Accéder au contenu principal

AVIS D'EXPERT : Mot de passe, chronique d’une mort annoncée

L’authentification par mot de passe est morte. Ce n’est pas encore entré dans les mœurs de la plupart des acteurs de l’Internet, et encore moins chez les utilisateurs, mais c’est pourtant le cas. Au même titre que telnet est mort et enterré au profit de ssh - à tel point que l'on a presque du mal aujourd'hui à se souvenir que l'on a pu jadis utiliser telnet - l’authentification par mot de passe est morte, et l’entrée dans l’ère de l’authentification à deux facteurs généralisée est inévitable.

Il y a plusieurs raisons à cela. D'abord, les utilisateurs, bien sûr. De plus en plus nombreux, et de moins en moins sensibilisés aux principes de sécurité informatique (corollaire de la démocratisation et de la généralisation d'Internet dans les sociétés), ils offrent une surface d'attaque toujours grandissante. L'augmentation du nombre de plateformes web très populaires en nombre d'abonnés accroît également le risque, la plupart des personnes utilisant inévitablement le même mot de passe sur l'ensemble des sites web. Le login, quant à lui, est aujourd'hui universellement accepté comme étant par défaut l'adresse e-mail de l'abonné, et en cela la centralisation des plateformes e-mails aggrave encore le problème : trouver un login valide sur une plateforme en ligne par simple essai/erreur est de fait pratiquement une équation à zéro inconnue.

Le principe même de "mot de passe" est très souvent perçu comme une contrainte insupportable et surfaite, et il est complexe de convaincre un utilisateur non versé dans la sécurité informatique que cet élément est critique pour la protection de ses données personnelles. Il est facile donc de rejeter la faute sur l'utilisateur, incapable de comprendre les enjeux du choix d'un mot de passe fort. Mais des milliards de personnes peuvent-elles avoir tort ? Et si c'était la communauté de la sécurité informatique qui se trompait depuis le début ? Nos cartes bancaires - rien de moins que ça - sont protégées par un simple code PIN à 4 chiffres, alors comment espérer convaincre les utilisateurs de protéger leurs selfies sur Facebook avec un mot de passe fort à 10 caractères et majuscules-minuscules-chiffres-ponctuation obligatoires ? Les gens détestent les mots de passe, et ils ont raison.

S'il fallait encore s'en convaincre, il est facile de constater que même un mot de passe fort, comme souvent rendu obligatoire par les chartes informatiques des entreprises, ne règle en réalité qu'assez peu de problèmes de sécurité. Que dire du mot de passe, dont l'entropie est plébiscitée par le RSSI local, simplement noté sur un post-it ? Que penser du mot de passe fort tout juste généré par le SI, envoyé en clair par e-mail et stocké à vie sur l'ordinateur du salarié ? Que faire du mot de passe fort épelé consciencieusement par l'utilisateur au téléphone, parce qu'une personne à l'autre bout du fil se faisant passer pour le département informatique, le lui a simplement demandé ? Même en quittant le monde de l'entreprise et en revenant à l'Internet en général, comment faire confiance aux multiples sites web ou forums en tout genre, à propos du stockage en base de données des mots de passe qui leurs sont confiés ? Combien d'entre eux renvoient simplement le mot de passe oublié par e-mail, indiquant qu'il était stocké en clair dans leur base ? Combien utilisent encore un algorithme de hashage de type MD5 non salé, tellement simple à inverser à l'aide d'algorithmes jouant sur le compromis "temps de calcul/espace mémoire" (type tables arc-en-ciel), aujourd'hui à la portée de n'importe qui grâce au coût dérisoire du stockage ?

source: https://www.ovh.com/fr/news/articles/a1682.mot-de-passe-chronique-d-une-mort-annoncee

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Rapport viral de l'année 2013

Le 06 février 2014 Doctor Web présente un bilan des menaces les plus importantes et/ou significatives ayant touché les utilisateurs en 2013. L'année 2013 a mis en lumière plusieurs menaces pour la sécurité informatique. Comme en 2012, l'une des grandes tendances de l'année passée a été la propagation des Trojans encoders qui ont touché les utilisateurs dans de nombreux pays.  Les spécialistes ont observé une augmentation du nombre de logiciels malveillant visant à afficher de la publicité sur les ordinateurs des victimes, ou à récolter de la crypto monnaie Bitcoin et Litecoin (surtout à la fin de l'année). La gamme de logiciels malveillants ciblant Android s’est considérablement élargie. Situation virale Les malwares les plus répandus en 2013 selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! restent les Trojans de la famille  Trojan.Hosts , dont le plus répandu est le  Trojan.Hosts.6815 , qui modifie le fichier hosts sur l'ordinateur inf...
Enregistrer un commentaire
Lire la suite
C’est sans doute le plus gros scandale de l’histoire des télécommunications modernes, et il est passé presque inaperçu ; le piratage par la  NSA  d’un câble sous-marin détenu (entre autres) par  Orange , le SEA-ME-WE 4. Cette liaison en fibre optique, co-gérée par un consortium de seize opérateurs mondiaux, assure une partie des liaisons nécessaires au bon fonctionnement du réseau téléphonique et Internet. Un grand nombre de communications y transitent, puisque la liaison relie la France (à partir de Marseille) à l’Afrique du Nord, le Moyen-Orient, et une petite partie de l’Asie. illustration Wikicommons De nouvelles révélations d’Edward Snowden indiquent que l’agence américaine de renseignements a organisé le piratage de ce réseau, début 2013. Cette attaque leur a permis de collecter des informations sur la structure et la cartographie du réseau, mais également sur une partie des données qui y transitaient : certaines données permettant, une fois c...
Enregistrer un commentaire
Lire la suite

Juniper met en garde contre la présence de code-espion dans ses pare-feu

Quelques mois après les révélations d'Edward Snowden, Juniper signale la présence de code-espion, une back door, dans ses firewalls. Hier, le fabricant d'équipements réseaux Juniper a fait savoir qu'il avait trouvé du code suspect dans certains modèles de pare-feu de la marque. Cette découverte inquiétante semble faire écho aux soupçons de piratage des firewalls de Juniper par la NSA avec une back door, dont il était fait mention dans les documents fuités par Edward Snowden. Les produits affectés tournent avec ScreenOS, l'un des systèmes d'exploitation de Juniper, fonctionnant sur une série d’appliances utilisées comme pare-feu et comme support pour le VPN. Selon l’avis publié par l’équipementier, les versions 6.2.0r15 à 6.2.0r18 et 6.3.0r12 à 6.3.0r20 de ScreenOS sont vulnérables. « Le code non autorisé a été découvert pendant un audit récent mené en interne », a expliqué Bob Worrall, le CIO de Juniper. Mais le fabricant n'a pas don...
Enregistrer un commentaire
Lire la suite