Le mot de passe, votre meilleur ennemi

Quoi de mieux qu’un retour aux sources pour fêter la première année de ce blog ?

Le 1er septembre 2016, il était question d’une faille critique chez un gestionnaire de mots de passe.

Ces derniers jours, 711 millions d’emails sont envoyés pour essayer de propager un cheval de troie, visant à collecter des identifiants et mots de passe en grand nombre.

Alors commençons à réfléchir, en essayant une approche un peu différente…

Un mot de passe, c’est tout simple… en apparences

Pour essayer de comprendre pourquoi les avis divergent tant, pourquoi les GAFAs ont toutes leur projet de fédération des identités, pourquoi encore aujourd’hui, la majorité des utilisateurs, clients, internautes, informaticiens (sic), et votre sympathique voisin n’est toujours pas bien protégée par un mot de passe.

Regardons au delà du mot :

Si on déplie la mindmap, c’est un peu plus compliqué (cliquez pour agrandir)

Pirates et utilisateurs

Ce sont deux groupes qui ont des intérêts parfaitement opposés et un objectif commun : le mot de passe. Les uns cherchent à le deviner, les autres à s’en souvenir et le deviner aussi en cas d’oubli. Tous préfèrent la simplicité, c’est humain : pas de récompense = pas d’effort, une contrainte = un contournement.

Au passage, ça fait un an on se connaît un peu mieux n’est ce pas ? Donc ça ne vous surprend plus si je me permet de parler sans ambages de récompense intellectuelle ou de généraliser car il y a près de 3,8 milliards d’internautes dans le monde, 4,9 milliards de smartphones… quel pourcentage en estimez-vous être bien protégé et pleinement informé ? Appliquez ensuite un des principes fondamentaux de la sécurité : la sécurisation d’un système équivaut à celle du plus faible de ses composants. Vous comprendrez alors que même avec un mot de passe fort, vous êtes exposé via la relation de confiance que vous avez avec un correspondant, un site web, un hébergeur qui abrite des centaines de composants et du personnel. Risque systémique d’un monde connecté.

Le fait est que l’utilisateur à quelque fois une motivation perçue comme légitime d’enfreindre les bonnes pratiques, le mot de passe est disruptif il empêche d’atteindre un but essentiel : se connecter et aller enfin faire ce qui est intéressant, atteindre la valeur, le service. Et si on regarde de l’autre côté, l’entreprise, l’hébergeur, la génération de mot de passe à obligation de rendre cette étape forte et sélective entre l’utilisateur et le pirate.

La formation, le conseil d’accompagnement à ses limites, donc il n’est pas raisonnable de considérer que c’est de la faute de l’utilisateur seul si le pirate à gagné. Le nombre de comptes que nous avons, d’une dizaine à plusieurs centaines, et autant de mots de passe ne sont pas gérables tout simplement. Des auxiliaires comme les coffres forts numériques, les trousseaux virtuels, le calepin rangé sous clé permettent, en attendant mieux, des pratiques plus sures, mais pour cela il faut être technophile et informé.

Les pirates eux, s’adaptent, se forment, se professionnalisent toujours plus nombreux car les gains même faible unitairement bénéficient d’effets de levier : le volume, la diversité, la fréquence… Exemple les data breach (fuite massives d’information), les paiements en ligne, l’IOT et la promesse d’une infinité d’objets connectés. Sans parler des revenus directs, certes plus rares mais franchement plus élevés lorsque ce sont des organisation qui sont à l’oeuvre et pas un individu isolé.

 

Entreprise et hébergeurs

Quelquefois confondus, les entreprises et les hébergeurs sont sous la pression bienveillante des états, autorités de contrôle, normes et règlements.

C’est nécessaire pour établir des pratiques de sécurité avec une base commune raisonnable, car vu le nombre d’utilisateurs connectés, le rush vers le digital, la masse et la valeur des données, le stress commercial et financier que subissent les organisations ne laisse pas vraiment de place à autre chose que le business. Pourtant, il est reconnu qu’être victime d’un incident de sécurité c’est mauvais pour le business. Ça peut être un problème ponctuel mais qui fait un bad buzz, ou plus grave c’est alors publié officiellement… (et on en reparlera après le RGPD).

Donc à présent, les entreprises et hébergeurs en plus d’être contraints et contrôlés pour « bien » mener leurs activités (SOX, HDS, Solvency, HSE..), le sont aussi pour « bien » protéger les données et les intérêts de leurs clients.

Des directives strictes, des autorités de contrôle investies d’un réel pouvoir de sanction, des associations de consommateurs, des ressources de l’entreprise en quantité finie… et des pirates on les aurait presque oubliés. Voilà ce qu’il faut prendre en compte pour mettre en oeuvre une gestion des risques de sécurité informatique, une politique de sécurité, des mesures et solutions déclinées jusqu’à ceci:

Une mire avec un nom d’utilisateur, un mot de passe à la complexité contrainte, et toujours plus de mots.

 

La génération de mots de passe, un vrai potentiel d’amélioration

Si on considère que chaque acteur impliqué dans les mots de passe à ses propres objectifs, et qu’ils sont pas ou peu compatibles entre eux, si on considère qu’on ne se passera pas à court terme des mots de passe, le seul espoir résident dans une évolution des méthodes de génération et de gestion des connexions et des identités.

Dès aujourd’hui il existe des auxiliaires (déjà cités), des solutions « fortes » faisant intervenir un second facteur d’authentification tel un SMS, un code à usage unique, un certificat ou une carte à puce, la biométrie.

Le principal problème est le coût, croissant avec l’efficacité et la simplicité de la méthode utilisée. Ensuite l’adoption, la force de l’inertie dans un système complexe à faire évoluer.

J’exclue volontairement la résistance au changement partant du principe que tout utilisateur est 110% prêt à changer pour autre chose que le mot de passe. A ceci près qu’une des meilleures pistes actuellement est la biométrie, avec le capteur d’empreintes, du réseau veineux, ou la caméra frontale, et qu’il faut accepter d’être instrumentalisé dans la gestion de notre propre identité. Et si on parle d’utiliser le rythme de votre frappe au clavier, le rythme cardiaque comme signature, que vont imaginer les pirates pour obtenir une connexion…? toujours partant ?

Les solutions simples et pragmatiques côté clavier

Les règles mnémotechniques, les méthodes de génération mentales de mots de passe forts existent, voilà une illustration assez connue:

 

https://xkcd.com/936

 

Ou bien encore « choisissez votre mot de passe en retenant la première lettre de chaque mot d’une phrase », « construisez vos mots de passe avec un algorithme » en espérant ne pas l’oublier ou qu’il ne soit pas découvert au premier mot de passe capturé.

Les solutions simples côté ordinateur

La plus simple, c’est le duo utilisateur – mot de passe, lequel doit être stocké et protégé dans les règles de l’art. C’est le moins cher à implémenter, donc toute autre solution implique un effort ou un compromis de complexité – facilité.

Les autres solutions

Il y en a des dizaines…

 

Certaines visent à devenir un standard de fait. C’est là où Google, Amazon, Facebook, Microsoft mènent une guerre d’influence pour détenir votre identité et être le passage obligé pour l’authentification sur d’autres services. N’avais vous jamais cliqué sur « se connecter avec mon compte Facebook »?

 

FIDO (https://fidoalliance.org) se pose en standard au sens normatif, pour une authentification reposant sur un format ouvert et commun à tout éditeur souhaitant monter à bord. Ou encore SQRL (https://www.grc.com/sqrl/sqrl.htm), un travail de recherche par Steve Gibson.

Et s’il y a un marché, il y a une offre: les spécialistes de la connexion et la gestion des identités (IAM) sont relativement nombreux : https://onelogin.com  https://nymi.com https://www.noknok.com etc… Se pose alors quelques questions autour de la pérennité, la confiance, la délégation : si vous déployez une solution pour 3 millions de client, pour 15.000 collaborateurs, que se passe-t-il en cas de défaillance du fournisseur ? voir https://www.getclef.com par exemple.

 

Conclusion nous sommes dans une période transitoire

Les compromis d’ergonomie contre sécurité, d’acceptation de contrainte vs facilité ne sont pas prêt de disparaître. Il faut donc pour le moment ne pas hésiter à investir dans une stratégie de gestion des identités comprenant l’authentification, la gestion des droits et privilèges avec traçabilité, ainsi que des mécanismes de détection.

Que ce soit dans un système informatique interne, ou un site internet, blinder la porte avec une serrure cinq points (c.a.d. un mot de passe long et fort complexe) reste la réponse minimale, mais pas nécessairement la seule ou la meilleure.

Apprendre à profiler les utilisateurs, comme le font les GAFAs, permet de détecter les fraudes et les intrusions (les pirates). Il est alors possible de déployer des mesures d’escalade de sécurité qui vont du gentil message « c’est bien vous ? » à la suspension du compte « accès frauduleux détecté, pour votre sécurité ».

De même, il est nécessaire de s’assurer de l’identité ou du bon niveau d’accréditation lors de phases critiques d’un enchaînement (workflow) . Amazon demande de se re-signer pour gérer les commandes, les banques utilisent 3DSecure, donc le principe d’un « stop challenge »  en cours de route est parfaitement accepté et rassurant. Cette stratégie permet de baliser le parcour utilisateur de jalons (connexion, enchaînement des écrans, des saisies, analyse comportementale, challenge supplémentaire ponctuel) et de forger une identité, de la contrôler sur la durée.

Face à l’énergie déployée par les attaquants, comme toujours dans l’industrie de la sécurité, il faut déployer tout un ensemble de mesures à la fois pour un résultat efficace, l’intelligence artificielle en sera la clé de voûte.

Le point d’équilibre entre sécurité et facilité

Pourquoi est-ce si difficile de trouver le bon équilibre entre sécurité et facilité ?

Probablement parce-que, contrairement au 

principe réducteur que pose ce titre, il n’y a pas un seul point fixe d’équilibre entre sécurité et facilité d’utilisation.

Comment pourrait-il y en avoir d’ailleurs ? Chaque utilisateur, chaque métier est régit par ses propres besoins « en libertés » et sous « contraintes » de sécurité. De plus, côté client s’impose la transparence, c.a.d. la sécurité maximale et invisible pour ne pas altérer la qualité de la relation.

Et maintenant, à quelle vitesse, dans une entreprise agile, évoluent ces paramètres ?

 » Vitesse lumière Mr. Spock « 

Les contraintes

La liste est longue, prenons les grandes familles de contraintes possibles.

• Légales, qui se déploient au gré des avancées de l’Union Européenne, puis des déclinaisons en droit local.
• Stratégiques, à l’appréciation du comité de sécurité (ou Risk Manager, RSSI, Inspecteur/Auditeur/Contrôleur interne).
• Systémiques, quand un ensemble d’acteur évolue dans un domaine sensible (santé, défense).
• Réglementaires, quand le règlement intérieur ou les chartes d’usages appliquent les restrictions souhaitées par les directeurs. J’aurai plutôt tendance à classer ici les préconisations, par exemple celles de l’Agence Nationale de la Sécurité des Systèmes d’Information.
• Techniques. Aussi surprenant que ça puisse être, quelque fois, la limitation est d’origine technique. Par exemple quand un sous ensemble du système d’information n’est pas intrinsèquement suffisamment sécurisé, et doit faire l’objet d’une mise à l’écart des accès et ressources externes.
• Sociales, il arrive que certaines populations utilisatrices du système d’information ne soient pas à même d’apprécier les risques encourus. Alors l’entreprise, l’institution publique, est obligée de prendre des mesures de précaution, comme dans l’enseignement (utilisateurs mineurs et de tous ages).

 

Les libertés

La liberté, que l’on considère ses motivations profondes, telles que le libre arbitre, l’autonomie, le processus créatif, est dans une certaine mesure une nécessité pour la performance des entreprises. Sinon à quoi bon déployer une démarche d’entreprise agile, de transformation digitale, et vouloir être innovant sans liberté ?

Liberté nécessaire aussi car l’hyper informatisation, le sur-équipement fait que le moyen de contournement est souvent à portée de main. A moins d’avoir recours aux restrictions drastiques appliquées dans le secteur défense, à la R&D, voire chez les Opérateurs d’Importance Vitale. Exemple : abandon du téléphone mobile avant d’entrer dans la zone démilitarisée, réseaux internes et externes physiquement séparés, passerelles sous haute surveillance…

Donc ici inutile de nous lancer dans une liste, vous êtes libres de l’imaginer.

 

Les solutions ?

Actuellement, l’empilage de mesures, de couches de sécurité, de technologies de prévention, afin d’arriver à une granularité à peu près satisfaisante est franchement en train d’atteindre ses limites.

Image par Davidmack, CC BY-SA 3.0 / Wikipedia

La preuve en est les éditeurs champions de la sécurité, qui en arrivent eux aussi à prêcher l’éducation, la formation des utilisateurs et à désigner le facteur humain comme vecteur de risque principal. Et ceux quelque soit leurs offres et les différents moyens de déploiement (on premise, cloud). Ok donc, la technologie ne suffit plus, et les fournisseurs de solution produisent d’importants efforts de R&D face aux évolutions des menaces (ransomware, APT), en étant plutôt suiveurs du moins pour le moment. Le côté positif est qu’à présent l’offre est suffisamment vaste pour outiller la problématique  (sans la résoudre durablement).

Reste que la nécessité de protection du système d’information, des données, des secrets ou de la sûreté si on pense aux processus industriels et SCADA  ne laisse aucune marge de manœuvre, et implique le déploiement du maximum de solutions que les moyens ou la raison permettent. Plus, bien entendu, les efforts de formation (des collaborateurs) et d’éducation (du grand public).

 

1789 – 2016 La prise de la Bastille

Une révolution dans le domaine de la sécurité informatique semble inévitable, car pris un par un: le firewall et l’antivirus sont dépassés. Les GPOs, les modèles RBAC … ne sont finalement qu’un ensemble de règles et outils bas niveau. Les firewall NG (IPS, Applicatifs), les HostIPS ne sont qu’une étape, déjà franchie donc quasi obsolète.

Une nouvelle étape est atteinte avec la vision globale des menaces, des vecteurs d’attaque, de leurs effets sur le

 système d’information. Elle se matérialise dans l’offre de quelques éditeurs (FireEye).

Ce concept de clairvoyance au travers de toutes les couches systèmes, réseaux, équipements du SI ou personnels,

Ajouté d’une capacité de stockage et traitement de données massives (HP: le big data appliqué à la sécurité),

Consommés par une intelligence artificielle (IBM: Watson for Cyber Security)…

IA et Big data, voilà ce qui semble bien être l’avenir de la sécurité informatique. Ce qui, en soit, mérite une série d’articles dédiés à ce sujet…

Constructeurs, éditeurs, intégrateurs, reprenez l’initiative aux pirates, c’est à votre tour de vous lancer à l’assaut du bastion de la sécurité…!

 

 

Les coffres-forts numériques et les petites lignes du contrat

 

Vos identifiants sont strictement personnels et confidentiels

C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banque

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.

 

Failles de sécurité chez un gestionnaire de mot de passe : en attendant le prochain, que faire ?

Voilà qui incite à la formation en sécurité et la prudence pour tous Utilisateurs et Informaticiens

Car même les entreprises qui n’existent que pour la sécurité ne sont, et seront jamais à 100% … Ces spécialistes commencent à éduquer en communicant sur le fait que les pratiques à risque sont un facteur aggravant, qui est de plus en plus exploité (sans s’étendre sur le sujet, sur le blog Zataz.com ou le blog.lastpass.com vous trouverez les détails d’incidents et la réponse/remédiation des éditeurs).

Quand on considère qu’une pratique à risque, ça peut aller d’utiliser un laptop professionnel pour surfer (perso?) depuis le wifi ouvert de l’hôtel, en se débrouillant pour contourner le filtrage d’URL et autres VPNs d’entreprise, comme de consulter tout à fait normalement un site d’information ou métier depuis le bureau, et ne même pas soupçonner que les bandeaux de pub, ou ces sites propres sur eux peuvent-être détournés pour distribuer des malwares… (des logiciels réellement malveillants, pas que les fameux cookies analytiques/publicitaires, qui souvent serviront de porte d’entrée à des menaces plus élaborées).

 

Il reste quoi pour « garantir » la sécurité ?

L’illusion perdue de la perfection, c’est fait. En espérant que ce n’est pas à cette occasion que vous le découvrez. Car si ça arrive fréquemment aux acteurs de la cybersécurité eux-mêmes, statistique malheureusement normale au vu de leur nombre de l’étendue de ce marché, « ça vous est arrivé » peut se conjuguer à tous les temps.

Donc pour tout le reste il y a : D’abord vous, moi, tout le monde en fait. Puis le bon sens, et ensuite seulement la technique, les solutions et autres logiciels.

 

Savoir interpréter les signes

Repris par le triumvirat de la presse

Bon c’est un concept assez personnel, voilà un exemple pour illustrer:

• Spécialisée cybersécurité    (TheHackerNews.com)
• IT / Informatique traditionnelle   (TheRegister.co.uk)
• Généraliste, professionnelle et grand public   (Forbes.com)

C’est le signe que même si le sujet est cryptique, au vu de son impact et du fond, il mérite d’être médiatisé y compris (et surtout) aux yeux du grand public.

Car il illustre à la fois la complexité de la sécurité informatique aujourd’hui, et le besoin impératif de la simplifier (ses impacts, ses contraintes surtout) pour la rendre vaguement supportable au quotidien sans la dévoyer ou l’affaiblir au point d’en devenir ridicule (LesEchos.fr le mot de passe le plus utilisé sur internet est 123456).

 

Que faire pour réduire ce type de risque ?

Sur-réagir : peut-être…

⊗  Changer d’outil pour un autre gestionnaire de mots de passes : Non, car en étant simplement réaliste, chacun à son tour tombe sous le coup de vulnérabilité plus ou moins faciles à exploiter, d’un impact plus ou moins important etc.

⊗  Jouer la carte « déconnecté » : avec un programme gestionnaire et coffre fort numérique strictement local, non plus. Car vous allez bien finir par le faire voyager (vos sauvegardes sont faites automatiquement dans le cloud/NAS/drive n’est-ce pas ?). Et un exploit sur le gestionnaire ou votre système reste bien possible etc.

⊗  Abandonner le principe d’un gestionnaire de mots de passes / coffre fort numérique / gestionnaire d’identité ? Quelle idée ! Là vous ne passez même pas par la case départ et vous ne touchez pas 30€48. Cf. l’équilibre sécurité-facilité que vous venez d’annihiler, en plus des bénéfices collatéraux de ces solutions comme la traçabilité, et la conformité entre autres.

Améliorer en continu, pour limiter…

√  Faire un minimum de veille, c.a.d. tout simplement rester à l’écoute de votre presse favorite, ou un petit peut mieux en ajoutant à vos flux de news une source sécurité ou informatique professionnelle.

√  Partager l’information, former et informer. Là c’est probablement une de vos missions et obligations si vous lisez ceci, et c’est une de mes mesures préférées en ce moment, au vu de son efficacité large spectre et son rapport efficacité x coût x complexité avantageux. L’humain à le premier rôle dans la sécurité, donc un peu de formation, de bon sens, ça permet de partager la confiance et les enjeux plus sereinement.

√  Changer d’avis:  Interrogez vous, car le choix (de logiciel, de service, de prestataire, de principe…) qui vous a paru optimal il y a quelque temps n’est peut-être plus adapté aujourd’hui face à l’évolution de la menace, de la réglementation ou de vos propres objectifs.

√  Encourager et continuer l’effort: pas facile de réussir pleinement ou faire évoluer ce type de sujet en perso comme en entreprise (AAA, IAM, PAM…), est pourtant c’est à peu près tout ce qu’il y a aujourd’hui dans la boite à outil.

En attendant la suite

Les solutions qui se dessinent à l’horizon ne peuvent être que meilleures, enfin espérons.

Pour ne prendre qu’un seul exemple, l’une des entreprises qui gèrent des millions de comptes, profils, identités, droits & cie pourraient bien révolutionner cet aspect de la sécurité informatique sans même que ce soit leur cœur de métier : Usine-Digitale.fr : L’astucieuse idée (très intrusive) de Google pour remplacer les mots de passe