondu

• en passant la première lettre en majuscule,
• en ajoutant l’année en cours à la fin,
• pour terminer enfin par un terrifiant « ! » ou un « $ »

Ce qui a rendu à n’en pas douter le travail beaucoup plus difficile aux pirates. En effet, il est bien plus difficile de hacker quand on en est à se taper sur les cuisses ! Les plus futés des utilisateurs en ont même profité pour étendre leur méthode de complexification des mots de passe en procédant à quelques remplacements cosmétiques : « o » par « 0 », « a » par « @ », « e » par « 3 » afin de décourager – pensent-ils – les plus malins des hackers. Vraiment ?

 

Le rituel de la rotation trimestrielle

Puis, on a commencé à intégrer le fait que les fuites de mot de passe étaient inévitables. Et pour minimiser les risques qu’un pirate utilise le mot de passe fuité, on en est arrivé à la conclusion que les utilisateurs devaient forcément en changer souvent.

Surtout que les utilisateurs utilisent souvent le même mot de passe partout. Donc même si je considère que mon site internet est encore plus sécurisé que la Joconde, il pourra tout-à-fait se voir affecté à cause d’un autre site qui aura laissé fuité ses informations stockées pour cause d’incompétence ou d’imprévoyance manifeste.

Conséquences de notre petit monde connecté et interdépendant où le maillon faible peut impacter tout le monde : obligation de changer de mot de passe tous les 90 jours, pour tous ! Et comme on vous voit venir avec votre mauvaise foi habituelle, on vérifiera que vous ne ferez pas semblant de changer en reprenant le même mot de passe que la dernière fois, et que la pénultième fois…

Et c’est ainsi que chacun a sorti son petit jeu de contre-mesures de restrictions en choisissant de concaténer leur mot de passe de base avec, allez, disons le numéro du mois, voire celui de l’année en cours, ou même simplement le numéro « 2 » puis 3 mois plus tard en itérant, encore et encore.

On en connaît cependant qui ont essayé de jouer le jeu en inventant un mot de passe entièrement original tous les 3 mois, et en essayant de le retenir. Mais ça n’a pas très bien marché… À présent, si vous avez besoin d’assistance pour réinitialiser votre mot de passe, demandez-leur de l’aide, car eux connaissent le processus par cœur, à force de l’utiliser !

 

Des limitations de l’être humain

Évidemment, le fond du problème dans tout ça, c’est que les mots de passe sont destinés aux êtres humains. Or notre lente évolution n’a pas été guidée par les problématiques de mot de passe. Ce qui fait qu’on n’est pas doué pour ça.

D’abord on n’a aucune imagination quand il s’agit de créer un mot de passe. On réfléchit, on se concentre, on s’applique quelques minutes, mais on n’arrive pas à sortir beaucoup mieux que le prénom du gamin ou le nom du chat. J’en connais même qui après avoir épuisé les prénoms de leur entourage sont passés aux 2e prénoms d’état civil, puis aux 3e… Ressource vite épuisée.

Ensuite, il faut être honnête : nous n’avons pas les capacités cognitives de retenir plus de quelques mots de passe. Quand on les utilise tous les jours, on peut certes en mémoriser beaucoup, mais dès que la fréquence d’utilisation diminue, nos limites sont rapidement atteintes. En entreprise, c’est au retour des vacances, devant son écran de connexion qu’on s’en aperçoit vraiment.

Voilà, en gros, on arrive à se remémorer une dizaine de mots de passe.

Au dernier recensement, j’utilise personnellement des mots de passe sur plusieurs centaines de sites et je dois être dans la moyenne. Alors oui, il est devient pragmatique d’utiliser le même mot de passe partout.

Bien sûr, on ferait mieux d’utiliser un des gestionnaires de mot de passe du marché, comme ceux fourni de base sur iOS et Android, et leur fonctionnalité de génération aléatoire, mais honnêtement, qui connaît l’existence de Keypass ou Bitwarden en dehors des milieux informés de l’IT ?

 

Non, je ne prêche pas dans le désert

Toutes ces considérations, des gens éminemment plus sérieux que moi les avancent.

Elles sont évoquées par le GCHQ britannique (publication) dès 2015.

Elles figurent dans le recommandations du NIST américain (chapitre 5.1.1.2) de 2017.

Microsoft a même retiré l’expiration des mots de passe de ses préconisations en 2019 (post).

Elles sont reprises par le FBI (article) en 2020.

 

Que faire alors ?

Le sujet mérite bien sûr plus qu’une courte conclusion d’un article de blog.

Le point essentiel, c’est de maximiser l‘entropie des mots de passe. En ce moment, ça passe par des mots de passe très longs.

Les préconisations actuelles pour les utilisateurs reposent sur des principes simples :

• ne pas réutiliser le même mot de passe (du moins pour les sites sécurisés)
• ne pas chercher à inventer un mot de passe, mais faire confiance à un programme (les gestionnaires de mots de passe, les navigateurs et les sites spécialisés offrent leur service)
• utiliser des mots de passe non seulement originaux, mais aussi très longs
• noter les mots de passe et les stocker dans un endroit protégé par un vrai mot de passe (gestionnaire logiciel de mots de passe, carnet dans un coffre-fort physique)
• changer de mot de passe dès qu’on sait qu’il a fuité sur Internet.

Avec une telle stratégie, plus besoin d’essayer de retenir des centaines de mots de passe, ni d’utiliser des mots de passe simples ou faussement complexes, ni d’utiliser les mêmes partout. Il reste une poignée de mots de passe qu’il faut se remémorer. Et c’est là qu’interviennent des méthodes efficaces pour générer des mots de passe qu’il sera faciles à retenir. On trouve sur internet des sites étrangement efficaces (malheureusement souvent payants). On appelle ça une « politique personnelle de mots de passe ». Évidemment, chacun la sienne, et interdiction de la divulguer à quiconque !

On peut aussi appliquer la méthode des mots sans lien entre eux, popularisée par XKCD : se choisir plusieurs mots courants au hasard. Elle présente des limitations, mais aussi des avantages évidents par rapport à « Lulu186 » ou « Kev!ndu59 ». Elle est d’ailleurs recommandée par le gouvernement britannique.

Et préparez-vous à ce que ces recommandations changent !

 

Les sites doivent s’adapter en conséquence

Du côté des sites, il faut faciliter l’adoption de ces nouvelles bonnes pratiques :

• mettre l’accent sur la longueur des mots de passe et autoriser beaucoup plus que 12 ou 16 caractères
• arrêter d’imposer des règles de complexité inutiles, mais autoriser le caractère « espace » pour séparer les mots
• ne plus obliger les utilisateurs à changer leur mot de passe sans raison
  vérifier la complexité en temps réel
• ne plus empêcher le copier/coller car c’est incompatible avec l’utilisation d’un coffre-fort

En complément, les sites doivent mettre en œuvre des mesures d’accompagnement :

• détecter les attaques (force brute, password spraying, CSRF)
• prendre en compte le contexte de l’utilisateur et le risque associé
• interdire l’utilisation de mots de passe triviaux (i.e. contenant des informations personnelles)
• vérifier auprès des bases de données accessibles sur internet si le mot de passe a déjà fuité
• obliger l’utilisateur à changer son mot de passe lorsqu’une fuite est constatée
• informer l’utilisateur de tout événement pouvant affecter sa sécurité (demande de réinitialisation du mot de passe, authentification depuis un nouvel équipement, échecs répétés, etc.)

Pour mettre en œuvre cette nouvelle stratégie 2.0 de façon efficace, pérenne et complète, le plus simple est de recourir à des services spécialisés dans les mécanismes d’authentification des utilisateurs, qui ne font que ça, et qui peuvent assurer une sécurité pointue, par l’exploitation des protocoles de délégation OpenID Connect ou SAML.

En faisant ce choix stratégique, on sort la question de la sécurité de l’authentification du périmètre historique de l’artisanat pour la confier aux mains des experts. On rationalise, on rassure, et valorise son image auprès du grand public. Songez à l’image dramatique que peut laisser auprès du public la fuite de données d’une entreprise, à présent que la réglementation oblige à en faire la divulgation.

Petite anecdote finale. Adopter cette nouvelle stratégie permettra d’éviter cet exemple d’amateurisme qui est arrivé à un ami : un site commercial lui avait refusé son nouveau mot de passe en réclamant un caractère spécial, et quand il en a voulu en ajouter un, le site lui a opposé que les caractères spéciaux étaient interdits (je suppose qu’il a tenté un caractère trop spécial pour le goût du site, mais ça reste un joli exemple de Catch-22).

 

Auteur : Marc (Directeur technique)