La gestion de mots de passe pour accéder au WEB

Avec l’explosion du nombre de services web dans des contextes personnels, professionnels, d’études, parfois même pour un proche n’ayant pas Internet, la gestion des mots de passe peut vite virer au casse-tête. Ajoutez à cela, les données virtuelles comme les objets matériels peuvent être sujets au vol et au piratage.

27 commentaires Donner une note  l'article (4.5)

Article lu   fois.

L'auteur

Profil Pro

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

1. Introduction

Avant de se lancer dans une analyse, il convient de se pencher sur le type de web services utilisés et des mots de passe associés.

En effet on peut classer les web services en deux grandes « familles ». Les services dits « essentiels / primaires », afin de faire fonctionner, une collectivité, un pays, une institution… l’affiliation est bien souvent obligatoire. Ces services sont considérés comme « vitaux ».

L’autre grande famille est tout ce qui relève du « non essentiel ». Cela inclut tout ce qui a trait aux médias, la communication, les loisirs, les jeux, la détente, le divertissement, l'information, les débats, les opinions, la consommation … L’adhésion à ce type de services relève de « l’envie » de l’utilisateur et non d’un besoin « légal » ou « réglementaire ».

Avec l’explosion du nombre de services web dans des contextes personnels, professionnels, d’études parfois même pour un proche n’ayant pas Internet, la gestion des mots de passe peut vite virer au casse-tête. Ajoutez à cela, les données virtuelles comme les objets matériels peuvent être sujets au vol et au piratage.

2. Les gestionnaires de mots de passe

2-1. Les gestionnaires embarqués « locaux »

Ce type de gestionnaire de mots de passe peut être assimilé à celui embarqué dans un navigateur (par exemple Firefox ou Google : https://support.mozilla.org/fr/kb/gestionnaire-mots-passe , https://support.google.com/accounts/answer/6208650?hl=fr) .

Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.

Ce type de solution peut paraître très alléchant, pourtant non. En effet un ordinateur seul peut être soumis au vol, à l’altération/casse du disque dur, aux rançongiciels ou encore à l’interception de la frappe clavier. De ce fait, ce type de solution n’apparaît pas du tout comme sûre au vu des risques encourus. Le risque principal est que le mot de passe « master » soit totalement bloqué et inutilisable, bloquant les mots de passe de tous les autres services web.

2-2. Les gestionnaires via un prestataire

Ce type de gestionnaire de mot de passe peut être assimilé à celui qui nécessite un compte chez un prestataire de services, tout en cryptant et chiffrant les mots de passe à distance (par exemple Sticky, Keeper ou LastPass : https://keepersecurity.com/fr_FR/ , https://www.lastpass.com/fr, https://www.stickypassword.com/fr/gestionnaire-de-mots-de-passe-gratuit-ou-premium ) .

Ici le logiciel a besoin d’un « compte » pour gérer la liste des services web où il faudra crypter et chiffrer les mots de passe.

Ce type de solution peut paraître une fois de plus très alléchant, pourtant non.

Pour preuve, illustrons la situation. Imaginez-vous propriétaire d’une maison pavillonnaire. Votre maison se retrouve cambriolée. On force votre porte d’entrée, et vous êtes victime d’un sabotage de votre système d'alarme. Votre clé de boite aux lettres, portail, abris de jardin, du cadenas du vélo, de voiture, le double de chez pépé Jeannot, de la maison de vacances, du camping-car et j’en passe… sont à la vue des cambrioleurs. Le tout soigneusement rangé dans une boite… Les cambrioleurs peuvent au choix mouler les clés pour les reproduire, voire repartir avec pour faire main basse sur ce qui vous appartient.

Pour retranscrire cette situation au monde numérique, cela reviendrait à dire que le prestataire s’est fait siphonner sa base de données. Finalement les pirates utiliseraient les informations trouvées pour se connecter à vos comptes à votre place.

Ce type de situation est malheureusement déjà une réalité : https://www.01net.com/actualites/plus-de-22-milliards-d-identifiants-et-mots-de-passe-circulent-sur-le-dark-web-mais-ce-n-est-pas-si-grave-1624343.html , https://www.zataz.com/des-pirates-se-sont-invites-dans-loutil-de-securite-lastpass/ . À noter, près de 2 milliards d’identifiants circulent dans le marché noir, LastPass a déjà été victime de ce type de hacking.

Ce type de risque décrédibilise fortement les gestionnaires de mots de passe qui ne sont donc pas à l’abri d’un piratage de la base de données du prestataire.

Comme le dit si bien l’adage, on ne met jamais tous ses œufs dans le même panier. Pourquoi courir le risque de devoir changer TOUS ses mots de passe si le mot de passe master est piraté ou volé ? Tout comme dans le monde réel, il est plus opportun de limiter des dégâts, à ne devoir changer qu’une serrure/clé que toutes celles de la maison et des dépendances.

3. Le token

Le token est une invention qui date de la fin des années 1980 , début 1990. Celui-ci permet de capter un signal radio ou bien un SMS via une carte SIM. Le token est à voir comme un mot de passe limité dans le temps accolé à un dispositif.

Ce système sert à se connecter à des applications bancaires essentiellement pour limiter l’intrusion. Un système de durée de validité dans le temps limite l’utilisation du code qui changera.

Ce type de solution présente des difficultés. Cela suppose la maintenance d’un parc de machines à synchroniser, ainsi que la maintenance de matériel qui n’est pas à l’abri de panne ou de perte.

Une autre limite est celle de l’utilisation d’un mode de connexion associé (type SMS) qui impose bien souvent l’utilisation d’un téléphone en complément et vient alourdir le processus de connexion.

Le token comporte donc aussi un risque et n’est pas non plus une solution généralisable à grande échelle pour gérer un grand nombre de connexions.

4. Le SMS/APPEL

Afin de prouver qu’une personne physique est bien le propriétaire légitime d’un compte, la réception d’un SMS/APPEL peut s’imposer dans un accès à un service web.

Ici un appel ou SMS permet de vérifier la véracité de la présence physique et/ou géographique d’une personne en lui envoyant un code à saisir. Ce code est un mot de passe temporaire sur le même principe que le token.

Ce type d’identification est l’un des plus sûrs, une ligne fixe peut justifier la présence d’une personne à un endroit physique disposant d’une adresse postale. Plus particulièrement avec un numéro de téléphone géographique.

Cependant il y a une limite quand on tombe dans le domaine du « mobile ». Un SMS peut être intercepté, dans le pire des cas c’est le mobile qui est volé, perdu ou cassé.

À noter que le principe de localisation géographique grâce à un numéro de téléphone géographique, est remis en cause par l’ARCERP : https://www.arcep.fr/actualites/les-communiques-de-presse/detail/n/plan-de-numerotation-3.html . Un utilisateur de Lille pourrait par exemple conserver son numéro une fois installé à Lyon ou Toulouse. Ce système risque d’impacter le principe de géolocalisation et de sécurisation dans un processus d’authentification d’un numéro géographique.

5. Le mail

Afin d’accéder à un compte, une validation par mail peut être nécessaire en cliquant sur un lien ou en recevant un code. Ici encore le principe du « token » s’applique.

Cependant ce dispositif seul est assez peu « sécure », en effet une tierce personne peut écouter le trafic mail, voire dans le pire des cas la boite mail peut carrément elle-même se faire attaquer.

Un autre facteur du manque de sécurité est celui du « lien » de validation. En effet l’organisme qui envoie le lien peut être victime d’une fuite de type « incrémental ». Un lien formé d’un numéro ou d’un token mal programmé peut engendrer la consultation à partir de celui-ci d’un autre profil que le sien.

Le canal mail n’apparaît donc pas non plus idéal pour la sécurisation.

6. Le courrier papier

Pour prouver l’identité physique d’un utilisateur et de son adresse postale, un organisme peut envoyer un mot de passe par courrier papier. Ce type de canal peut paraître désuet pourtant celui-ci permet d’attester l’existence physique d’un utilisateur pour des services tels que : Digiposte de La Poste, Les Voisins Veilles, Voisins vigilants et solidaires (en France et Belgique).

Cependant ce canal est tributaire de plusieurs « failles ». On peut citer la perte ou le vol du courrier papier. Mais également le fait de personnes « corrompues » directement au sein des sociétés de livraisons de courriers (reventes de documents d’origine pour faire des faux papiers, usurper l’identité d’une autre personne…)

Le canal papier pour un mot de passe n’apparaît donc clairement pas optimum en matière de sécurité.

7. La carte

La carte est l’un des moyens d’identification les plus répandus pour faire abstraction de la saisie d’un code. Cependant celle-ci est l’un des moyens les plus usurpés/copiés/ volés. Selon la récence de la technologie, il existe un risque plus ou moins élevé.

7-1. Carte à piste

La technologie la plus exposée est celle de la carte à piste. En effet ce système ne nécessite aucune saisie du code dans certains cas (péage, parking, sabot… ) . Plusieurs pays tels que les USA, l’Amérique latine ou encore des pays d’Asie du Sud Est sont réputés dangereux dans la copie frauduleuse des cartes bancaires. L’exemple d’utilisation frauduleuse le plus connu et le retrait en DAB ou encore le paiement avec des cartes expirées/bloquées dans des péages en Espagne.

La piste est également très sensible à tout ce qui est « skimmer » ou champ magnétique.

7-2. Caste à puce

La technologie de carte à puce est une technologie plutôt récente. Elle est également sujette au risque très important de fraude et de copie. Ce moyen d’identification doit aussi composer avec l’altération, car la puce est directement à l’air libre (griffe, rayure…). Le risque de copie d’une puce existe, cependant ce moyen est un peu plus complexe qu’une simple copie de bande magnétique. La carte à puce apparaît donc quand même plus sécurisé que la piste magnétique.

7-3. Carte RFID

Nouvelle technologie sur les cartes depuis le début des années 2010, le RFID aussi dit « sans contact » permet de payer ou de s’identifier pour passer une porte par exemple. Cette technologie est encore très sensible au vu de son jeune âge. En effet le trafic d’onde « RFID » peut être écouté, dans certains cas même on peut carrément copier ou récupérer des informations de la carte elle-même. Une protection « physique » de type « cage de faraday » doit venir protéger la carte contre les ondes et l’écoute de celle-ci. Cette technologie n’est pas encore 100 % au point et reste sujette encore à de nombreuses violations.

Comme tout système physique, la carte est un dispositif qui a une durée de vie limitée dans le temps. En effet l’objet peut arriver en fin de vie et ne plus fonctionner, résultat, pour accéder à un endroit ou une application cela peut bloquer. La carte est aussi soumise au vol ou à la perte.

8. La reconnaissance faciale ou par empreintes digitales

Ce type de technologie peut paraître « la » solution idéale. Pour rendre une personne « unique », ces empreintes ADN ou sa tête sont vues comme uniques. Pourtant non, car cela suppose la présence physique de la personne pour accéder au service.

À noter, l’identification par reconnaissance faciale souffre d’une grosse lacune, de nombreux systèmes peuvent être trompés par une photo à la place d’un vrai visage. Cela a encore été récemment démontré avec des smartphones de la marque Apple et Samsung : https://www.laquadrature.net/2019/06/21/le-vrai-visage-de-la-reconnaissance-faciale/ .

Pour les empreintes digitales, c’est encore pire. Il circule sur Internet un nombre incalculable de vidéos où les fraudeurs n’hésitent pas à utiliser des photos HD d’empreintes, ainsi que des appareils pour fabriquer les circuits imprimer en imprimant le tout sur de vulgaires feuilles transparentes… La fine couche d’encre sur les feuilles transparentes arrive à tromper de nombreux systèmes de lecture d’empreintes.

Le système par reconnaissance est également limité en cas de décès ou d’accident (perte d’un doigt par exemple). Le système peut se retrouver définitivement inaccessible.

9. Tableau comparatif de fiabilité des différentes technologies

Technologie

Risque de piratage d’une base de données

Risque de rançongiciel et keylogger

Risque d’accès frauduleux après piratage

Risque de vol physique

Risque de perte physique

Risque de casse physique

SCORE de faiblesse

Les gestionnaires de mots de passe locaux

0

1

1

1

1

1

5

Les gestionnaires de mots de passe chez un prestataire

1

0

1

0

0

0

2

Le token

0

0

0

1

1

1

3

SMS / appel

0

0

1

1

1

1

3

Mail

1

0

1

0

0

0

2

Courrier Papier

0

0

1

1

1

1

4

Carte

1

0

1

1

1

1

5

* 1 = risque existant

* 0 = risque

* SCORE = Niveau de faiblesse sur une échelle de 1 à 6 , 1 excellent , 6 très mauvais.

10. Les bonnes pratiques : les solutions à la gestion et au stockage des mots de passe

Pour limiter « la retenue intempestive » et la gestion de mots de passe, il est possible d’utiliser plusieurs parades.

Depuis plusieurs années, pour limiter le risque de piratage des webmails les sociétés comme Google, Microsoft, Yandex ou encore La Poste proposent d’utiliser des alias. En effet ces adresses mail alias permettent de recevoir et d’émettre du courrier sans pour autant autoriser la connexion avec celles-ci. Le gros avantage réside dans le fait de pouvoir utiliser un alias à partir de la messagerie principale sans avoir besoin de communiquer celle-ci.

Changer l’adresse mail sur un service web (qui est un alias de son adresse principale), permet d’assurer une continuité de celle-ci. Le tout sans avoir à subir une bascule sur un nouveau compte. La bascule d’une adresse principale est très contraignante pour les échanges avec les contacts/récupérations des données/calendriers/personnes non prévenues…

L’utilisation des adresses mail alias permet de supprimer une adresse mail trop polluée ou qui fait partie d’une base de données piratée.

Il est possible de coupler l’utilisation des alias à l’utilisation de la fonction « mot de passe oublié » des services web. Cela permet à l’utilisateur de limiter le nombre de mots de passe à retenir ainsi que l’épineuse question du stockage ou non et de la sécurisation de ceux-ci. On limite donc forcément les risques de fuite et de piratage en ne stockant pas de l’information ultra sensible.

Pour continuer de couper l’herbe sous le pied aux tentatives d’accès par attaque avec force brute, c’est penser à utiliser la « passphrase ». Cela consiste à faire un mot de passe facile à retenir tout en jouant sur l’orthographe, la syntaxe et le sens de celui-ci avec un mot plutôt long (20 à 30 caractères).

Exemple : « jaimelesrenaults4ldecollection » peut devenir «J@imelesren@ults4L2collection » , ou encore « 2kpdp » peut devenir « 2c@pesetdepees* » .

Dans notre exemple, un brut de force aura plus de mal avec un dictionnaire pour essayer de casser le mot de passe. Au plus le mot est long, au plus le nombre de possibilités augmente ainsi que l’alphabet de caractères utilisés.

Une solution pour le moins radicale est d’utiliser un mot de passe dans une autre langue. Des pirates qui essayeraient des termes en anglais sur un service web anglophone seraient démunis face à un mot en italien ou en allemand… Le tout étant de leurrer les pirates. Un service web populaire auprès d’une population donnée aura plus de chances de contenir des mots de passe dans une langue qu’une autre. Si l’on change par une langue « rare », le piratage et le déchiffrement deviennent tout de suite plus compliqués, mais pas impossibles.

Pour les utilisateurs expérimentés, vous pouvez vous-mêmes dans un fichier crypté et chiffré noter vos précieux sésames à condition que la clé ne soit pas « cassable » ni « en ligne » sur Internet ni en accompagnement du fichier. Le but étant d’avoir une version de secours que vous et vous seul puissiez déchiffrer.

Vous avez un bonne mémoire ? Vous pouvez retenir vos précieux sésames. Là au moins pas de risque de piratage ou de vol… dans votre mémoire !

11. Conclusion

Il apparaît donc finalement que vouloir protéger les mots de passe, en les stockant relève plutôt d’une hérésie qu’autre chose. C’est un véritable danger. En particulier les gestionnaires de mots de passe soumis aux aléas du piratage et de la défaillance technique. Le plus sage, reste bien évidemment d’écarter cette technologie qui n’est pas du tout aussi fiable qu’elle veut le prétendre.

Le mieux étant de coupler plusieurs systèmes et mesures de sécurité et d’identification pour prouver qu’on est bien le propriétaire légitime d’un compte.

En somme pour s’identifier cela revient à éclater l’information sur plusieurs facteurs comme suit :

  • ce que l’utilisateur connait > un mot de passe ;
  • où il est physiquement > la validation d’une adresse postale physique ou d’un numéro de ligne fixe ;
  • ce qu’il possède pour s’identifier > une clé USB, un token, un numéro de mobile pour les SMS, une carte ;
  • qui est l’utilisateur > son visage, ses empreintes digitales, son ADN.

Une authentification à plusieurs facteurs va combiner au minimum deux de ces éléments.

Noter tout de même de ne jamais utiliser le même mot de passe sur deux services web différents… Et bien évidemment ne jamais donner d'information à un site web sauf nécessité absolue…

Qu’en pensez-vous ?

Selon vous y a-t-il une solution meilleure que d’autres ?

Que pensez-vous des substituts au mot de passe traditionnel ?

Quelle solution voyez-vous dans le futur ?

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

  

Les sources présentées sur cette page sont libres de droits et vous pouvez les utiliser à votre convenance. Par contre, la page de présentation constitue une œuvre intellectuelle protégée par les droits d'auteur. Copyright © 2019 Tanaka59. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.