Le mot de passe est mort ! Vive l’authentification - Votre clé est-elle sous le paillasson ? (Le compte-rendu de Gérard Péliks)
A l’aube du troisième jour du 7e Congrès National de la Sécurité des Systèmes d’Information de Santé (CNSSIS) organisé par l’APSSIS du 2 au 4 avril 2019, dans l'Espace culturel des Quinconces de la cité Sarthoise du Mans, Michel DUBOIS, directeur du département Cyber Security Expertise du Groupe La Poste et Charles BLANC-ROLIN, RSSI du Centre Hospitalier de Saint Flour, ont traité le sujet : « Le mot de passe est mort ! Vive l’authentification ».
Le mot de passe serait-il vraiment mort ? Mais alors comment peut-on s’authentifier ??? Rappelons d’abord ce qu’est l’authentification, à ne pas confondre avec l’identification. S’identifier c’est donner un nom qui figure sur une liste, par exemple des ayants droit pour accéder à une ressource. Mais rien ne prouve que celle ou celui qui donne ce nom est bien celui qui le porte. S’authentifier, c’est prouver que celui qui s’identifie par ce nom, est bien celui qui porte ce nom. L’authentification peut se faire en donnant un élément qu’on est seul à connaître, à posséder ou à être, ou mieux en combinant au moins deux de ces trois facteurs.
En pratique, le plus souvent, on s’identifie par son login et on s’authentifie par son password. Alors si le mot de passe est vraiment mort, ça pose un gros problème car bien entendu, le login ne suffit pas !
Venons-en maintenant à l’intervention de Michel Dubois et de Charles Blanc-Rolin.
Quand on choisit un mot de passe, on veut être sûr de s’en rappeler à chaque fois qu’on en a besoin. Alors le mot de passe « 123456 », souvent utilisé, semble être une bonne solution. Bien entendu, si 9 caractères sont requis, comme on le voit parfois, « 123456789 » mot de passe beaucoup plus solide résout le problème imposé. Si le mot de passe doit être composé de lettres, les mots de passe « qwerty » pour les anglo-saxons ou « azerty » pour les francophones semblent aller de soi puisqu’on les lit directement sur le clavier, et il suffit alors d’une frappe clavier horizontale à partir du « A » ou du « Q » et on est connecté. Rien de plus facile donc.
Maintenant soyons un peu plus sérieux. La facilité est mère de la piratabilité. Il y a malheureusement beaucoup de prédateurs qui sévissent, autour de vous, dans le cyberespace, et ils savent exploiter les faiblesses de vos mots de passe. Aussi un mot de passe que tout le monde peut connaître et donc utiliser n’est pas une solution particulièrement géniale.
Par sa délibération 2017-012 du 19 janvier 2017, la CNIL propose l’utilisation d’une longueur de mot de passe d’au moins 8 caractères. Et ces caractères doivent être composés d’au moins 3 des 4 catégories suivantes : « majuscules », « minuscules », « chiffres » et « caractères spéciaux ». Pour autant, un tel mot de passe qui semble complexe, et qui doit être renouvelé à intervalles réguliers, n’est pas vraiment robuste. Là encore, question renouvellement, si le mot de passe doit être changé tous les 3 mois, on peut choisir Janvier2019, puis 3 mois après Avril2019, puis Juillet2019 (remarquez qu’il y a le compte : Plus de 8 caractères composés d’une majuscule, de minuscules et de chiffres), c’est facile à retenir, mais totalement idiot. Un utilisateur non sensibilisé au fait qu’il existe des attaques dites par « force brute » ou des attaques dites par dictionnaires pour retrouver un mot de passe, fait courir un gros risque à son organisation, et à lui-même. Avec un mot de passe comme « 123456 » ou comme « Janvier2019 » ou encore comme son prénom, le nom de son animal favori ou sa date de naissance, il peut monter sur le podium du maillon vraiment très faible de la cybersécurité.
Que disent les experts ? Que disent Michel Dubois et Charles Blanc-Rollin et les spécialistes du cassage de mots de passe – oui il y en a ! Et même ils cassent parfois les mots de passe à des fins « éthiques » pour tester la maturité d’une organisation vis-à-vis de sa cybersécurité.
• Il faut utiliser un mot de passe différent pour chaque application et pour chaque serveur ;
• il ne faut pas utiliser un mot de passe qu’on peut retrouver dans un dictionnaire ;
• la longueur d’un mot de passe doit être d’au moins 14 caractères ;
• une « phrase de passe » est préférable à un « mot de passe », c’est ce que prône aussi Bruce Schneier, bien connu mais pas toujours pris au sérieux dans le milieu de la cybersécurité ;
• il faut utiliser le logiciel Keepass.
Keepass, le mot est lancé ! Personnellement c’est le coffre-fort numérique que j’utilise pour gérer mes login/password et même choisir les mots de passe ultra complexes que Keepass me suggère. Keepass, logiciel libre recommandé par l’ANSSI, a de plus une version gratuite. L’accès à la base des login/password de Keepass est protégé par un mot de passe… qu’il ne faut pas oublier et surtout ne pas se faire voler !
Car attention aux fuites et aux compromissions de données à caractère personnel, qui sont monnaie courante, et qui se dérobent par millions, revendus parfois dans le Dark web. Visiblement les mots de passe font partie des données à caractère personnel très convoitées ! Des outils existent pour se rendre compte que ses données si précieuses ont fuité.
Mais un mot de passe robuste vous affranchit-il de tout danger ? : Non
Un mot de passe, même robuste, fait partie d’un environnement qu’il faut aussi protéger. Les deux intervenants nous montrent, sur slide, un petit boitier qui se place (à votre insu bien sûr) entre la sortie USB du clavier et l’entrée USB du poste de travail. Que fait ce petit boitier qui est peu visible, surtout quand il se situe derrière un poste de travail fixe ? C’est un « keylogger » - un enregistreur de frappe clavier - qui thésaurise et renseigne le prédateur sur tout ce que vous entrez au clavier, donc en particulier votre login et votre mot de passe. Facile de trouver alors quels sont vos login/password, c’est par là que vous commencez pour entrer dans une application… Et ce n’est pas que pure théorie. Deux praticiens du CHU de Nice en ont fait les frais. Le pirate était un médecin qui voulait accéder à leurs courriels. Pris et condamné (lois Godfrain qui sanctionnent ce genre de comportement), le coupable risquait une forte amende et même la prison, sans parler de la déception de s’être fait prendre sur le fait.
Un chiffrement, bien implémenté, en particulier le chiffrement du disque, l’utilisation pour transmettre une information de réseaux privés virtuels (VPN IPsec ou SSL/TLS) bien conçus offrent-ils une solution suffisante de protection des mots de passe qui sinon seraient stockés ou passeraient en clair sur les réseaux ? Il faut se méfier des certificats SSL/TLS autosignés. Il faut se méfier des antivirus et des coupe-feux qui, pour faire leur travail, déchiffrent les informations qui leur arrivent et les laissent en clair. Attention aussi aux attaques de « l’homme du milieu » qui s’intercalent sur le réseau et qui écoutent tout ce qui passe, et en particulier vos couples « login/password ».
De plus, où stocker vos mots de passe ? Côté clients ? Côté serveurs ? En tout cas, il faut éviter qu’ils soient stockés en clair ! Bien sûr, ce sont le plus souvent les empreintes (les condensats) des mots de passe qui sont stockés, mais les protocoles de hachage présentent aussi des vulnérabilités.
Nous sommes au Congrès National de la Sécurité des Systèmes d’Information de Santé, alors parlons des objets connectés dans les dispositifs médicaux des milieux hospitaliers. Leurs mots de passe, quand il y en a, sont rarement changés et sont parfois même codés en dur en usine, donc il n’est pas possible de les modifier. Et on les trouve écrits, en clair, dans les documentations techniques des produits ! On croit rêver…
Une authentification à deux facteurs apporterait-elle une solution à ceux qui utilisent des mots de passe trop faibles ? Pas vraiment.
Et quid des cookies déposés par les pages web que l’on consulte ? Si cookie récupéré, accès au compte utilisateur facilité ! Et que se passe-t-il dans la mémoire vive de nos ordinateurs quand nos sessions sont actives ? Vous le croirez… Les mots de passe ou leurs empreintes y résident en clair, pareil pour les clés de chiffrement et une mémoire peut être lue ou corrompue !
Alors avec tout ça, votre clé est-elle sous le paillasson ? Tout dépend des précautions que vous prendrez pour la garder sur vous et éviter qu’on vous la duplique, mais ce n’est pas chose facile pour qui ne maîtrise pas la cybersécurité…
Gérard Peliks