Quoi de mieux qu’un retour aux sources pour fêter la première année de ce blog ?
Le 1er septembre 2016, il était question d’une faille critique chez un gestionnaire de mots de passe.
Ces derniers jours, 711 millions d’emails sont envoyés pour essayer de propager un cheval de troie, visant à collecter des identifiants et mots de passe en grand nombre.
Alors commençons à réfléchir, en essayant une approche un peu différente…
Un mot de passe, c’est tout simple… en apparences
Pour essayer de comprendre pourquoi les avis divergent tant, pourquoi les GAFAs ont toutes leur projet de fédération des identités, pourquoi encore aujourd’hui, la majorité des utilisateurs, clients, internautes, informaticiens (sic), et votre sympathique voisin n’est toujours pas bien protégée par un mot de passe.
Regardons au delà du mot :
Pirates et utilisateurs
Ce sont deux groupes qui ont des intérêts parfaitement opposés et un objectif commun : le mot de passe. Les uns cherchent à le deviner, les autres à s’en souvenir et le deviner aussi en cas d’oubli. Tous préfèrent la simplicité, c’est humain : pas de récompense = pas d’effort, une contrainte = un contournement.
Au passage, ça fait un an on se connaît un peu mieux n’est ce pas ? Donc ça ne vous surprend plus si je me permet de parler sans ambages de récompense intellectuelle ou de généraliser car il y a près de 3,8 milliards d’internautes dans le monde, 4,9 milliards de smartphones… quel pourcentage en estimez-vous être bien protégé et pleinement informé ? Appliquez ensuite un des principes fondamentaux de la sécurité : la sécurisation d’un système équivaut à celle du plus faible de ses composants. Vous comprendrez alors que même avec un mot de passe fort, vous êtes exposé via la relation de confiance que vous avez avec un correspondant, un site web, un hébergeur qui abrite des centaines de composants et du personnel. Risque systémique d’un monde connecté.
Le fait est que l’utilisateur à quelque fois une motivation perçue comme légitime d’enfreindre les bonnes pratiques, le mot de passe est disruptif il empêche d’atteindre un but essentiel : se connecter et aller enfin faire ce qui est intéressant, atteindre la valeur, le service. Et si on regarde de l’autre côté, l’entreprise, l’hébergeur, la génération de mot de passe à obligation de rendre cette étape forte et sélective entre l’utilisateur et le pirate.
La formation, le conseil d’accompagnement à ses limites, donc il n’est pas raisonnable de considérer que c’est de la faute de l’utilisateur seul si le pirate à gagné. Le nombre de comptes que nous avons, d’une dizaine à plusieurs centaines, et autant de mots de passe ne sont pas gérables tout simplement. Des auxiliaires comme les coffres forts numériques, les trousseaux virtuels, le calepin rangé sous clé permettent, en attendant mieux, des pratiques plus sures, mais pour cela il faut être technophile et informé.
Les pirates eux, s’adaptent, se forment, se professionnalisent toujours plus nombreux car les gains même faible unitairement bénéficient d’effets de levier : le volume, la diversité, la fréquence… Exemple les data breach (fuite massives d’information), les paiements en ligne, l’IOT et la promesse d’une infinité d’objets connectés. Sans parler des revenus directs, certes plus rares mais franchement plus élevés lorsque ce sont des organisation qui sont à l’oeuvre et pas un individu isolé.
Entreprise et hébergeurs
Quelquefois confondus, les entreprises et les hébergeurs sont sous la pression bienveillante des états, autorités de contrôle, normes et règlements.
C’est nécessaire pour établir des pratiques de sécurité avec une base commune raisonnable, car vu le nombre d’utilisateurs connectés, le rush vers le digital, la masse et la valeur des données, le stress commercial et financier que subissent les organisations ne laisse pas vraiment de place à autre chose que le business. Pourtant, il est reconnu qu’être victime d’un incident de sécurité c’est mauvais pour le business. Ça peut être un problème ponctuel mais qui fait un bad buzz, ou plus grave c’est alors publié officiellement… (et on en reparlera après le RGPD).
Donc à présent, les entreprises et hébergeurs en plus d’être contraints et contrôlés pour « bien » mener leurs activités (SOX, HDS, Solvency, HSE..), le sont aussi pour « bien » protéger les données et les intérêts de leurs clients.
Des directives strictes, des autorités de contrôle investies d’un réel pouvoir de sanction, des associations de consommateurs, des ressources de l’entreprise en quantité finie… et des pirates on les aurait presque oubliés. Voilà ce qu’il faut prendre en compte pour mettre en oeuvre une gestion des risques de sécurité informatique, une politique de sécurité, des mesures et solutions déclinées jusqu’à ceci:
Une mire avec un nom d’utilisateur, un mot de passe à la complexité contrainte, et toujours plus de mots.
La génération de mots de passe, un vrai potentiel d’amélioration
Si on considère que chaque acteur impliqué dans les mots de passe à ses propres objectifs, et qu’ils sont pas ou peu compatibles entre eux, si on considère qu’on ne se passera pas à court terme des mots de passe, le seul espoir résident dans une évolution des méthodes de génération et de gestion des connexions et des identités.
Dès aujourd’hui il existe des auxiliaires (déjà cités), des solutions « fortes » faisant intervenir un second facteur d’authentification tel un SMS, un code à usage unique, un certificat ou une carte à puce, la biométrie.
Le principal problème est le coût, croissant avec l’efficacité et la simplicité de la méthode utilisée. Ensuite l’adoption, la force de l’inertie dans un système complexe à faire évoluer.
J’exclue volontairement la résistance au changement partant du principe que tout utilisateur est 110% prêt à changer pour autre chose que le mot de passe. A ceci près qu’une des meilleures pistes actuellement est la biométrie, avec le capteur d’empreintes, du réseau veineux, ou la caméra frontale, et qu’il faut accepter d’être instrumentalisé dans la gestion de notre propre identité. Et si on parle d’utiliser le rythme de votre frappe au clavier, le rythme cardiaque comme signature, que vont imaginer les pirates pour obtenir une connexion…? toujours partant ?
Les solutions simples et pragmatiques côté clavier
Les règles mnémotechniques, les méthodes de génération mentales de mots de passe forts existent, voilà une illustration assez connue:
Ou bien encore « choisissez votre mot de passe en retenant la première lettre de chaque mot d’une phrase », « construisez vos mots de passe avec un algorithme » en espérant ne pas l’oublier ou qu’il ne soit pas découvert au premier mot de passe capturé.
Les solutions simples côté ordinateur
La plus simple, c’est le duo utilisateur – mot de passe, lequel doit être stocké et protégé dans les règles de l’art. C’est le moins cher à implémenter, donc toute autre solution implique un effort ou un compromis de complexité – facilité.
Les autres solutions
Il y en a des dizaines…
Certaines visent à devenir un standard de fait. C’est là où Google, Amazon, Facebook, Microsoft mènent une guerre d’influence pour détenir votre identité et être le passage obligé pour l’authentification sur d’autres services. N’avais vous jamais cliqué sur « se connecter avec mon compte Facebook »?
FIDO (https://fidoalliance.org) se pose en standard au sens normatif, pour une authentification reposant sur un format ouvert et commun à tout éditeur souhaitant monter à bord. Ou encore SQRL (https://www.grc.com/sqrl/sqrl.htm), un travail de recherche par Steve Gibson.
Et s’il y a un marché, il y a une offre: les spécialistes de la connexion et la gestion des identités (IAM) sont relativement nombreux : https://onelogin.com https://nymi.com https://www.noknok.com etc… Se pose alors quelques questions autour de la pérennité, la confiance, la délégation : si vous déployez une solution pour 3 millions de client, pour 15.000 collaborateurs, que se passe-t-il en cas de défaillance du fournisseur ? voir https://www.getclef.com par exemple.
Conclusion nous sommes dans une période transitoire
Les compromis d’ergonomie contre sécurité, d’acceptation de contrainte vs facilité ne sont pas prêt de disparaître. Il faut donc pour le moment ne pas hésiter à investir dans une stratégie de gestion des identités comprenant l’authentification, la gestion des droits et privilèges avec traçabilité, ainsi que des mécanismes de détection.
Que ce soit dans un système informatique interne, ou un site internet, blinder la porte avec une serrure cinq points (c.a.d. un mot de passe long et fort complexe) reste la réponse minimale, mais pas nécessairement la seule ou la meilleure.
Apprendre à profiler les utilisateurs, comme le font les GAFAs, permet de détecter les fraudes et les intrusions (les pirates). Il est alors possible de déployer des mesures d’escalade de sécurité qui vont du gentil message « c’est bien vous ? » à la suspension du compte « accès frauduleux détecté, pour votre sécurité ».
De même, il est nécessaire de s’assurer de l’identité ou du bon niveau d’accréditation lors de phases critiques d’un enchaînement (workflow) . Amazon demande de se re-signer pour gérer les commandes, les banques utilisent 3DSecure, donc le principe d’un « stop challenge » en cours de route est parfaitement accepté et rassurant. Cette stratégie permet de baliser le parcour utilisateur de jalons (connexion, enchaînement des écrans, des saisies, analyse comportementale, challenge supplémentaire ponctuel) et de forger une identité, de la contrôler sur la durée.
Face à l’énergie déployée par les attaquants, comme toujours dans l’industrie de la sécurité, il faut déployer tout un ensemble de mesures à la fois pour un résultat efficace, l’intelligence artificielle en sera la clé de voûte.
Mathieu Lubrano / Blog 