Au dƩbut Ʃtait le mot de passe
Le besoin de protĆ©ger les accĆØs aux ordinateurs est arrivĆ© dans les annĆ©es 1960 lorsque les centres de calculs ont commencĆ© Ć ĆŖtre partagĆ©s.
Le mot de passe Ć©tait nĆ©. Il Ć©tait destinĆ© Ć durer longtemps, longtemps, longtemps.
L’idĆ©e en tant que telle n’est pas neuve. Elle remonte Ć la nuit des temps : Ć l’AntiquitĆ©, les gardes en demandaient dĆ©jĆ un pour laisser entrer les personnes dans une enceinte sĆ©curisĆ©e.
Un secret difficile Ć garder
Il a suffi Ć Ali Baba de se cacher dans un arbre pour entendre Ā«Ā SĆ©same ouvre-toiĀ Ā» et qu’il se voit ouvrir la porte de la grotte aux trĆ©sors.
On le voit, le problĆØme du mot de passe, c’est qu’il s’Ć©vente facilement. Et si on en croit les films, c’est aussi qu’on peut le deviner (mĆŖme si dans la rĆ©alitĆ© c’est plus compliquĆ© que ce qu’on nous montre).
De plus le mot de passe se partage. De maniĆØre volontaire, comme dans ces bureaux oĆ¹ la liste des mots de passe de tout le service Ć©tait affichĆ© Ć l’entrĆ©e. Mais aussi involontairement, quand on le note sur un bout de papier soigneusement cachĆ© sous le clavier ou fiĆØrement attachĆ© Ć l’Ć©cran.
Cela a conduit Ć la dĆ©finition de rĆØgles de bonne hygiĆØne : un mot de passe diffĆ©rent pour chaque service, dĆ»ment protĆ©gĆ©, que l’on ne communique Ć personne et que l’on choisit robuste (long et si possible unique dans le monde).
Un secret pas facile Ć retenir
Avec la multiplication des services internet, l’application des bonnes pratiques nous oblige, en tant qu’utilisateurs, Ć crĆ©er des dizaines, voire maintenant des centaines de mots de passe.
Une premiĆØre difficultĆ© se prĆ©sente : les humains ne savent pas imaginer des mots de passe originaux. On retombe toujours sur des Ć©lĆ©ments de notre entourage : notre famille, nos animaux, nos loisirs. Et Ƨa rend Ć©videmment le travail plus facile aux pirates.
Ensuite, retenir 100 mots de passe de 16 caractĆØres tous complĆØtement diffĆ©rents nous est physiquement impossible.
Des petits malins ont pensĆ© trouver la solution miracle. Ils ont Ć©mis la bonne idĆ©e de travailler sur un mot de passe racine dĆ©clinĆ© pour chaque service en en ajoutant le nom Ć la fin. Ce bruit que vous entendez, c’est le ricanement collectif de tous les pirates du monde, qui sont d’ailleurs secrĆØtement vexĆ©s d’ĆŖtre pris pour des idiots.
Les gestionnaires de mot de passe pour s’y retrouver
S’il n’est pas humain de se souvenir de 100 mots de passe, c’est un jeu d’enfant pour un ordinateur.
Les gestionnaires de mots de passe sont faits pour Ƨa. Ils gĆ©nĆØrent des mots de passe trĆØs rĆ©sistants, les stockent et les saisissent mĆŖme Ć notre place.
Les mots de passe crĆ©Ć©s sont conformes aux bonnes pratiques : longs de plusieurs dizaines de caractĆØres et complĆØtement originaux. Bonne chance donc aux pirates pour essayer des les deviner, mĆŖme en appliquant toutes les rainbow tables aux bases fuitĆ©es.
Il faut cependant que le service internet cible soit assez bien conƧu pour qu’on puisse utiliser un gestionnaire. On en trouve encore qui interdisent le copier/coller de mot de passe. Or c’est comme Ƨa que fonctionnent les gestionnaires. Comme personne ne va saisir Ć la main 64 caractĆØres alĆ©atoires, ce genre de site se retrouve avec un bon vieux secret Ć base de MĆ©dor ou des Rolling Stones.
D’autres sites imposent des contraintes Ć©tranges, comme cette institution financiĆØre de premier plan qui n’autorise pas de mots de passe de plus de 20 caractĆØres. Ce qui d’ailleurs est inquiĆ©tant Ć plus d’un titre (il n’est pas hashĆ© le mot de passe ?).
Un secret toujours vulnƩrable
Avec un gestionnaire, on applique Ć la lettre toutes les recommandations sur les mots de passe.
Ces recommandations sont nƩcessaires, mais elles ne sont malheureusement pas suffisantes, car les pirates ont dƩployƩ leur arme ultime : le phishing.
Un mail bien tournĆ©, avec un lien qui semble si innocent, et c’est la collecte assurĆ©e de magnifiques mots de passe.
Et on peut se raconter toutes les histoires que l’ont veut, tout le monde est une victime potentielle. MĆŖme les spĆ©cialistes en sĆ©curitĆ© les plus endurcis ne sont pas Ć l’abri (un esprit joueur a fait le test sur les participants Ć une confĆ©rence sur la cybersĆ©curitĆ©).
Donc malgrĆ© toutes les prĆ©cautions que l’on peut adopter, rien n’y fait, le mot de passe reste risquĆ©.
L’authentification forte Ć la rescousseĀ
Que le mot de passe ne soit pas la panacĆ©e, on l’a perƧu trĆØs rapidement.
Des spĆ©cialistes ont donc phosphorĆ© Ć l’Ć©poque sur le problĆØme et sont arrivĆ©s au constat que pour ĆŖtre authentifiĆ©, on pouvait compter sur diffĆ©rents facteurs:
ā¢ ce que je sais (le mot de passe en est l’exemple le plus parfait)
ā¢ ce que je suis (mes caractĆ©ristiques biomĆ©triques ou mon comportement)
ā¢ ce que j’ai (le badge que l’on m’a confiĆ© pour entrer dans un bĆ¢timent par exemple)
Une authentification est faible si elle ne met en jeu qu’un seul facteur.
Pour une authentification plus fiable, on doit au moins combiner plusieurs facteurs. On parle alors de MFA (Multi-factor authentication).
Pendant longtemps, les archĆ©types de l’authentification MFA ont Ć©tĆ© la carte Ć puce et la calculette Ć mot de passe tournant. Dans les deux cas, il faut fournir un code PIN qui dĆ©bloque le dispositif que l’on a physiquement en main et qui est connu par le service protĆ©gĆ©.
MFA est-elle une authentification forte ?
Une authentification forte doit reposer sur plusieurs facteurs, mais cette seule qualitĆ© n’est pas suffisante.
On peut d’ailleurs se demander ce qui constitue une authentification forte. Et internet n’est pas d’accord sur le sujet. La confusion est souvent faite entre MFA et authentification forte, car historiquement les deux notions coĆÆncidaient. Car on parle bien de deux concepts diffĆ©rents :
– l’authentification forte fait rĆ©fĆ©rence Ć un niveau de sĆ©curitĆ©
– la MFA est une description technique d’un mĆ©canisme
Il fut un temps oĆ¹ jouer sur plusieurs facteurs diffĆ©rents donnait effectivement une garantie sur le niveau de sĆ©curitĆ© de l’authentification.
Mais avec le dĆ©veloppement des techniques arrivant Ć rĆ©cupĆ©rer plusieurs facteurs, ce n’est dĆ©sormais plus le cas.
ConsidĆ©rons la calculette Ć mot de passe tournant (OTP). C’est de la MFA puisque j’ai besoin d’un code PIN (ce que je sais) pour dĆ©bloquer un dispositif physique (ce que j’ai) qui gĆ©nĆØre un mot de passe Ć durĆ©e de vie limitĆ©e, que je saisis dans le champ mot de passe de mon service internet, qui le vĆ©rifie Ć rĆ©ception.
Or ce mĆ©canisme MFA est facilement dĆ©fait par les proxy de phishing du type Evilginx 2 qui interceptent en temps le mot de passe saisi par l’utilisateur puis alertent un pirate pour une exploitation immĆ©diate.
Il l’est aussi par le social engineering, avec l’arnaque WhatsApp OTP (un message prĆ©tendant venir du support technique signale un dysfonctionnement qui ne peut ĆŖtre corrigĆ© qu’aprĆØs une vĆ©rification de l’identitĆ© consistant Ć envoyer le code OTP, qui est promptement utilisĆ© par l’attaquant pour se connecter en direct).
On est donc dans le cas d’une MFA qui ne peut plus ĆŖtre considĆ©rĆ©e comme authentification forte.
Qu’est-ce qu’une authentification forte ?
On ne peut pas se placer sur un plan technique pour dĆ©finir ce qui fait qu’une authentification est forte, car la technique Ć©volue.
Une dĆ©finition que je trouve intĆ©ressante est qu’une authentification forte offre une garantie de rĆ©sistance aux attaques.
Car c’est ce que l’on recherche avec l’authentification forte. Qu’elle se fasse d’une maniĆØre ou d’une autre importe peu, Ć condition qu’on ait des assurances sur sa robustesse.
Avec une telle dĆ©finition, les calculettes OTP Ć©taient considĆ©rĆ©es comme fortes il y a 10 ans, mais plus maintenant. Or ce n’est pas la technique qui a changĆ©, ce sont les mĆ©thodes d’attaque.
De plus, on ne peut que se baser sur le moyen de vĆ©rifier l’identitĆ© pour se prononcer sur la robustesse de l’authentification. On doit aussi considĆ©rer le contexte global et en particulier le processus d’attribution et de fourniture de ce moyen. Si un moyen d’authentification est interceptĆ© lors de son envoi, l’authentification en tant que telle est forte, mais l’identitĆ© n’est pas garantie.
C’est pour cela que les normes eIDAS ou NIST sont plus globales et parlent de niveaux garantie sur l’identitĆ© rĆ©elle de la personne, en insistant sur les processus de vĆ©rification en amont.
Quelques dispositifs d’authentification forte
On dĆ©veloppe dans un autre article ce qui fait Ć notre sens qu’un moyen d’authentification est fort ou pas, du moins dans le contexte actuel.
Mais comme on a affirmĆ© que la calculette OTP n’en faisait pas partie, il n’est pas inutile de donner quelques exemples de dispositifs robustes.
La carte Ć puce a longtemps Ć©tĆ© utilisĆ©e dans les contexte sensibles. C’est toujours le cas, que ce soit avec le mĆŖme format de carte, ou que le principe en ait Ć©tĆ© repris au sein de clĆ©s USB (faisant office de lecteur et de carte dans un mĆŖme dispositif). Son utilisation est cependant circonscrite au poste de travail car il est difficile de l’Ć©tendre aux Ć©quipements modernes que sont le tĆ©lĆ©phone et la tablette.
La norme FIDO2 est capable de rĆ©aliser des authentifications fortes, notamment lorsqu’elle est appliquĆ©e Ć des clĆ©s physiques. Les clĆ©s FIDO2 sont d’ailleurs plus souples que les cartes Ć puce car la compatibilitĆ© NFC les ouvre aux Ć©quipements mobiles.
On notera que certaines clĆ©s USB sont compatibles Ć la fois avec les normes de type puce embarquĆ©e et avec FIDO2.
2FA comme complƩment au mot de passe
Si la MFA est une authentification Ć plusieurs facteurs, dans la rĆ©alitĆ©, on se cantonne la plupart du temps Ć deux facteurs (faire une vĆ©rification d’empreinte Ć partir d’un dispositif enrĆ“lĆ© confirmĆ©e par un code PIN, Ƨa beaucoup).
Mais alors si MFA c’est finalement une authentification Ć deux facteurs, pourquoi avoir introduit la notion de 2FA (authentification Ć 2 facteurs), que l’on peut comprendre aussi comme une authentification Ć deux facteurs ?
La nuance vient du traitement des deux facteurs.
En MFA, les deux facteurs font partie intĆ©grante de la mĆŖme opĆ©ration d’authentification, avec un niveau de sĆ©curitĆ© global.
La 2FA, c’est l’ajout un facteur Ć une cinĆ©matique d’authentification par mot de passe. On distingue donc deux Ć©tapes indĆ©pendantes :
- une premiĆØre authentification par mot de passe, rĆ©alisĆ©e de maniĆØre classique
- puis la vĆ©rification d’un facteur supplĆ©mentaire, souvent liĆ© au tĆ©lĆ©phone mobile par saisie d’un code OTP ou par confirmation sur une app
De fait, on traduit de plus en plus 2FA par 2-step vĆ©rification, c’est-Ć -dire une vĆ©rification en deux Ć©tapes.
On a donc deux authentifications, dont l’addition ne rĆ©sulte pas dans de la MFA et pas toujours dans une authentification forte.
2FA n’est souvent pas une authentification forte mais reste indispensable
Si on s’en tenait Ć une dĆ©finition de l’authentification forte basĆ©e sur l’utilisation de plusieurs facteurs, 2FA serait qualifiĆ©e de forte.
Mais en considĆ©rant qu’une authentification forte rĆ©siste aux attaques, le paysage est changĆ©. En d’autres termes, deux authentifications faibles, c’est mieux qu’une seule, mais Ƨa ne constitue pas une authentification forte.
Pour un attaquant, il ne s’agit pas de dĆ©faire un mĆ©canisme robuste, mais de faire tomber l’un aprĆØs l’autre deux mĆ©canismes faibles.
Il pourra ainsi relativement aisƩment :
ā¢ rĆ©cupĆ©rer le mot de passe de la victime par du phishing
ā¢ puis lui envoyer un message WhatsApp pour lui demander un code OTP
L’intĆ©rĆŖt de 2FA, c’est quand mĆŖme que Ƨa rend l’attaque plus complexe, on a donc un niveau de sĆ©curitĆ© meilleur qu’avec le simple mot de passe.
Un autre intĆ©rĆŖt de 2FA, c’est de rendre possible l’authentification adaptative, c’est-Ć -dire une modulation de la cinĆ©matique en fonction du risque associĆ© au contexte.
2FA pour l’authentification adaptative
Le principal avantage du mot de passe, c’est sa facilitĆ© d’utilisation. Car dĆØs lors que l’on ajoute un facteur supplĆ©mentaire, les contraintes s’accumulent. Il faut avoir l’Ć©quipement Ć proximitĆ©, aller le chercher sinon, perdre du temps prĆ©cieux Ć attendre qu’il s’active ou Ć lancer une app.
Cette perte d’ergonomie est antinomique de l’expĆ©rience utilisateur souhaitable pour des services digitaux. DĆ©jĆ qu’avec un mot de passe le taux d’abandon est Ć©levĆ©, avec ces contraintes supplĆ©mentaires il atteint des sommets.
Pour contrer ce phĆ©nomĆØne, on adapte en temps rĆ©el le moyen d’authentification au contexte de l’utilisateur et au risque associĆ©. Depuis le poste de travail habituel, dans des conditions normales, un simple mot de passe suffit, voire du passwordless. Si une configuration inhabituelle est dĆ©tectĆ©e, comme un accĆØs depuis un pays Ć©tranger ou depuis un nouveau poste, une confirmation supplĆ©mentaire est demandĆ©e sous la forme d’un facteur additionnel.
On entre alors exactement dans la dĆ©finition du 2FA, mais qui doit s’appuyer sur des moyens connus et maĆ®trisĆ©s par l’utilisateur : le tĆ©lĆ©phone ou le mail la plupart du temps.
2FA plus facile pour l’utilisateur
Mettre en place de la vraie MFA ou une vraie authentification forte implique de dĆ©ployer des mesures contraignantes spĆ©cifiques (matĆ©riel Ć dĆ©ployer, procĆ©dures d’enrĆ“lement complexes). Elles ne se justifient que pour certains cas d’usage oĆ¹ l’utilisateur a bien conscience de l’intĆ©rĆŖt du dispositif.
Mais cela ne doit pas laisser le reste des services internet vulnĆ©rable Ć des attaques basiques.
2FA n’a pas toujours les caractĆ©ristiques de l’authentification forte, mais elle Ć©lĆØve quand mĆŖme le niveau de sĆ©curitĆ© de maniĆØre substantielle. Son dĆ©ploiement par Goggle ou Microsoft a vu une chute trĆØs significative des intrusions.
Il est donc une bonne idĆ©e d’encourager les utilisateurs Ć employer une authentification 2FA, Ć condition qu’ils puissent le faire avec facilitĆ©.
C’est dĆ©sormais le cas avec la norme TOTP qui est implĆ©mentĆ©e dans les app de Google ou de Microsoft pour gĆ©nĆ©rer un code Ć usage unique.
Que se passera-t-il quand tous les services seront 2FA ou MFA ?Ā
On est encore dans une phase oĆ¹ le mot de passe est prĆ©valent et oĆ¹ toute avancĆ©e vers des authentifications plus sĆ©curisĆ©es est la bienvenue.
Les contraintes que cela engendre pour les utilisateurs sont encore gƩrables, du fait de la faible diffusion de la 2FA et de la MFA.
Mais il faut dĆØs maintenant se prĆ©parer Ć un monde oĆ¹ un nombre croissant d’authentifications requĆ©ront un facteur supplĆ©mentaire et oĆ¹ les utilisateurs devront passer un temps considĆ©rable d’abord Ć retrouver quel facteur ils doivent saisir puis Ć faire les opĆ©rations.
Il est probable que l’on ait alors besoin d’un Ć©quivalent aux gestionnaires de mot de passe pour s’y retrouver dans tous les codes Ć saisir. D’ailleurs de nombreux gestionnaires actuels intĆØgrent des authentificateurs TOTP qui se chargent de tout.
Ou peut-ĆŖtre que tout le monde aura une clĆ© FIDO2 pour toutes les authentifications ?
Il faudra aussi penser Ć s’occuper de maniĆØre efficace de la perte du facteur supplĆ©mentaire. Avec un Google Authenticator ou une clĆ© FIDO2, il faut se rĆ©enregistrer auprĆØs de tous les sites.
Et le passwordless ?
Comme son nom l’indique, l’authentification passwordless se fait sans mot de passe.
C’est donc une authentification avec un seul facteur (de niveau donc faible), et ce facteur est de type Ā«Ā ce que j’aiĀ Ā» ou Ā«Ā ce que je suisĀ Ā».
L’intĆ©rĆŖt est double
ā¢ facilitĆ© pour l’utilisateur quand n’a plus Ć se souvenir de son mot de passe
ā¢ meilleure sĆ©curitĆ© lorsque la solution retenue est rĆ©sistante au phishing
Ce type d’authentification se fait actuellement essentiellement avec le tĆ©lĆ©phone, avec des fonctionnements de type push : on saisit un identifiant, puis il suffit de valider l’accĆØs sur une app.
Les clƩ FIDO sont aussi utilisables en passwordless (il faut alors appuyer sur la clƩ pour une vƩrification de prƩsence).
Avec le passwordless FIDO, on a le paradoxe d’avoir une authentification faible rĆ©sistante au phishing, plus sĆ©curisĆ©e qu’avec une authentification MFA de type OTP, considĆ©rĆ©e jusqu’Ć rĆ©cemment comme forte.
A mort le mot de passe !
AprĆØs des dĆ©cennies pendant lesquelles la disparition du mot de passe Ć©tait annoncĆ©e comme imminente, la prophĆ©tie s’accomplira-t-elle avec le passwordless ?
On peut l’espĆ©rer, car les conditions sont dĆ©sormais favorables : tout le monde a un tĆ©lĆ©phone avec des connexions internet Ć peu prĆØs permanentes.
Mais il manque toutefois encore un standard qui ferait que tout le monde aurait une app installƩe et que cette app soit compatible avec tous les sites.
S’il faut acheter un dispositif particulier ou installer une app diffĆ©rente pour chaque service internet, l’adoption du passwordless va ĆŖtre limitĆ©e.
Le mot de passe a donc peut-ĆŖtre encore une longue vie devant lui.
Finalement quelle authentification proposer ?
Avec l’Ć©clairage qui vient d’ĆŖtre apportĆ©, on comprend que le choix se situe pas entre entre MFA, 2FA et passwordless.
Il faut plutƓt considƩrer des ƩlƩments comme :
ā¢ le niveau de sĆ©curitĆ© attendu, avec des gradations d’authentification faible jusqu’Ć authentification forte
ā¢ l’expĆ©rience utilisateur
ā¢ les contraintes de logisitique.
Les questions de logistique ne sont pas neutres. L’ubiquitĆ© du tĆ©lĆ©phone n’est pas la solution Ć tous les problĆØmes, car il est compliquĆ© d’obtenir un niveau de sĆ©curitĆ© Ć©levĆ©. Une authentification forte robuste nĆ©cessite le dĆ©ploiement de dispositifs dĆ©diĆ©s.
Le point sur l’expĆ©rience utilisateur est essentiel, car on sait que si les utilisateurs ne perƧoivent pas de corrĆ©lation entre les efforts qui lui sont demandĆ©s et la criticitĆ© de ce qui est Ć protĆ©ger, ils sont trĆØs imaginatifs en termes de stratĆ©gies de contournement.
Si on souhaite tracer des grandes perspectives, on pourrait avancer :
ā¢ que pour un service critique, une authentification forte est Ć©videmment recommandĆ©e, mais qu’on devra parfois se contenter d’un niveau de sĆ©curitĆ© un peu moins Ć©levĆ©
ā¢ que pour un service oĆ¹ la sĆ©curitĆ© est importante, mais qui est peu utilisĆ©, on pourra passer en 2FA pour que l’authentification se fasse de maniĆØre simple
ā¢ que pour un service utilisĆ© souvent, on conseille une authentification adaptative, avec des Ć©lĆ©vations en 2FA selon le contexte
ā¢ pour le reste, le mot de passe reste l’option la plus adaptĆ©e. On pourra proposer du passwordless, mais actuellement uniquement en complĆ©ment
Pour finir, il faut garder Ć l’esprit que la mĆ©thode d’authentification ne fait pas seule le niveau de sĆ©curitĆ©. La logistique de son attribution et son recouvrement en cas de perte doivent ĆŖtre pensĆ©s en consĆ©quence car ils influent tout autant sur le niveau de sĆ©curitĆ© du systĆØme.
Auteur : Marc (Directeur technique)
