Transition digitale – Innovation – Mobilité - Compétitivité

Mot de passe : nous protège-t-il vraiment ? (épisode 1)

Point sur le sujet, menaces et solutions.

 

Le mot de passe est-il toujours le meilleur moyen de protéger ses données ? La question peut en effet se poser : pourquoi devrait-on encore utiliser des mots de passe en 2017 alors qu’il existe quantité de technologies d’authentification plus modernes ? Et surtout quand il semble si facile de le pirater.

 

Le mot de passe est aujourd’hui encore le seul moyen qui peut prétendre à l’universalité technique. Il est définitivement le seul moyen qui soit toujours disponible, celui qu’il est toujours possible d’interfacer entre deux applications. Etant saisi par le clavier, il ne souffre jamais de problème de driver manquant sur la dernière version du système d’exploitation. Il ne tombe jamais en panne de batterie, et aujourd’hui encore, il est difficile de l’exfiltrer de la mémoire organique de son propriétaire.

 

Des solutions complémentaires plutôt qu’alternatives.

La biométrie est parfois présentée – à tort – comme une alternative au mot de passe, mais c’est en fait un très bon complément. La biométrie pose des problèmes de fiabilité : la reconnaissance des empreintes digitales est sensible à des problèmes de propreté, des pathologies de dépigmentation ou de circulation sanguine… Les informations biométriques peuvent être reproduites. Des empreintes digitales ont d’ailleurs été imitées dès 2015, sur la simple base de photos prises par un smartphone.

Une autre imitation surprenante d’information biométrique consiste à enregistrer votre voix disant « oui » au téléphone, en réponse à des questions banales qu’un appelant malveillant vous pose. Pour rejouer votre voix sur divers services vocaux.

L’authentification par One Time Password, parfois qualifié de « forte » notamment quand elle est basée sur un équipement matériel, n’est pas exempte de vulnérabilité. Un « jeton d’authentification » générant des One Time Password, qui serait stocké dans le smartphone est également vulnérable, autant que l’est le smartphone lui-même.
D’ailleurs, Google envisage d’abandonner la validation par SMS, en raison des risques de compromission des messages sur le réseau téléphonique. Même les « certificats », ces données cryptographiques qui incarnent la confiance numérique, sont eux-mêmes vulnérables comme le sont les systèmes informatiques qui les contiennent. Après tout, il ne s’agit que d’un fichier à importer dans le magasin de certificats de son système d’exploitation.

Aujourd’hui, il faut considérer que l’amélioration n’est pas dans le remplacement du mot de passe, mais dans ce qu’on appelle l’authentification « à deux facteurs ». Le second facteur basé sur une de ces technologies vient renforcer l’authentification traditionnelle par mot de passe.
Dans certains cas, on a même une authentification à trois facteurs. Par exemple, le contrôle d’accès d’un Datacenter peut se faire par combinaison d’un badge, protégé contre le vol et la perte par un code PIN, et une reconnaissance d’empreinte digitale garantit son caractère strictement personnel.

Une autre technologie qui va certainement se généraliser est la centralisation des identités. Aujourd’hui, de grands acteurs comme Facebook ou Google, mettent à disposition d’autres applications leur gestion des identités. De cette façon, l’utilisateur n’a plus qu’une seule gestion d’identité. Là où 10 applications partagent la même identité, ce sont 9 mots de passe qui sont facilement gérés.

 

Quels sont les risques à « mettre tous ses œufs dans le même panier » ? Est-il prudent à long terme de confier la gestion de son identité digitale à Google et à Facebook ?
Ces questions méritent d’être posées. Pour le moment, La Poste, le Trésor Public et la Sécurité Sociale préfèrent faire confiance à l’initiative gouvernementale France Connect.

 

Des menaces planent sur nos mots de passe.

Pour contrer les attaques, il faut avoir conscience des nombreuses menaces qui planent sur nos mots de passe et donc nos données et systèmes d’information.

Tout d’abord, le mot de passe trop évident qu’un malveillant peut deviner : « 123456 » bien sûr, et une petite liste de quelques dizaines de mots de passe calamiteux. Un peu plus si l’on prend la peine de combiner ces mots de passe avec une date de naissance. Un mot de passe ne doit jamais être lié à un mot unique, donc à fortiori pas le nom de votre chat non plus.

On peut envisager de faire des $u8$+!+u+!0ns de lettres. Ça va dans le bon sens… Mais en fait, quand on dénombre les combinaisons supplémentaires que cela apporte, on s’aperçoit que c’est toujours insuffisant si l’on se base sur des mots. Et notamment, ces substitutions qui obscurcissent le message pour un humain, sont le langage naturel d’un automate malveillant.

La complexité du mot de passe, et surtout la grande étendue de l’espace dans lequel il sera choisi, doit donc empêcher un malveillant de le deviner. Sachant qu’une attaque parmi les plus courantes consiste justement à « tester » les mots de passe, au moyen de tentatives de connexions répétées. Contre cette attaque par « force brute », l’application peut disposer de moyens d’auto-défense : un système de verrouillage automatique du compte au bout d’un certain nombres d’essais infructueux, une alerte de l’utilisateur en cas de tentative ratée, une information de l’utilisateur en cas de première connexion depuis une nouvelle provenance.

Ces mesures de sécurité supplémentaires permettent d’abaisser le nombre de caractères du mot de passe. Le cas extrême étant le code PIN d’une carte bleue, de 4 chiffres seulement. Ce mot de passe extrêmement faible est pourtant tout à fait à sa place puisqu’il vient en complément d’une authentification forte (détention de la carte bleue), couplée à un mécanisme fort de blocage au bout de 3 échecs. La CNIL applique en conséquence un principe de proportionnalité dans ses recommandations sur la longueur de mot de passe.

 

Le déchiffrement des mots de passe par des attaques par « force brute » conduites depuis l’extérieur du système d’information. Mais une autre attaque, également de « force brute », potentiellement beaucoup plus dangereuse, est possible si une première compromission plus limitée à déjà eu lieu : le déchiffrement des mots de passe du système. Plus dangereuse, car son résultat est directement une liste de couples login/mot de passe, pour un grand nombre de comptes du système. Et parfois, bien plus discrètement que des essais de connexion qui se verraient dans les journaux du système. Pour bien comprendre, il est nécessaire de faire une petite incursion dans la technique.

Les mots de passe sont stockés, la plupart du temps, d’une manière chiffrée. Mais pas un chiffrement réversible : on ne peut pas normalement déchiffrer les mots de passe. La fonction mathématique utilisée n’est simplement pas faite pour cela. C’est grâce à, ou à cause de, ce chiffrement unidirectionnel que votre administrateur système peut réinitialiser votre mot de passe, mais il ne peut pas vous le rappeler. Fort de ce chiffrement, la base de mots de passe n’a plus une exigence de confidentialité absolue.

Oui, mais… Ce chiffrement n’est effectivement robuste que si les mots de passe le sont. Car un malveillant qui aurait exfiltré cette base chiffrée, aura tout son temps pour « déchiffrer ». Il ne s’agit pas d’un réel déchiffrement, qui est mathématiquement exclu. Mais d’un test d’un grand nombre de combinaisons, en utilisant des dictionnaires, des bases de mots de passe déjà compromis disponibles sous le manteau, et des algorithmes de combinaisons/substitutions.
Dans une organisation qui n’imposerait pas de manière automatisée un minimum de complexité sur les mots de passe, il suffit de quelques maillons faibles pour que le malveillant puisse prendre pied dans le système d’information. Par expérience, en 2017, on peut considérer que les mots de passe de 8 caractères complexes, totalement aléatoires, sont toujours vulnérables à un adversaire qui aurait quelques moyens.

Justement, de quels moyens disposent les voyous pour déchiffrer vos mots de passe ? Le logiciel le plus connu pour déchiffrer des mots de passe s’appelle « John the Ripper », il est très facile d’emploi, gère le multithreading. Au prix de quelques efforts supplémentaires, vous pourrez disposer d’une version permettant d’utiliser le processeur de votre carte graphique, le fameux GPU grand public que beaucoup de scientifiques détournent pour construire des supercalculateurs avec du matériel courant. On dispose également de versions parallélisables sur plusieurs machines. Pour une organisation qui a exploité un ransomware lucratif comme Locky, un cluster de quelques centaines de processeurs est tout à fait à portée de main.

Une organisation mafieuse, ou une agence de renseignement, va même pouvoir développer sa propre plateforme matérielle pour exécuter ce travail encore plus rapidement. L’appareil sur la photo ci-dessous est un  mineur de bitcoins, capable de calculer 1400 milliards de hachés SHA256 à chaque seconde. Au-delà du terme technique, il faut juste retenir qu’il s’agit du même genre d’opération mathématique que pour le chiffrement des mots de passe dans les systèmes d’exploitation modernes.

 

Il coûte $2000 à l’achat, et consomme une quinzaine de centimes d’euros d’électricité par heure. Qu’est-ce que cela donne contre nos mots de passe ? Si on considère des mots de passe utilisant 70 caractères (donc quelques ponctuations), l’espace des possibles avec 8 caractères est parcouru en moins de 7 minutes…

Mais rassurons-nous : avec 12 caractères, on passe à 3 siècles, et avec 13 caractères, le temps est encore multiplié par 70. Et si vous doutez que des organisations mafieuses puissent développer elles-mêmes une plateforme matérielle adaptée au job, souvenez-vous des moyens dont disposaient les concepteurs des premiers Arduino et autres Raspberries…

L’actualité internet ne manque pas d’annonces que tel ou tel opérateur de service très connu s’est fait subtiliser des quantités parfois faramineuses de mots de passe. Les plus gros incidents concernent un demi-milliard de comptes… En fait, la plupart du temps, il s’agit de cette base chiffrée. L’adversaire peut ensuite prendre tout son temps pour déchiffrer, et disposer de l’association login/mot de passe. Et une information une fois divulguée n’est jamais plus rattrapée : l’attaquant pourra à moindre coût retenter un déchiffrement trois ans après, après l’évolution de ses moyens matériels. Et alors, gare à ceux qui ne renouvellent pas, ou utilisent les mêmes mots de passe sur plusieurs systèmes !

 

Les règles de complexité et de longueur, qui sont donc la bonne parade face à ces menaces, doivent effectivement suivre la loi de Moore : si la puissance de calcul disponible pour craquer vos mots de passe double tous les 18 mois, il faudrait rajouter un caractère parmi 70 environ tous les 9 ans. Ne doutons pas que nos administrateurs systèmes et RSSI nous le rappelleront. Parfois, au-delà de l’augmentation régulière de puissance de nos ordinateurs, c’est l’astuce des spécialistes du chiffrement qui vient rebattre les cartes.

 

Des sites web spécialisés proposent de tester si votre compte a été l’objet d’une fuite de mots de passe. Le site le plus connu est https://haveibeenpwned.com/ , qui vous propose d’entrer votre e-mail et vous indique s’il figure dans une base de comptes volés. Un site similaire qui vous demanderait non pas le nom d’utilisateur ou l’adresse mail, mais le mot de passe, serait très certainement le meilleur moyen d’alimenter des dictionnaires pour améliorer les programmes de craquage. Prudence, donc.

 

Suivre les recommandations de la CNIL

Puisque le mot de passe a encore de l’avenir, interrogeons-nous sur les bonnes pratiques de son utilisation. En France, la Commission Nationale Informatique et Liberté (CNIL), nous y aide, en diffusant des recommandations très pratiques pour choisir un bon mot de passe  et ne pas se le faire voler.

 

Une application refuse un mot de passe trop long, ou avec des caractères spéciaux ? Oui, cela arrive encore… N’hésitez pas à troquer une ponctuation contre deux lettres ou chiffres, et surtout, à interroger votre éditeur/fournisseur sur cette faiblesse. La CNIL, et surtout le nouveau Règlement européen pour la Protection des Données Personnelles (RGPD) devrait aider ce dernier à ouvrir les yeux !

(à suivre)

Les commentaires sont fermés.