Notre présence en ligne a significativement augmenté depuis quelques années. Rares sont les sites web ou les services mobiles qui ne requièrent pas la création d’un compte utilisateur pour les utiliser. Cette pratique permet de vous authentifier pour vous fournir une expérience personnalisée telle qu’en vous suggérant un article à lire par exemple, une mise en forme particulière ou des publicités ciblées selon vos envies.
Cette diversification complexifie la sécurité de votre vous numérique. Les mots de passe ont montré leurs faiblesses à travers leur composition, leur usage répétitif sur différents sites et les différentes violations de données étalant au grand jour la combinaison de votre nom d’utilisateur et de votre précieux mot de passe.
Il existe aujourd’hui des solutions accessibles à toutes et à tous pour sécuriser vos identités numériques. Ces solutions font partie de l’hygiène numérique à adopter quelque soient les contextes : personnels et professionnels.
Je vous expose dans cet articles quelques conseils pratiques, non exhaustifs, pour agrémenter votre hygiène informatique et diminuer les risques de vous faire piéger.
Mais avant toute chose,
Have I been PWNED ?
Pwned est le diminutif de “You are owned” qui signifie “prise de possession”. Ce service créé en 2013 par Troy Hunt, un expert en cybersécurité, recense les violations de données (data breach) et les exports de bases de données correspondant à des noms d’utilisateurs et mots de passe. Il vous permet ainsi de voir si votre adresse mail a été détectée dans une base de données qui aurait fuité sur Internet. On appelle cela des “leaks” traduction de fuite en anglais.
Si le résultat de la recherche est vert, cela signifie que vos identifiants n’apparaissent dans aucune des violations de données connues par le site. Si le résultat est rouge, vos identifiants y apparaissent en clair et aux yeux de ceux qui cherchent, ce qui vous rend à risque. Par ailleurs, il n’est malheureusement pas rare de réutiliser les mêmes combinaisons d’identifiants : noms d’utilisateur ou email et mot de passe sur différents site Internet. La violation d’un de vos comptes implique alors l’accès à plusieurs services dont certains qui pourraient exposer des données personnelles comme votre adresse postale, vos numéros de téléphones et d’autres données bien intéressantes pour les attaquants.
Pas de panique. Il existe des solutions.
Les mots de passe
Rassurez-vous, nous n’allons pas bannir les mots de passe de sitôt ! Ces derniers sont très efficaces si utilisés correctement. La peur de perdre l’accès à un site par oubli du mot de passe oriente le choix de ce dernier vers quelque chose de facilement mémorisable et bien souvent trop court. Notez qu’un mot de passe composé de 8 caractères peut être cassé en moins d’une seconde. Combiné à l’utilisation fréquente du même mot de passe pour différents comptes, le risque qu’un compte soit piraté devient extrêmement élevé.
Les attaques par force brute ou par dictionnaire sont des attaques relativement simples à mettre en place par un attaquant qui essaye d’accéder à votre compte en tentant itérativement toutes les combinaisons de mots de passe courts et usuels comme “admin” “p@ssw0rd” “azerty123” “racing92” jusqu’à trouver le bon.
Pour se prémunir contre ce genre d’attaques, il est essentiel d’adopter une politique de mot de passe complexe et dont l’algorithme de composition est propre à vous.
Un mot de passe complexe est composé d’au moins 16 caractères mixant des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux combinés d’une façon la plus aléatoire possible.
Quant à l’algorithme de composition il peut ressembler à
<caractères spéciaux>-<MoT>-<Chiffres>-<mOt>-<caractère spécial>
La multitude des mots de passe à mémoriser peut devenir un beau casse-tête à termes. Les inscrire sur un post-it, dans un fichier excel ou un carnet de notes manuscrites et accessible de tous est à bannir. C’est là où rentrent en jeu les gestionnaires de mots de passe.
Gestionnaire de mot de passe
Les gestionnaires de mots de passe sont des outils redoutables d’efficacité. En effet, leur objectif est de vous fournir une solution de stockage pour tous vos identifiants, de vous générer des mots de passe complexes et uniques par service utilisé et de remplir automatiquement les formulaires dès qu’une fenêtre d’authentification se présente à vous. L’utilisateur n’aura alors à mémoriser qu’une seule clé, la clé “Maîtresse” qui déverrouillera tout le coffre-fort. Certains produits proposent une intégration sur vos objets mobiles et vos ordinateurs avec un stockage chiffrés dans le cloud, vous permettant d’avoir l’accès à ce coffre-fort pour le même niveau de sécurité partout.
Cette solution représente cependant un point de défaillance unique et peut potentiellement entraîner la perte d’accès à votre coffre-fort en cas de compromission de la clé maîtresse. Le risque zéro n’existe pas, l’objectif est de le diminuer au maximum.
Certains navigateurs offrent la possibilité de sauvegarder vos mots de passe directement. Cela peut sembler très pratique mais la sécurité du coffre qui rassemble vos clés est lié à la sécurité de vos identifiants sur vos machines.
Firefox et Chrome proposent ce service de sauvegarde de vos mots de passe qui reste une solution entrée de gamme, meilleure que la réutilisation des mots de passe. Cette fonctionnalité n’est pas le focus d’un navigateur (et donc des développeurs) ainsi l’apport de sécurité lié au stockage des clés sur la machine laisse à désirer. La synchronisation de ces mots de passe sur vos compte sur des clouds publics peut déranger également.
Pour les détenteurs d’un Mac, Safari propose ce même service avec la possibilité de générer des mots de passe sécurisés et synchronisés sur vos comptes iCloud. Les mots de passe sont stockés dans un coffre-fort Keychain dont la sécurité est relativement plus robuste que celle proposée par Chrome, car liée au système MacOS et à une puce cryptographique physique sur les Macbook récent.
KeePass est un logiciel open source de gestionnaire de mots de passe. La version 2.10 a été certifiée CSPN par l’ANSSI. D’autres solutions existent comme les logiciels 1Password, LastPass, Bitwarden, etc. A vous de faire votre choix.
Authentification à deux ou plusieurs facteurs
L’authentification à deux ou plusieurs facteurs est une méthode qui requiert plus qu’un mot de passe pour vous autoriser un accès. En effet l’objectif est de combiner ce que vous connaissez (votre mot de passe en l’occurrence) avec un deuxième facteur permettant de valider votre identité par exemple : Ce que vous êtes comme des indicateurs biométriques ou ce que vous possédez. Cela se présente le plus souvent sous la forme d’un code à usage unique renouvelé à une fréquence allant de 30 secondes à quelques minutes reçu par le biais d’un SMS ou généré à travers une application comme Google Authenticator. L’utilisateur peut ensuite saisir le code unique sur la plateforme pour accéder à son compte.
Le déploiement et la généralisation de l’authentification à deux facteurs se multiplient notamment sur les services les plus courants comme les plateformes de mails ou sur les réseaux sociaux ou plateformes d’échanges (Facebook, Twitter, Discord, Slack, etc.). Certains éditeurs comme Apple et Google intègrent cette authentification nativement en vous proposant de déclarer des appareils de confiance qui serviront à vous authentifier. Par ailleurs, à l’activation de ce service, les sites vous proposeront une série de 10 codes d’urgence pour accéder à vos comptes en cas de perte de tout moyen de validation du 2ème facteur. Cette liste est à noter ou à imprimer et à garder en lieu sûr en cas d’urgence.
En somme, si le service que vous utilisez propose cette couche supplémentaire de sécurité, prenez le temps de l’activer pour sécuriser vos comptes.
L’avenir des mots de passe
Une étude à révéler que le côut moyen de la remise à zéro d’un mot de passe utilisateur avoisinait les 40 ou 50 dollars par appel. En effet, ceci représente à peu près la moitié du temps des techniciens des Helpdesks qui reçoivent en moyenne 6 à 10 appels par an pour des questions relatives au mots de passe.
Ceci représente des coûts pour les entreprises sans prendre en compte les solutions techniques, les évolutions technologiques, les projets de fusions d’entreprises ou encore, et plus parlant, les brèches de sécurité ou violations de données.
L’industrie s’oriente vers une disparition progressive du mot de passe. L’authentification par la vérification de l’identité évolue en se basant sur les les principes de l’authentification à plusieurs facteurs, évoquée ci-dessus. Cette base de départ tend à se généraliser en éduquant les utilisateurs au fur et à mesure. En effet, Apple a obligé la mise en place de cette authentification à plusieurs facteurs grâce aux dispositifs de biométrie embarqués dans leurs équipements (iPhone, Apple Watch, un autre ordinateur, un numéro de confiance etc.). Microsoft a introduit l’authentification par reconnaissance faciale en 2015.
L’alliance FIDO a défini l’U2F (Universal Second Factor), une norme d’authentification ouverte qui vise à renforcer et à simplifier l’authentification à deux facteurs en utilisant des périphériques USB ou des équipements compatibles NFC (Near Field Communication).
L’industrie s’oriente également vers des alternatives comme les liens magiques utilisés pour les services comme Slack ou des services comme un message push sur un équipements de confiance ou une combinaison de ces services à plusieurs facteurs.
Cette réalité commence à émerger petit à petit avec la généralisation de l’U2F et l’application du principe du “Single Sign-On”. Vous vous authentifiez sur un site et vous le restez durant toute la journée de travail. Ceci simplifie l’experience de l’utilisateur qui n’aura qu’à insérer son mot de passe ou sa clé qu’une seule fois dans la journée. Les entreprises travaillant dans les milieux sensibles et qui utilisent encore des carte à puce pour l’authentification de l’utilisateur et le chiffrement des données sur les machines s’orientent également vers des clés USB de type FIDO U2F.
Le risque zéro n’existe pas, un des objectifs de l’intégration de la sécurité est de dissuader ou de ralentir l’attaquant d’une part et de diversifier votre risque afin d’éviter d’être victime d’un piratage massif.
Les mots de passe resteront pour le moment le moyen privilégié d’authentification pour beaucoup d’entreprises et à vous d’être créatif dans le durcissement de vos accès numériques. Ces solutions peuvent sembler complexes à mettre en oeuvre mais il en va de la protection de votre identité numérique et de la protection de vos données les plus précieuses.
Comments are closed