Par Pierre Nobis  | p.nobis@cursus.edu

La fin des mots de passe

Créé le samedi 30 mars 2013  |  Mise à jour le mercredi 1 mai 2013

Recommander cette page à un(e) ami(e)

La fin des mots de passe

La plupart des services en ligne requièrent une authentification à l'aide d'un identifiant et d'un mot de passe. Cette procédure routinière fait partie intégrante de notre quotidien aussi bien professionnnel que personnel.

Les mots de passe visent tout d'abord à sécuriser l'accès physique à nos ordinateurs avant même de se préoccuper des menaces potentielles liées à nos usages numériques sur le Web. Plusieurs conseils sont généralement prodigués en la matière comme la protection (toute relative) du BIOS au moment du démarrage de l'ordinateur, la restriction (également toute relative) de l'accès au niveau de la session du système d'exploitation (ne pas abuser du compte ADMIN notamment lors d'une simple session de navigation sur Internet), le verrouillage de l'écran de veille ou encore l'ajout d'un mot de passe pour accéder au client logiciel de messagerie (par exemple Thunderbird). Bien évidemment, la multiplication des mots de passe rend impossible leur mémorisation et incite les usagers à recourir aux mêmes séquences de caractères, l'empan mnésique (mémoire à court terme) de l'être humain étant en effet réduit, selon la mesure moyenne traditionnellement retenue, à sept éléments (± 2).

Des pratiques numériques à risques

Une étude menée par l'Ifop en mars 2013 pour le compte de la société Dashlane (start-up française spécialisée dans la gestion des mots de passe) souligne « un important décalage entre les déclarations de prudence des internautes et leurs comportements réels ». Selon les résultats du sondage, un internaute français sur quatre déclare prendre moins de précautions dans sa vie en ligne que dans la vie réelle; seulement 9% des individus interrogés adoptent une politique de gestion des mots de passe sécurisée. Plus d'un jeune sur deux ne respecte pas non plus les règles élémentaires de sécurité de navigation sur les réseaux numériques. Une publication controversée du Credoc estimait en 2009 que plus de 200 000 identités sont usurpées en France chaque année. Fellowes, société d'accessoire de bureau et commanditaire de la précédente enquête, annonce pour 2012, à l'occasion d'un autre sondage (CSA), le chiffre de 400 000.

Dans ses prédictions mondiales du secteur des Technologies, Médias et Télécommunications (TMT) pour l'année 2013, le cabinet d'audit Deloitte confirme la très faible sécurité générale des mots de passe : plus de 90% des mots de passe choisis par les utilisateurs seront vulnérables au piratage. Selon Deloitte, citant une étude de Mark Burnett (Xato), parmi un échantillon de 6000 000 de combinaisons, les 10 000 sésames les plus communs représentent 98,8% des utilisateurs. Le souci majeur semble être celui de la ré-utilisation : l’utilisateur moyen dispose en effet de 26 comptes protégés par mot de passe, mais seulement de cinq combinaisons différentes.

Les différentes attaques

Comme le précisent Florent Chabaud et Robert Longeon, auteurs d'un module d'autoformation à la problématique de gestion des mots de passe sur le Portail de la Sécurité informatique, il existe plusieurs formes de craquage :

  • Craquage par force brute (recherche exhaustive de toutes les combinaisons)
  • Craquage par dictionnaire (mots connus)
  • Craquage par compromis temps/mémoire
  • Attaques par ruse (ingénierie sociale, hameçonnage, interception des communications, capture des frappes clavier...)

L'étude du cabinet Deloitte indique que les progrès dans le domaine du hardware facilitent désormais le travail des pirates. Ces derniers n'ont même plus réellement besoin de machines performantes grâce à la technique du crowd-hacking permettant à plusieurs individus de répartir et segmenter l'attaque via un parc important de machines dotées de capacités plus modestes. En outre, l'usage croissant de terminaux mobiles notamment tactiles ne facilitent pas la saisie de séquences complexes de caractères. 

Les gestionnaires de mots de passe : une vraie fausse bonne idée ?

Plusieurs solutions logicielles permettent d'assurer une connexion sécurisée automatisée aux différents services auxquels on est abonnés (webmails, réseaux sociaux, librairies en ligne...). Fonctionnant en général comme des coffres-forts virtuels, les applications de ce type vous permettent d'enregistrer vos différentes combinaisons et autres informations sensibles dans une base de données cryptées  accessible uniquement via un seul mot de passe complexe qu'il vous appartiendra de déterminer et de mémoriser. C'est le cas par exemple des outils propriétaires non-payants (version de base) LastPass et Dashlane ou du logiciel libre et gratuit KeePass. Sur France Info, on peut d'ailleurs écouter une présentation de Dashlane par Emmanuel Schalit , PDG de la société :

Ces gestionnaires garantissent de manière indéniable un confort de navigation car l'utilisateur n'a plus à saisir de multiples identifiants et mots de passe. En revanche, ils ne garantissent pas pour autant la sécurité des sites et plateformes qui, à en juger par les actualités récentes, ont "tendance" à laisser échapper par milliers, voire par millions des données à priori sécurisées comme les mots de passe.

Ce constat rappelé sur ZDNet par Pierre Caron, expert en cybercriminalité, l'amène à évoquer « l'obsolescence des systèmes d'authentification basés sur les mots de passe » et à privilégier d'autres solutions comme les fastwords, suite aux travaux de Markus Jakobsson et Ruj Akavipat. Selon l'étude de Deloitte déjà citée, l'avenir résiderait dans l'authentification multi-facteurs : "[...] l'idée est que, même si un hacker est susceptible de découvrir votre nom d'utilisateur et votre mot de passe, il est peu probable qu'il connaisse également votre numéro de téléphone portable ou qu'il ait une copie de votre empreinte digitale".

On pourra enfin utiliser une solution plus prosaïque, celle de la grille imprimée composée d'un nombre important de caractères, à partir de laquelle on détermine un mode d'utilisation spécifique et secret. Pour les plus inventifs d'entre nous, ce sera le recours à un algorithme de son cru permettant de créer des mots de passe adaptés à chaque situation donnée.

Sources

Ifop/Dashlane : La vigilance des français face aux risques du numérique

CSA/Fellowes : État des lieux de l'usurpation d'identité en 2012

Xato : 10,000 Top Passwords

KeePass : http://keepass.info/

PC Astuces : Gérer ses mots de passe en toute sécurité (tutoriel LastPass)

France Info : Des applis pour gérer ses mots de passe (présentation de Dashlane)

Illustration : Shutterstock, Maxx-Studio, Login and password as a combination system access. 3d

Poster un commentaire

Commentaires

0 commentaire