Faire changer périodiquement les mots de passe ne semble plus une bonne idée

de | 6 décembre 2016

Qui ne s’est pas agacé ou entendu geindre de devoir changer son mot de passe « trop » régulièrement ?

Il semble que la sécurité attendue par le changement périodique des mots de passe ne soit plus au rendrez-vous. Le NIST ouvrira prochainement la voie pour bannir cette pratique.

Le NIST (National Institute of Standards and Technology), agence américaine en charge de la définition de standards et des bonnes pratiques liés à l’utilisation des nouvelles technologies de l’information dans l’administration américaine, publiera prochainement des recommandations pour l’implémentation des mécanismes d’authentification « Special Publication 800-63-3: Digital Authentication Guidelines ». Ce guide adresse également la problématique de la gestion des mots de passe. En l’occurrence dans son annexe 1, le NIST recommande… d’arrêter de faire changer les mots de passe d’utilisateur. Le NIST préconise de renforcer la sécurité des mots en passe : minimum 8 caractères, maximum 64 autoriser les espaces ainsi que les caractères accentués. Sans le dire, le NIST ouvre la voie à l’utilisation des passphrases comme mot de passe. Par ailleurs et pour que sa recommandation fasse sens, le NIST précise qu’il est nécessaire de hautement sécuriser les mots de passe pour faire en sorte qu’en cas de vol de données, les mots de passe ne soient pas compromis.

Une fois l’effet de surprise passé et sans rejeter cette recommandation qui va à l’encontre des “bonnes pratiques” que nous préconisons pour la sécurisation des applications, je me suis lancé dans une recherche d’éléments qui donnent un sens à cette recommandation. Le bilan est instructif : lors d’un changement, le nouveau mot de passe d’un utilisateur peut être facilement deviné, Snif ! La majorité des utilisateurs applique un « algorithme » lorsqu’ils changent leurs mots de passe. Exemple : incrémenter un chiffre ou une lettre du mot de passe, généralement le dernier caractère… Qui ne l’a jamais fait ?

L’idée d’arrêter de faire changer le mot de passe d’un utilisateur ne semble pas aussi récente que ça : en 2006, une publication sur le blog du centre de recherche en sécurité de l’information de la très respectable université de Perdue [1], fustigeait “les bonnes pratiques” de sécurité de l’information que nous acceptons sans prise de recul. “Des bonnes pratiques” inefficaces voire potentiellement dangereuses pour la sécurité de l’information, le changement forcé périodiquement du mot de passe est une de ces bonnes pratiques. L’auteur justifie sa position en mettant en avant le fait que l’utilisateur subit les manquements dans certaines applications de protection de leurs mots de passe qui y sont stockés en clair, que le nouveau mot de passe est créé suivant des règles prédictives et que le même mot de passe est utilisé dans plusieurs applications. La conjoncture de ces trois éléments fait que le changement de mot de passe n’a pas/plus de sens.

En 2010, des chercheurs de l’université de Caroline du nord ont publié les résultats d’une recherche [2] durant laquelle ils ont développé un algorithme qui permet d’identifier le nouveau mot de passe d’un utilisateur à partir d’un ancien mot de passe. L’algorithme a été testésurles7700utilisateursstockésdansl’annuaire d’authentification de l’université, un utilisateurs disposant de plusieurs mots de passe dans l’annuaire). L’algorithme a réussi à “deviner” 41% des mots de passe à partir de l’historique des mots de passe… en quelques secondes. L’analyse a été réalisée sur plusieurs versions de la base de compte en mode offline.

Randall Munroe, ancien consultant à la NASA et auteur de la célèbre bande dessinée en ligne XKCD [3] en donne un bon exemple dans une de ses illustrations : le mot de passe (adapté en français) Tr0ub4dour&3 est constitué de substitutions trop standards, une           majuscule comme première lettre, o par 0 , A par 4, une ponctuation et un chiffre en fin de mot. Ces règles sont très faciles à tester avec une attaque avec un dictionnaire qui comporte le mot troubadour et des règles basiques de substitutions. Dans son illustration, Randall pointe un paradoxe : le mot de passe est complexe à retenir pour un utilisateur… mais facile à deviner pour un super-ordinateur.

Se pose la question du contenu de la passphrase : pas question d’utiliser des phrases toutes faites extraites de livres ou de chansons. A l’ère du tout digital et de la numérisation de toutes les œuvres, il sera facile pour un super-ordinateur d’utiliser les contenus numérisés pour tester les mots de passe. Pour adresser ce point, Randall Munroe [2] suggère de constituer une passphrase de 4 mots sans lien entre eux, tel que : correct cheval batterie agrafeuse. Mais, il y a toujours un « mais », l’utilisation des passphrases est confrontée à deux limites :

  • Que se soit pour les particuliers ou dans le contexte de l’entreprise : il est impossible pour un utilisateur de créer autant de passphrases que d’applications utilisées. Il y a de forte chance que les utilisateurs (ré)utiliseront systématiquement la même passphrase dans la majorité de leurs applications. Il suffirait que l’une d’entre elles ne protège pas suffisamment les passphrases de ses utilisateurs et qu’une personne malveillante accède à la base des comptes pour compromettre l’accès à l’ensemble des autres applications.
  • Dans le contexte d’entreprise : il subsiste encore de nombreuses applications qui ne supportent pas les passphrases voire supportent des mots de passe d’à peine 8 caractères sans utilisation de caractères spéciaux.

La solution consisterait à utiliser un coffre-fort sécurisé pour stocker les passphrases des différentes applications, le coffre-fort étant chiffré et protégé par une passphrase. Certaines solutions permettent de saisir automatiquement l’identifiant et la passphrase dans l’application, l’utilisateur n’a plus connaissance de la passphrase de l’application. Dans le monde des entreprises, ses types de solutions peuvent également changer périodiquement et automatiquement lespassphrasedans les applications, renforçant ainsi le niveau globale de sécurité tout en simplifiant la vie de l’utilisateur. Je sais, ça va à l’encontre du sujet de l’article : c’est pour celles-ci et ceux qui sont sceptiques sur la recommandation du NIST.

Note : la fonctionnalité de changement de mot de passe automatique de ces produits peut adresser la limite des applications qui supportent les mots de passe d’à peine 8 caractères : il s’agira ici de changer discrètement le mot de passe de manière régulière,par exemple de manière mensuelle, avec un contenu aléatoire.

L’ultime solution sera donc de tuer les passphrases et les mots de passe dans les applications : le principe consisterait à s’authentifier une unique fois dans un système puis d’accéder aux applications avec des jetons sécurisés. L’authentification devra être réalisée avec un mécanisme autre que la passphrase : mot de passe à usage unique, empreinte digitale, mobile … Mais là, c’est le sujet d’un futur article.

De votre point de vue pensez-vous que cette recommandation du NIST soit viable ? Pensez-vous changer vos pratiques pour créer de nouveaux mots de passe ?

Les références :

[1] Security Myths and Passwords http://www.cerias.purdue.edu/site/blog/post/password-change-myths/

[2] The security of modern password expiration: an algorithmic framework and empirical analysis http://dl.acm.org/citation.cfm?doid=1866307.1866328http://dl.acm.org/citation.cfm?doid=1866307.1866328

[3] Password Strength https://xkcd.com/936/

Une réflexion au sujet de « Faire changer périodiquement les mots de passe ne semble plus une bonne idée »

  1. Ping : Analyse du rapport de l'ICS-CERT sur la sécurité des systèmes industriels américains | Cybersécurité, confiance numérique, sécurité des nouveaux usages, objets connectés, etc.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *