Les multiples risques liés à l’authentification par mot de passe

7 mai 2013

Le mot de passe reste aujourd’hui le mode d’authentification sans doute le plus utilisé dans le monde pour accéder à des bases de données ou des outils informatiques.

Certes, la biométrie, les cartes d’identité à puce, les générateurs de codes aléatoires font également partie du paysage. Le mot de passe est toutefois loin encore d’un détrônement pas ces technologies.

Or, on le comprend bien, le mot de passe est clairement un outil de protection bien faible.

Selon la société spécialisée Ping Identity, 39% des intrusions et des vols de données dans les entreprises sont aujourd’hui le fruit, au départ, d’un vol de mot de passe.

Mots de passe si prévisibles…

Les problèmes de protection posé par la mécanique du mot de passe sont multiples.

Premier problème : beaucoup de mots de passe sont très prévisibles.

On connaît les exemples évidents de la date de naissance des enfants, du nom du chien, du nom de famille de sa belle famille écrits à l’envers, etc… Mais ce ne sont pas les seuls cas de degré de protection faible dans le choix personnel des mots de passe mémorisables.

Les mots de passe chiffrés ne sont pas nécessairement plus sûrs.

Le site internet Slate.fr  se réfère ainsi à un article publié par le développeur Daniel Amitay. Ce dernier avait très facilement pu définir la liste des dix codes de quatre chiffres les plus usités pour déverrouiller son iPhone. En voici la liste :

  • 1234
  • 0000
  • 2580
  • 1111
  • 5555
  • 5683
  • 0852
  • 2222
  • 1212
  • 1998

Multiplication des mots de passe, pas une solution

Les entreprises tentent par divers moyens de contrecarrer cette tendance bien humaine à la facilité mnémotechnique.

Un de ces moyens vise à imposer des mots de passe très complexes. Obstacle : ces derniers sont aussi difficiles à retenir qu’à créer.

Une autre option consiste à recourir à des mots de passe différents pour accéder à des applications variées.

Selon Ping Identity, 27% des entreprises américaines imposent à leurs employés l’utilisation d’au moins six ou plus de mots de passe.

Mais cette pratique, censée fragmenter les risques liés à la perte ou au vol d’un mot de passe, engendre, en fait, d’autres types de risque.

En effet, en tenant compte des sphères privées et professionnelles, la palette totale des mots de passe dont doit se rappeler l’employé d’une entreprise peut compter jusqu’à 15 mots de passe différents. Or, selon l’étude de Ping, 60% des employés concèdent ne pas arriver à se souvenir de l’ensemble des mots de passe en leur possession.

Le même mot de passe réutilisé encore et encore…

A contrario, le problème inverse survient aussi. Une autre frange de la population se limite à un mot de passe commun pour tous leurs accès sécurisés…

En France, selon Slate.fr, 55% des internautes emploient le même mot de passe pour quasiment tous les services et applications en ligne qu’ils utilisent.

Cette tendance est confirmée par l’étude Ping. Quelque 61% des personnes sondées par la société spécialisée reconnaissent utiliser le même mot de passe pour tout. Par ailleurs, seulement  44% des employés interrogés disent qu’ils changent leur mot de passe moins d’une fois par an…

Un changement fréquent ne résout pas non plus l’équation

La solution pourrait-elle venir d’une modification fréquente des mots de passe utilisés ? Tous les deux mois, par exemple ?

Là non plus, cette piste n’est pas la panacée… Les entreprises qui imposent un changement fréquent de mot de passe donnent naissance à de nouveaux comportements à risques.

Certains employés qui n’arrivent pas à suivre le rythme des changements se rabattent sur des aides mémoires sans sécurité. Ils utilisent, par exemple, leur navigateur internet pour enregistrer leurs mots de passe. Ce dernier  s’active  automatiquement lors de la connexion aux applications concernées. Il suffit qu’un tiers manipule l’ordinateur d’une personne donnée pour qu’il accède sans difficulté à tous les outils en ligne utilisés par son propriétaire.

D’autres mettent à jour des « anti-sèches » qu’ils stockent dans un document Word ou, pire, sous leur mouse pad… Un oubli et tous les mots de passe peuvent se retrouver très rapidement dans des mains non-appropriées.

D’un élément censé accroître la résistance des systèmes, la multiplication et le renouvellement constant des mots de passe engendrent donc de nouvelles failles de sécurité…

« Demain, vous ne serez peut-être pas sûr de qui vous parle en visio-conférence »

17 août 2011

« IPhonegate »: l’erreur humaine reste la première cause de fuite et ce n’est pas prêt de changer

30 avril 2010

L’affaire de l’ « iPhonegate » rappelle que la protection des secrets de fabrication n’est pas infaillible même dans une entreprise aussi proéminente dans le monde des nouvelles technologies de communication qu’Apple.

Pour rappel, tout est parti d’un ingénieur de la firme à la pomme parti s’amuser un soir dans un bar bavarois de la Silicon Valley où il oublia… un prototype du iPhone GS4, la prochaine version du smartphone le plus populaire du moment.

Pas de chance. On ne sait trop comment, le blog spécialisé Gizmodo a mis la main sur l’appareil. Le rédacteur Jason Chen a sorti immédiatement le scoop sous  la forme d’une vidéo descriptive du produit attendu seulement sur les étals dans la deuxième moitié de l’année…

Cette vidéo vaut désormais au journaliste quelques soucis judiciaires. Mais il s’agit d’une autre histoire…

Protection élémentaires des secrets de cuisine, l’erreur est souvent humaine…

Nous avons beau nous mouvoir dans un environnement où l’information n’est plus propriétaire et où l’échange devient la norme… la grande communion de l’ouverture totale demeure un idéal qu’il convient d’encadrer de quelques précautions.

Les murailles sont une chose. La plupart des histoire de fuites et de secrets éventés sont le fait d’une erreur humaine.

Malgré le coffre-fort bâti autour de ses filières d’innovation, Apple n’a pu prévenir le relâchement d’un de ses employés. Les conséquences sont fâcheuses.

Beaucoup de mots de passe sont traçables en constituant un profil des individus grâce aux données personnelles en lignes

Un excellent débat en ligne, enregistré sur par TechTocTV, faisait récemment le point sur le sujet de la protection des données et des menaces posées par des concurrents à l’affût.

Les intervenants soulignaient notamment les risques liés simplement à la faible complexité des mots de passe permettant aux employés d’accéder au système informatique de l’entreprise.

« Trop souvent, on se contente de références personnelles. Or ces données sont aujourd’hui aisément retrouvables en ligne… »

Apparition du social engineering pour reconstitué des flux de données stratégiques…

« Sur Facebook, on retrouve votre date de naissance, le nom de vos parents, de votre petit ami, de votre chien, votre lieu de résidence… Dans une ancienne où je travaillais, la consigne était que le service informatique confiait un mot de passe aléatoire, inchangeable par l’utilisateur », poursuit Guillaume Soulet, président fondateurde l’ILCN, un think tank du numérique. On entre  dans le social engineering, où l’on commence à retracer la psychologie de la personne pour deviner son mot de passe…« 

Pour Fabrice Frossard, responsable du site internet du magazine L’Usine Nouvelle, les réseaux sociaux ont démultiplié le nombre de personnes en ligne.

Cela dit, les problème de charte existaient avant les réseaux sociaux :

« On se souvient de post-it à côté de l’écran avec le mot de passe inscrit dessus », rappelle-t-il

Pratiques de prédateurs sur les réseaux sociaux

Certains concurrents adoptent des pratiques plus vicieuses encore.

« On voit désormais, parfois, sur LinkedIn, apparaître de fausses offres d’emploi très alléchantes afin de passé au peigne fin le marché des compétences disponibles dans une discipline donnée, puis tracker ensuite un certain nombre de personnes clés ».

Des précautions élémentaires pour protéger ses données

Sans entrer dans la paranoïa, comment se protéger un minimum, dès lors ?

Pour Fabrice Frossard, si l’humain est très confiant de nature, quelques habitudes sont bonnes à prendre:

« Quand j’appelle et que je dis que je suis journaliste, on ne me demande jamais de me rappeler… C’est pourtant un réflex simple »

« Quand parle d’un client, il vaut mieux pour la société donner un nom de code à celui. Pas parler de la société X, mais l’appeler entre vous Mickey Mouse ou autre. Ainsi, vous pourrez en parler dans des lieux publics sans risque, échanger tranquillement… Le TGV Paris-Luxembourg, par exemple, a donné lieu à plusieurs scandales dans le passé. En procédant de la sorte, les intéressés auraient évité quelques tracas… », illustre-t-il encore.

Tariq Krim (Jolicloud): « Je ne paie pas pour Gmail ou Facebook. Pourquoi devrais-je payer un operating système? »

16 mars 2010

Tariq Krim est une célébrité de l’univers web.

Cet ancien journaliste français, devenu web entrepreneur, a lancé le tableau de bord et agrégateur de contenus personnels Netvibes.

Aujourd’hui, il se lance dans une nouvelle aventure: celle de l’informatique distribuée.

Jolicloud est un système opérationnel (O.S., comme le sont Windows, de Microsoft, ou Mac OS d’Apple) pour ordinateur, hébergé dans la nuée des millers de serveurs reliés entre eux à travers le Globe. Ce que l’on appelle le cloud ou informatique en nuage.

Moins de risque de pertes de données, pas de problème de sauvegarde. Plus d’achat coûteux. Jolicloud est gratuit.

(interview réalisée à l’occasion de l’événement Plugg.eu)