[2023-11-01] vol de mots de passe et contre-mesures

On peut authentifier un individu par :

  • ce qu'il est (empreintes digitales ou rétiniennes, ADN, …)
  • ce qu'il a (jeton USB, téléphone, clef…)
  • ce qu'il sait (mot de passe)

Le mot de passe est la méthode la plus simple à implémenter, c'est naturellement la plus utilisée. C'est aussi la méthode la moins fiable : on ne peut pas prêter un mot de passe à un tiers comme on peut prêter une clef.

Évidence

La sécurité du mot de passe repose sur le secret.

Les passkeys de la FIDO alliance commencent à être déployées mais les mots de passe seront probablement encore utilisés longtemps. Le vol de mots de passe est donc un fléau durable.

Cette page reprend et complète celle consacrée aux comptes et mots de passe en s'inspirant de cette infographie du NCSC britannique.

Comment

Un mot de passe se vole de différentes manières, voici les plus courantes.

  • un mot de passe peut être trouvé par force brute : l'attaque consiste à tester tous les mots de passe possibles jusqu'à trouver le bon ; plusieurs millions de mots de passe différents peuvent être testés chaque seconde

  • une variante consiste à utiliser des dictionnaires : dictionnaires de mots de passe les plus courants ou dictionnaires usuels… (pour diminuer le temps de calcul)

  • un mot de passe écrit sur un Post-it® collé sous le clavier ou dans un cahier enfermé dans un tiroir n'est pas protégé, il peut être volé facilement

  • un mot de passe transite à travers le réseau ; il peut être intercepté si les données ne sont pas chiffrées, mais transitent en clair

  • un mot de passe peut être capturé par un keylogger (littéralement « enregistreur de frappe ») ; c'est un malware qui enregistre les touches du clavier pour exfiltrer ces données à travers le réseau aux cybercriminels

  • un mot de passe peut être capturé par un infostealer (littéralement « voleur de mots de passe ») ; c'est un malware qui exfiltre les secrets (mots de passe, cookies de session pour ne citer que les principaux) des navigateurs ; il y a d'ailleurs une campagne d'attaques par infostealers en ce moment même

  • en observant les touches saisies au clavier, un mot de passe peut être « lu par-dessus l'épaule » (variante : à travers une fenêtre ou dans une glace)

  • s'il est trop simple, un mot de passe se devine : bien aidé par les informations publiquement disponibles sur Internet, il est facile de trouver la date de naissance d'un enfant, d'un conjoint ou le nom d'un animal de compagnie

  • si un mot de passe est réutilisé pour plusieurs comptes, dès que ce mot de passe est compromis, tous les comptes concernés sont compromis

  • un fichier de mots de passe peut être volé dans un système d'information pour être ensuite divulgué sur Internet, la presse se fait régulièrement l'écho de telles fuites de données (data leaks)

  • même stockés sous forme hachée, un adversaire qui a du temps (de calcul) peut chercher à retrouver les mots de passe (par exemple par force brute ou dictionnaire)

  • un mot de passe peut être volé par « ingénierie sociale » : le phishing ou hameçonnage en est le meilleur exemple et ce, quel que soit le canal de communication : par SMS, par téléphone, par mail… ou à un comptoir de café

Contre-mesures, protections

Pour allonger le temps des attaques par force brute, il faut des mots de passe longs.

Pour empêcher les attaques par dictionnaires, il faut des mots de passe aléatoires.

Mesure 1

Utiliser des mots de passe « complexes » d'au moins 12 caractères comportant des lettres, des chiffres, des caractères spéciaux aléatoires

Comme indiqué sur Comptes et mots de passe, pour assurer le secret des mots de passe et pour les consigner, il faut utiliser un gestionnaire de mot de passe comme KeePassXC. Il protège (par le chiffrement) les secrets qui lui sont confiés. Un « mot de passe père » le déverrouille. On peut lui confier un grand nombre de secrets pour n'en retenir qu'un seul : le mot de passe père !

Mesure 2

Utiliser un gestionnaire de mots de passe.

Attention : dès qu'un gestionnaire de mots de passe est utilisé, s'assurer de sa sauvegarde et apporter un grand soin à son stockage et son transport.

Pour ne pas se faire voler de mot de passe à travers le réseau, ne pas utiliser les réseaux Wi-Fi publics et activer le VPN chaque fois que c'est possible ; s'assurer que les données transitent chiffrées (par exemple sur HTTPS).

Mesure 3

S'assurer que les mots de passe transitent au travers de canaux sûrs

Pour lutter contre les malwares, plusieurs mesures :

Mesure 4

Avoir un système, des logiciels, un antivirus à jour

Mesure 5

n'installer de logiciels que depuis des sources de confiance (le site de l'éditeur), vérifier si possible le haché ou la signature

Mesure 6

Agir « en bon père de famille » i.e. éviter les sites hébergeant du matériel illégal (copie d'œuvres filmographiques ou musicales, logiciels contrefaits, etc.)

Pour limiter l'impact de la compromission de comptes, ne jamais réutiliser de mot de passe. C'est facile à mettre en œuvre avec la mesure nº 2 i.e. avec un gestionnaire de mots de passe :

Mesure 7

À chaque compte son mot de passe.

La lutte contre le phishing ne passe que par une vigilance de tous les instants :

Mesure 8

Avant de céder à l'urgence prétendue d'une situation, vérifier que l'on n'est pas en train d'envoyer des données confidentielles à un tiers malicieux.

On dit que le meilleur anti-malware est « entre la chaise et l'écran » ; voir la page dédiée pour plus d'informations.

Mesure 9

Comme les pratiques professionnelles et personnelles peuvent diverger, séparer les usages et donc le matériel pour travailler sur l'équipement fourni par l'établissement en suivant les bonnes pratiques.

Données personnelles

Attention aux procédures de recouvrement de comptes comportant des « questions de sécurité » comme « quel était votre surnom enfant ? » ou « quel était le nom de votre animal de compagnie ? » : souvent les réponses peuvent se trouver en sources ouvertes sur Internet, par exemple sur les réseaux sociaux.

La protection des données personnelles est donc une facette importante de la sécurité. Renseigner un formulaire en ligne est courant, mais ne doit pas être pris à la légère :

  • quelles informations me sont demandées ?
  • ces informations demandées sont-elles bien nécessaires ?
  • où seront stockées ces informations ?
  • comment seront-elles protégées ?
  • seront-elles effacées un jour ?
  • qui accèdera à ces informations, pour quoi faire, à quel titre ?
  • etc.

Outre la « mise à nu » que peut constituer la divulgation éventuelle de ces données (et « Internet n'oublie pas »), se souvenir qu'elles pourront être réutilisées, par exemple pour réinitialiser un mot de passe frauduleusement.


Retour

Dernière mise à jour : 15 novembre 2024