mardi 1 décembre 2020

Cybersécurité - Les Mots de passe


Vu l'évolution et l'ampleur des attaques informatiques dont les entreprises comme les particuliers sont victimes et au nombre de questions (quand ce n'est pas des bêtises) que je rencontre, il me semble pertinent de partager quelques bases.

Je lance donc une série d'articles, un peu moins simplistes/idéalistes que ce qu'on peut trouver et plus pragmatiques que les publications de spécialistes.

L'idée n'est pas de dire à chacun ce qu'il doit faire, mais :

  • De permettre à chacun de situer ses pratiques informatiques sur une échelle de sécurité dans un contexte privé comme professionnel ;
  • De permettre à chacun d'améliorer ses pratiques de façon concrète.

Il s'agit évidemment de vulgarisation avec certains aspects simplifiés voire occultés.

 

Au programme :

 N'hésitez pas m'indiquer si vous souhaitez que j'aborde d'autres thèmes.

 

Les Mots de Passe

Commençons pas le commencement : Le mot de passe permet de confirmer que vous êtes celui que vous vous prétendez être : "JE sais".

Il faut comprendre qu'en matière d'attaque, tout s'achète et tout se vend.

On a vu récemment un attaquant qui prétendait avoir depuis des mois un contrôle de la machine de sa victime, pouvant ainsi récupérer des photos (compromettantes) par la webcam ou des informations sensibles (documents, comptes bancaires, échanges mails...). Il demandait un paiement en bitcoin à défaut de quoi il publierait toutes les informations à vos contact, etc... Pour montrer sa bonne fois, il vous donnait votre mot de passe... en tout cas, un mot de passe récupéré lors de l'attaque d'un site quelconque.
Cette attaque est à la portée de tout le monde, puisque l'attaquant n'a fait qu'acheter une base de mots de passe piratée et envoyer des mails. Il y a cependant fort à parier que l'opération a été très rentable.

Au passage, si vous voulez savoir si un de vos comptes ou mots de passe a été hacké quelques part, vous pouvez aller sur ce site qui répertorie les comptes récupérés lors d'attaques : https://haveibeenpwned.com/

 

Moralité :

R1 : Utilisez des mots de passes uniques pour les différents usages / sites où vous allez

R2 : Utilisez des mots de passe complexes

 

1. Faire un mot de passe complexe

Évidement, on arrête avec le nom du poisson rouge, la date de naissance des enfants...
Il n'y a pas de règle absolu, mais disons qu'un mot de passe de 8 caractères (l'ANSSI dit 12), chiffres, majuscules, minuscules et ponctuation va être compliqué à retrouver.

Généralement, ce genre de mot de passe n'est ni facile à créer, ni facile à retenir. Voici une première astuce :

  • Permuter des lettres en chiffre : o -> 0, E -> 3, A-> 4, i->1, for-> 4, to->2, etc...
  • Jouez avec une majuscule dans le mot

toto sera un grand classique facile à trouver. Néanmoins t0T8 devient beaucoup moins trivial.

 

Plutôt qu'un mot, on peut utiliser une phrase. Prenez vos citations favorites ou une phrase de votre livre préféré... en retenant l'ensemble de la phrase ou seulement les premières lettres :
Exige beaucoup de toi-même et attends peu des autres. pourra donner Ebdt-meapda.


En  mélangeant les différentes approches :
La mienne est plus grosse donnera L4M13nnE&p1u5gR05s3.😁

Le mot de passe est facile à mémoriser, mais compliqué à craquer et il risque de décourager celui qui regarde par dessus votre épaule. Bref, de quoi décourager les attaques les plus classiques.


ANSSI - Guide des mots de passe : https://www.ssi.gouv.fr/guide/mot-de-passe/


2. Faire un mot de passe unique

La règle d'or consiste évidemment à ne pas mélanger les torchons et les serviettes. Il ne faut jamais utiliser des mots de passe similaires entre le domaine professionnels et le domaine personnel. Imaginez l'impact si votre dernière commande chez fripon-magazine permet d'accéder à vos dossiers clients !

Pour créer un mot de passe unique, une astuce que j'emploie assez souvent consiste à ajouter à un mot de passe de base quelque chose de propre au client ou au site.

Par exemple, si le mot de passe de base est t0T8. (je vous invite évidemment à prendre un mot de passe un peu moins trivial que mon exemple), pourquoi ne pas ajouter les 2 premières lettres du site web sur lequel on est ?

Chez fripon-magazine, le mot de passe pourra donner t0T8.+Fr .

Il fait 8 caractères, il est complexe, ce ne sera pas le même que celui du site de la Redoute et vous le retrouverez facilement.

En entreprise où il faut changer de mot de passe régulièrement, plutôt que le nom du mois, on peut ajouter quelques chose de particulier. Le code postal de votre dernier week-end ou le numéro de votre dernière amante 😜.


3. Le gestionnaire de mots de passe

Évidement jusque là, on reste dans le bricolage. Efficace certes, mais si vous avez, comme moi, des comptes auprès de centaines de sites web, chacun avec ses propres exigences en terme de longueur et de complexité, vous risquez d'en revenir au bon vieux post-it.

...On a donc inventé les gestionnaires de mots de passe : Une base de données chiffrée à laquelle on accède grâce à un outil éprouvé. En plus de stocker les mots de passe, ces gestionnaires permettent souvent de générer des mots de passe complexes voire de saisir les mots de passe à votre place.

A ce sujet, je ne recommande pas :

  • des gestionnaires en ligne (LastPass...) : Ils permettent de retrouver vos mots de passe depuis n'importe quel Smartphone, tablette, PC... et c'est notamment ce que je leur reproche. D'ailleurs, une faille a été reportée chez LastPass
  • des gestionnaires intégrés dans les navigateurs : certes, c'est pratique d'avoir des mots de passe qui se tapent tout seul, mais ces gestionnaires sont davantage conçus pour être pratiques que pour être sûrs. Le Virus Emotet qui a fait pas mal de victimes, y compris en entreprise, ciblait notamment ces gestionnaires de mots de passe (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/)

J'utilise personnellement Keepass (https://keepass.info/) que l'on retrouve régulièrement en environnement sécurisé et dont une version est certifiée par l'ANSSI (https://www.ssi.gouv.fr/entreprise/produits-certifies/produits-certifies-cspn/), gage de sérieux.

L'outil est disponible sous Windows, mais également Linux et MacOS. Il existe même des versions non officielles pour iOS ou Android.

Il existe de multiples extensions, plus ou moins sécurisées, dont notamment Kee et KeepassRPC qui permettent de saisir automatiquement les mots de passe sous Firefox et Google Chrome (https://www.numetopia.fr/comment-utiliser-keepass-avec-firefox/).

Il existe aussi une version "portable" de KeePass, ce qui permet de transporter par exemple sa base avec l'outil sur une clé USB.

Évidement, pour protéger votre base de données de mots de passe, il faudra... un mot de passe, qu'on appellera mot de passe "maître" que vous fabriquerez à l'aide de vos répliques de films préférées... sachant vous aurez pris le soin de créer une base pour votre vie professionnelle et une autre pour votre vie privée.

CNIL - 5 arguments pour adopter le gestionnaire de mot de passe : https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe

 

3. La limite du mot de passe

99% des authentifications se passent avec un mot de passe. Pourtant la solution est loin d'être parfaitement efficace. Il suffira qu'un petit malin regarde par dessus votre épaule ou pirate votre ordinateur (écoute du clavier notamment) pour qu'il puisse se faire passer pour vous. Le mieux est donc de pouvoir s'en passer. 

Voici 2 approches complémentaires :

3.a. L'authentification à double facteur

Pour confirmez que vous êtes la bonne personne, en plus de vous demander ce que "vous savez" on vous demandera quelques chose que "vous avez". Ce sera soit un code envoyé par SMS, soit un code tournant généré généralement par une application sur votre smartphone (Google Authenticator, Microsoft Authentificator, ou autre...).

R3 : A chaque fois que cela est possible, activez la double authentification.

La plupart des sites "sérieux" la proposent Gmail, Facebook, Apple, Paypal, les banques (en tout cas, celles que je côtoie)...


3.b. Windows Hello et le Code PIN

L'idée de Microsoft est de protéger le mot de passe de votre compte par un code PIN. Pour ouvrir votre session, plutôt qu'un long mot de passe, il vous suffit de taper votre code PIN.

Quel intérêt ? Votre code PIN n'a d'existence que sur votre machine. Un attaquant peut "écouter" ce que vous tapez au clavier, il ne verra jamais passer votre mot de passe, seulement votre code PIN. Sans la machine, le code PIN ne sert à rien. Votre mot de passe, quant à lui, est stocké de façon sécurisée dans votre machine. Il ne sort qu'à de rares occasion sous bonne garde. Pour le pirate classique, c'est peine perdue.

Microsoft  - Pourquoi un code confidentiel est-il préférable à un mot de passe ? : https://docs.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password

Comment activer le code PIN sur son poste : https://www.reneelab.fr/code-pin-windows10.html


Certes que se passe-t-il si un collègue me voit taper mon code PIN ?

Avec Windows Hello, votre code PIN ouvre la voie à la biométrie. Il peut s'agir de reconnaissance faciale (sous réserve de disposer d'une webcam compatible) ou d'empreinte digitale. Là, votre collègue peut vous regarder faire !

Si votre poste n'est pas équipé d'un lecteur d'empreinte, je vous recommande l'excellent lecteur Kensington VeriMark : https://www.ldlc.com/fiche/PB00228473.html (Je précise que je n'ai aucun lien avec eux. Je suis simple utilisateur).



Vous l'avez compris : vous n'avez plus d'excuses pour utiliser toujours le même mot de passe depuis vos débuts sur Internet. Un gestionnaire de mots de passe efficace comme Keepass devrait vous permettre de stocker efficacement des mots de passe uniques et robustes que vous n'aurez même plus besoin de connaître. L'authentification à double facteur devrait aussi vous éviter de vous faire voler vos comptes, en particulier votre boite mail.


Maintenant que nous avons des "serrures" efficaces, dans les prochains articles, je vous parlerai de la sécurité du poste et des données.

Aucun commentaire:

Publier un commentaire