Jan Valcke

RECEVEZ LES NOUVELLES DE Jan Valcke
 

Craquer les mots de passe: un jeu d'enfants

Publication: 30/07/2013 00:23

Au mois de mars dernier, la rédaction du magazine américain Ars Technica a fait une expérience plutôt édifiante. Une liste de 16 000 mots de passe encryptés a été confiée au rédacteur en chef de la publication, Nate Anderson, puis à trois experts du "cracking". Après quelques heures de travail, Nate Anderson, pourtant inexpérimenté en la matière, est parvenu à déchiffrer près de la moitié des 16 000 mots de passe. Parmi les trois "crackers" expérimentés, l'un a déchiffré 82 % des mots de passe de la liste en moins d'une heure, tandis qu'un autre est parvenu à casser 90 % d'entre eux en une vingtaine d'heures. En y consacrant un peu plus de temps, la liste complète aurait été déchiffrée.

La conclusion de cette expérience est claire: tous les mots de passe peuvent être déchiffrés, et relativement facilement. Certaines bonnes pratiques permettent de diminuer les risques, mais elles ne mettent aucun mot de passe à l'abri. Partant de là, les mots de passe constituent-ils malgré tout une solution acceptable et compatible avec les exigences de protection des identités et des données?

Mots de passe: est-ce une question d'usage?

Entre autres bouleversements, la révolution du numérique a créé une démarche nouvelle que nous accomplissons presque tous les jours, quand ce n'est pas plusieurs fois par jour: nous identifier et nous authentifier pour accéder à nos comptes et applications en ligne.

Les capacités de stockage, les vitesses de téléchargement et la multiplication des points de connexion -mis à la portée de tous via le cloud- permettent au phénomène de s'accélérer et de toucher de plus en plus d'aspects de notre quotidien privé et professionnel. En quelques années à peine, nous faisons déjà énormément de choses en ligne: accéder à son compte bancaire, payer ses impôts, faire son shopping et payer ses achats, partager des photos, mais aussi accéder à sa messagerie professionnelle, utiliser une application métier ou se connecter à l'intranet de l'entreprise pour gérer ses vacances. Demain, d'autres projets actuellement en test deviendront à leur tour la norme, comme par exemple suivre sa consommation de gaz et d'électricité, gérer la relation élèves-enseignants-parents d'élèves via les ENT (Espaces numériques de travail) ou encore gérer son dossier médical.

Mais, avec cette transformation des usages, est née une problématique qui n'existait pas auparavant. Celle des mots de passe. Ou, plus exactement, des combinaisons identifiant /mot de passe. Non seulement il faut en créer de plus en plus, mais il faut également les choisir de telle sorte qu'elles ne seront faciles ni à deviner ni à déchiffrer. Et, bien sûr, il faut les mémoriser.

Malheureusement, c'est précisément ce qui rend un mot de passe facile à mémoriser qui le rend facile à craquer. Quelles sont les recommandations connues aujourd'hui?

La tentation de la facilité
Tout a été écrit sur les mots de passe trop simples à mémoriser et, donc, à déduire. Faire le choix du prénom de son conjoint ou de la date de naissance de ses enfants est aussi prudent que de laisser la porte d'entrée de son appartement grande ouverte. Surtout à l'heure où il est relativement facile de récupérer un certain nombre d'informations liées à une personne sur les réseaux sociaux et sur le web en général.

Jouer sur la complexité
Plus il y a de caractères différents, plus il y a de combinaisons possibles, et donc moins de probabilités de deviner le mot de passe. Il est ainsi conseillé d'utiliser à la fois des lettres, des chiffres et des caractères spéciaux. L'utilisation des majuscules augmente encore le nombre de possibilités.

Jouer sur la longueur
La longueur d'un mot de passe est un élément sous-estimé pour bénéficier d'un niveau de sécurité plus élevé. Elle représente un facteur important qui influence directement la résistance des mots de passe face aux tentatives de déchiffrage, même si elle ne les immunise pas. C'est pour cette raison que certains sites ou applications demandent un minimum de 8 caractères ou plus.

Il existe donc certaines astuces et conseils que chacun peut appliquer pour renforcer le niveau de sécurité des mots de passe. Ces différents moyens simples, mais certes efficaces permettent de réduire le risque. Plus exactement, leur mise en application permet de ne pas être en première ligne si un site ou une entreprise est victime d'une fuite de données, qu'elle soit frauduleuse ou accidentelle.

Mais ces principes ne rendent pas les mots de passe inviolables, loin s'en faut. Si un non-initié est capable de craquer plusieurs milliers de mots de passe en quelques heures, imaginez ce que peut faire un expert avec les bons outils. C'est ce que montre l'expérience menée par Ars Technica: la très grande majorité des mots de passe peuvent être déchiffrés en quelques heures, et cela est virtuellement à la portée de n'importe qui. En réalité, la protection offerte par les mots de passe est bien mince, et déployer des efforts d'imagination pour constituer les plus complexes n'y change malheureusement pas grand-chose. Rappelons qu'Ars Technica a réalisé son test sur une liste de plus de 16 000 mots de passe encryptés avec la fonction MD5, c'est-à-dire l'une des plus communément utilisées.

Faut-il persévérer avec les mots de passe?

Inutile de préciser que la tendance est à la dématérialisation des procédures et des échanges, qu'il s'agisse de données, de biens ou d'argent. Les projets de modernisation des États sont à l'œuvre partout, le commerce électronique croît de 20% chaque année, et le développement des paiements électroniques stimule la croissance de nombreux secteurs d'activité.

Il n'est pas difficile de se projeter et de savoir que nous allons utiliser de plus en plus de services en ligne, pour de plus en plus de choses. Chacun de ces services nécessitant de s'authentifier, il est évident que nous allons devoir créer et mémoriser de plus en plus de mots de passe. Et, si nous tenons à un minimum de protection, de plus en plus de mots de passe longs et complexes. Pour l'utilisateur, cela deviendra forcément ingérable à un moment ou un autre.

Or, plus les intérêts sont grands et nombreux, plus on se doit protéger le consommateur ou l'entreprise. Plus on veut favoriser la dématérialisation des actes quotidiens, plus la protection de l'identité et des données est centrale.

Même si les bonnes pratiques que nous avons évoquées restent des conseils pertinents et valables, les imperfections des mots de passe - leur vulnérabilité et les limites de l'utilisateur en termes de capacités de mémorisation - sont trop importantes. Les mots de passe, dans leur forme actuelle d'utilisation, peuvent difficilement se concevoir comme une solution fiable et acceptable sur le long terme. Ils sont trop faciles à casser et, si cela était nécessaire, il suffit d'observer la croissance préoccupante des cas d'usurpation d'identité numérique pour prendre la mesure du risque que nous prenons virtuellement chaque jour.

En fait, il existerait bien une solution pour garantir un niveau de protection maximum à un mot de passe: le changer à chaque connexion. Naturellement, cela n'est pas très réaliste à l'usage.

Le salut est dans le téléphone intelligent

Si l'époque est à la "consumérisation des usages" (les usages technologiques privés influencent et orientent les usages professionnels), la relation n'est pas à sens unique. Comme souvent, certaines innovations issues du secteur professionnel finissent par se démocratiser et devenir la norme dans la sphère privée. En sera-t-il ainsi concernant la manière dont nous nous authentifions en ligne?

En matière de sécurité numérique et d'authentification, les secteurs professionnels les plus sensibles (notamment le secteur bancaire) utilisent depuis longtemps l'authentification forte et les mots de passe dynamiques. Il s'agit de mots de passe générés à la demande, et utilisables uniquement pour une opération précise et pendant un laps de temps limité. Ce principe de l'usage unique est l'un des meilleurs facteurs de protection et le garant de la sécurité des données, y compris en cas de fuite ou de vol de fichiers. Si un de vos mots de passe tombe entre les mains d'un hacker, peu importe puisqu'il ne servira plus à rien. La clé, c'est l'usage unique.

Jusqu'à présent, cette technologie était difficilement transposable dans le privé, car elle nécessite de posséder un petit terminal permettant de générer un mot de passe à usage unique et de l'afficher. Trop spécifique, trop contraignant. Mais le consommateur a changé, et il a désormais toujours avec lui un terminal particulièrement puissant et polyvalent: son téléphone intelligent. Cela change tout. Et cela permet de transposer les technologies d'authentification forte et de mots de passe dynamiques chez les consommateurs.

Certaines solutions vont même plus loin en permettant de s'authentifier en scannant un QR code à l'aide de son téléphone intelligent, renforçant encore le niveau de sécurité et la facilité d'utilisation. C'est ce dernier aspect qui va permettre de généraliser l'usage des mots de passe à usage unique: la facilité d'utilisation et l'adoption des consommateurs. Ces derniers ont déjà adopté le geste du QR code pour bien des choses. Il n'y a qu'un pas pour en faire la procédure d'authentification de nouvelle génération.

VOIR AUSSI SUR LE HUFFPOST

Loading Slideshow...
  • Avoir un mot de passe "fort"

    Avant toute chose, il est important de sécuriser ses mots de passe, ce que l'on appelle avoir un mot de passe "fort". Pour ce faire, il faut que celui-ci soit relativement long (au minimum 7 caractères), et pas uniquement composé de lettres. Majuscules, chiffres et signes doivent être de la partie (par exemple, "HufFington2013@PoSt!"). Pour tester la force d'un mot de passe, c'est <a href="http://www.passwordmeter.com/" target="_blank">par ici</a>. S'il faut pouvoir s'en souvenir, il faut aussi éviter d'utiliser des noms ou chiffres facilement identifiables, tel votre date de naissance, votre numéro de département ou le nom de votre chien. Ces informations peuvent facilement être retrouvées par des pirates si vous ne faites pas très attention à votre vie privée.

  • Diversifier ses mots de passe

    Mais avoir un mot de passe fort ne suffit pas, il faut penser à les diversifier. Car si jamais l'un des sites sur lequel vous êtes connecté est piraté, alors tous vos comptes sont potentiellement concernés si vous n'avez pas différents mots de passe. Dans l'idéal, il faudrait avoir un mot de passe pour chaque site. Dans les faits, vous pouvez utiliser le même mot de passe, relativement basique, pour tous les sites non-critiques (forums, site d'entraide, etc) avec quelques variables (une majuscule, un chiffre, un signe de ponctuation, etc). Par contre, pour des sites regroupant plusieurs informations (une boite mail) ou sur lesquels des informations personnelles comme vos coordonnées bancaires sont stockées, n'hésitez pas à "blinder" votre mot de passe. Enfin, si vous n'avez pas de mémoire, plutôt que de noter votre mot de passe sur des bouts de papiers, vous pouvez utiliser un gestionnaire de mots de passe. La plupart sont cryptés et sécurisés, mais cela revient tout de même à regrouper tous ses oeufs dans le même panier. Voici un <a href="http://www.infos-du-net.com/actualite/dossiers/240-securite-cryptage.html" target="_blank">petit comparatif de ces logiciels</a> réalisé par Tom's guide.

  • La double vérification

    Un mot de passe fort, c'est bien. Des mots de passe diversifiés, c'est mieux. Mais parfois, ça ne suffit pas. Sur certains sites sensibles (comme votre mail principal qui regroupe la plupart de vos informations), deux vérifications valent mieux qu'une. Ainsi, la plupart des géants du web proposent depuis peu un système de double authentification. Une fois le mot de passe tapé, il faut rentrer un code chiffré généré aléatoirement par SMS ou via une application mobile. Ce système existe entre autres chez Google, Facebook, Twitter, Microsoft, Evernote, Amazon, LinkedIn Dropbox ou encore eBay.

  • Sécuriser sa connexion

    Comme dit précédemment, il faut éviter de naviguer sur des sites inconnus, peu référencés ou suspects. Car même si vous évitez d'installer des programmes sur votre ordinateur, une simple visite sur une page peut permettre à un pirate d'avoir accès à certaines informations... comme les mots de passe que vous tapez. En dehors d'une prudence à la limite de la paranoïa, il y a surtout deux choses à faire si vous n'êtes pas sûrs du site sur lequel vous êtes: • Si vous devez renseigner des informations personnelles, vérifiez que l'url (l'adresse du site) commence bien par "https" et non par "http", ce qui veut dire que la connexion est sécurisée. Un cadenas jaune doit aussi apparaître à gauche de l'adresse. • De manière générale, il peut être intéressant d'installer sur votre navigateur web des extensions permettant de bloquer le "JavaScript". Ce langage permet de rendre des pages interactives, mais peut aussi poser des problèmes de sécurité. De nombreuses extensions comme "No Script" existent sur les navigateurs Firefox et Chrome. Ils permettent de bloquer par défaut l'utilisation du JavaScript, mais vous permet de mettre les sites de votre choix sur une liste blanche.

  • Bonus: sécuriser son smartphone

    C'est bien beau de sécuriser vos mots de passe, mais si vous vous faites voler votre smartphone, cela ne servira pas à grand-chose. Car sur votre téléphone, vos sessions sont en général ouvertes par défaut. Voici donc quelques autres astuces pour sécuriser son smartphone.

  • Mettre un code de verrouillage

    La chose la plus simple à faire, mais aussi quelque peu contraignante, consiste à mettre en place un code de verrouillage sur l'écran d'accueil. Tous les smartphones proposent cette option, soit sous la forme d'un mot de passe, d'une série de chiffres, voire d'une forme géométrique à reproduire. Si quelqu'un souhaite utiliser votre smartphone sans votre permission, il ne pourra donc rien faire (à part appeler un numéro d'urgence) sans ce code. Par contre, vous devrez de votre côté taper ce code à chaque fois que vous voulez faire la moindre chose sur votre téléphone.

  • Rester en terrain connu

    Même si un smartphone n'est pas un ordinateur, il possède potentiellement des failles pouvant être exploitées. Ainsi, si vous voulez tenter des manipulations qui ne sont pas prévues par les constructeurs, soyez sur vos gardes. Le "jailbreak" pour l'iPhone ou "Root" pour les smartphones Android permet de déverrouiller de nombreuses fonctions, mais expose aussi le téléphone aux virus (et annule la garantie). Attention donc à vos données personnelles. Autre précision: si l'iPhone est totalement fermé par défaut, Android permet lui d'installer des applications qui ne proviennent pas directement du magasin officiel (Google Play). Si vous faites cela, soyez conscients que l'application que vous installez n'a pas été vérifiée par Google. Vous pouvez aussi mettre un antivirus sur votre smartphone, même si ceux-ci risquent de diminuer la durée de vie de votre batterie.

  • Sécuriser ses données sur son smartphone

    Si vous n'avez pas envie de bloquer votre écran d'accueil, vous pouvez aussi sécuriser certaines applications ou données sur votre smartphone. Il existe de nombreuses applications sur les différents types de smartphones permettant de stocker derrière un mot de passe vos photos ou vos données, comme Picture safe. Certains programmes proposent même de mettre un mot de passe sur les applications de votre choix, comme Smart App Protector, afin que personne ne puisse utiliser votre compte Facebook par exemple.

 
Suivre Le HuffPost Québec