I love P@ssw0rd : quelques recommandations pour les mots de passe
En cette magnifique journée du mot de passe, les études pour célébrer les bonnes pratiques fleurissent.
A la lecture de l'une d'entre elles [8], les chiffres parlent d'eux-mêmes : après des années de campagne de sensibilisation, 91% des utilisateurs savent qu'utiliser le même mot de passe partout comporte des risques mais seulement 34% d'entre eux appliquent cette bonne pratique.
Face à ce constat d'échec si nous parlions de l'heureux présage vu et lu sur internet : le futur sera sans mot de passe !
Depuis le début de l'ère fabuleuse de la numérisation, le modèle du contrôle d'accès logique repose sur le célèbre triptyque AAA auquel on peut ajouter le I :
- I : Je m'identifie
- A : Je m'authentifie
- A : Quelque chose quelque part vérifie mes droits et
- A : m'autorise ou non à accéder à la ressource.
Pourquoi ? Il faut bien préserver la confidentialité des ressources disponibles sur un système informatique en s'assurant que seules les personnes dont l'identité a été vérifiée et qui ont le droit d'y accéder puissent le faire.
Or que se passe-t-il depuis des années ? Vol de données, usurpation d'identité, phishing. Ca vous parle ?
L'une des cibles préférées dans ces attaques : les mots de passe, sésame actuel de l'authentification. Les mots de passe, cette chaine de caractère alphanumérique avec caractères spéciaux, mille fois maudite, renouvelée tous les 30 jours, qui bloque votre système au bout de 5 tentatives et qui doit comporter entre 8 et 12 caractères voir 30 pour ne pas être piratée par brute force, attaque par dictionnaire ou simple ingénierie sociale - voir le petit post-it discrètement collé sous mon clavier. Si votre mémoire s'arrête au post-it, exercez la en répétant en boucle tel un mantra : "Ma grand-mère Fait du judo, elle a une ceinture noire!" pour vous souvenir de votre mot de passe favori "Mgmfdj,eaucn!"
La solution, des experts l'ont trouvée ! Dites merci à Webauthn - standardisation par W3C du protocole CTAP développé par l'alliance FIDO.[1]
Le principe de base : vous allez pouvoir vous authentifier sans mot de passe et de façon plus sécurisée.
Comment ?
Pour les utilisateurs :
- Un authentificateur : Vous serez l'heureux possesseur d'un authentificateur. Ce dernier est un composant capable de gérer la création d'une paire de clé publique & privé pour chaque service que vous souhaiterez accéder et de vous authentifier. Il peut prendre la forme d'une clé physique (par exemple Yubikey), d'un smartphone, le TPM de Microsoft (Windows Hello) ou une implémentation logicielle sans utiliser de composant matériel dédié,
- Une paire de clé publique/privée pour chaque site visité : L'utilisateur prouve alors son identité au site web sur lequel il souhaite s'authentifier en démontrant qu'il est le détenteur de la clé privée reliée à la clé publique inscrite dans les bases du serveur lors de la phase d'inscription
- Principe échange asymétrique : Le serveur associe votre identité à votre clé publique et seul vous, détenteur de la clé privée, pourrez signer les échanges entre le serveur et l'authentificateur.
- Protection de votre identité : Il s'agit donc de bien protéger la clé privée qui va être la garante de votre identité vis-à-vis de chaque site visité. Pour cela, l'authentificateur va s'assurer par un contrôle biométrique ou par la saisie d'un PIN qu'il s'agit bien de vous et personne d'autre qui souhaite utiliser la clé privée qu'il stocke. A noter que vos empreintes biométriques ne quittent jamais l'authentificateur. Cela réduit les risques pesant sur votre vie privée du fait de l'usage frauduleux de vos empreintes biométriques.
Pour les sites web, services divers et variés accessibles sur les réseaux d'ici ou d'ailleurs :
- Toute l'intelligence du dispositif va reposer sur la compatibilité de vos systèmes avec l'API WebAuthn, amis développeur, à vos marques, prêts, feux, partez …
- Au besoin, faites vous aider par une délégation de service d'authentification proposant ce type de services.[5]
- Des exemples d'implémentation sont gracieusement mis en ligne : [6]
En bon gestionnaire de risques, quelles menaces vont être adressées :
Les freins :
Fin des mots de passe, fin du phishing, authentification forte généralisée, n'est-on pas en train de rêver les yeux ouverts?
En effet, l'objectif est louable toutefois la mise en œuvre de ce nouveau standard requiert un certain nombre de pré-requis d'un point de vue sites webs et du coté utilisateurs.
En particuliers, pour les entreprises ne disposant pas d'experts en la matière, la complexité de la mise en œuvre peut représenter un frein. La transition vers un monde sans mot de passe risque donc de durer un bout de temps.
A moins que les entreprises, pour commencer, s'appuient sur une analyse de risque démontrant l'intérêt d'une mise en œuvre de Webauthn comparée aux impacts financiers que pourraient engendrer un incident majeur de sécurité. Incident qui trouverait sa source dans la perte ou fuite de mots de passe.
En attendant, les bonnes pratiques relatives aux mots de passe s'appliquent toujours ([7]) et la sécurité des accès peut déjà être renforcée par un deuxième facteur d'authentification (biométrique ou non) - également promu par l'alliance FIDO.
Gageons, toutefois, que l'idée d'un monde sans mot de passe trouvera son public. A noter que l'alliance FIDO, qui milite pour la diffusion de ce nouveau standard, compte des acteurs tels que Amazon, ARM, American Express, Facebook, Google, Intel, Lenovo, Microsoft, PayPal, Samsung, Visa et Mastercard, Apple. Une base solide pour inciter une adoption massive de ce nouveau standard.
Gageons également que dès l'instant où l'usage se répandra, il va attiser les appétits des divers challengers, groupe cybercriminels en tout genre. Qui vivra, verra.
Alors un monde sans mot de passe, un futur paradis pavé de bonnes intentions ?
Pour aller beaucoup plus loin :
- [1] : W3C recommandation : https://www.w3.org/TR/webauthn/
- [2]: FIDO : https://fidoalliance.org/fido2/
- [3]: YUBIKEY: https://www.yubico.com/authentication-standards/webauthn/
- [4]: WINDOWS HELLO : https://www.microsoft.com/fr-fr/windows/windows-hello
- [5]: Oauth2: https://oauth.net/2/
- [6]:Exemple d'implémentation avec le code : https://webauthn.guide/; https://webauthn.me/
- [7]:Les bonnes pratiques mots de passe: https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe
- [8]:Aspect psychologique du mot de passe: https://www.helpnetsecurity.com/2020/05/06/password-psychology/
Commentaires0
Veuillez vous connecter pour lire ou ajouter un commentaire
Articles suggérés