IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'ANSSI revoit ses recommandations en matière d'authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020

Le , par Marc Turbé

46PARTAGES

9  0 
Les nouvelles recommandations de l’ANSSI en matière de mots de passe et d’authentification viennent d’être presentées dans un nouveau document. Il était temps car depuis les dernières datant de 2012, le paysage de la cybersécurité a bien évolué. Les hackers multiplient les attaques depuis 2020 et font preuve d’une imagination sans limite pour tromper les utilisateurs que ce soit par hameçonnage ou ingénierie sociale. Pour les contrer, de nouvelles méthodes pour venir suppléer voire à termes remplacer le mot de passe ont émergé


Marc Turbé, Specops Software

Dans la première partie de son guide, l’ANSSI énonce les principes à prendre en compte pour mettre en place une authentification efficace et sûre.

Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :

  • « ce que je sais », le mot de passe ou la phrase de passe
  • « ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
  • « ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique


Bien évidemment, un niveau de sécurité élevé a un coût et il convient de l’adapter en fonction du contexte. Un système d’administration peut contenir des données très sensibles comme une base de données avec des informations personnelles, il convient de lui donner une protection adéquate mais un système de réservation de salles de sport l’est beaucoup moins et n’a pas forcément besoin du même niveau de sécurité.

Pour les utilisateurs, l’ANSSI note cependant, qu’il convient de prendre en compte leur niveau d’expérience avec les solutions de sécurité. L’exemple bien connu d’un mot de passe complexe noté sur un post-it à côté de l’écran de l’utilisateur est un subterfuge souvent utilisé lorsque l’utilisateur se sent dépassé par la complexité du mot de passe et plus à même de le retenir. Il a pour effet de diminuer le niveau de sécurité global alors que l’idée initiale était de renforcer la complexité des mots de passe donc la sécurité du système informatique.

Un autre point que note l’ANSSI, la phase d’enregistrement (« enrollment » en anglais), est critique. Si le système d’enregistrement est compromis alors l’ensemble des procédés d’identification est à risque. L’ANSSI recommande de générer ces identifiants sur un poste déconnecté et une remise en main propre à l’utilisateur de ses identifiants.

En ce qui concerne l’authentification multifacteur, l’ANSSI déconseille fortement la vérification par SMS qui est facilement contournable et interceptable par l’attaquant et de limiter dans le temps les tentatives d’authentification, ce afin de limiter le potentiel des attaques par force brute.

Tout procédé d’authentification doit également inclure un processus de révocation afin d’empêcher sa réutilisation à des fins d’usurpation d’identité.


Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée

Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :

  • catégorie de mots de passe;
  • longueur des mots de passe;
  • règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;
  • délai d’expiration des mots de passe;
  • mécanismes de limitation d’essais d’authentification;
  • mécanismes de contrôle de la robustesse des mots de passe;
  • méthode de conservation des mots de passe;
  • méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;
  • mise à disposition d’un coffre-fort de mots de passe.


Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.

Autre point sur lequel les recommandations de l’ANSSI ont évolué, la durée d’expiration des mots de passe doit prendre en compte le fait que les utilisateurs ont tendance à créer des itérations sur leurs mots de passe, de façon incrémentielle ou sous la forme d’itérations, ce qui présente un risque que les attaquants savent parfaitement exploiter. L’ANSSI recommande de plus, de varier la durée d’expiration en fonction du type d’utilisateurs, les comptes à privilèges (administrateurs) doivent être renouvelés régulièrement mais ceux des utilisateurs sans privilège sont moins sensibles et n’ont pas besoin d’un renouvellement si fréquent.

Enfin, l’ANSSI souligne l’importance de contrôler le niveau de robustesse des mots de passe. Voici les critères que l’ANSSI met en avant :

  • mettre en place des mécanismes automatiques et systématiques permettant de vérifier que les mots de passe respectent bien les règles définies dans la politique de sécurité des mots de passe ;
  • comparer les mots de passe lors de leur création à une base de données répertoriant les mots de passe les plus utilisés ou bien ceux qui ont été compromis (par exemple les dictionnaires recensant les mots de passe les plus utilisés ou bien encore les dictionnaires inclus dans les outils de « cassage » de mots de passe comme JohnTheRipper [1]);
  • repérer les mots de passe contenant des motifs (ou des répétitions de motifs) spécifiques (comme une suite de chiffre telle que « 12345 », la suite des premières lettre des claviers comme « azerty », etc);
  • repérer les mots de passe contenants des informations personnelles saisies lors de la création du compte, comme les noms et prénoms ou encore les dates de naissance;
  • lors d’un renouvellement du mot de passe, interdire la réutilisation d’un mot de passe parmi les X derniers mots de passe déjà utilisés. »


Le point 2 est particulièrement important. Bloquer l’utilisation de mots de passe compromis permet de limiter fortement les possibilités d’attaque à force brute tout en empêchant les utilisateurs de définir des mots de passe faibles ou compromis. Enfin bloquer les motifs répétitifs ainsi que la réutilisation d’une partie ou de la totalité d’anciens mots de passe est essentiel pour éviter que les utilisateurs agissant par négligence ne mettent en danger la sécurité du système d’information.

Si l’ANSSI déplore la rareté des solutions à même de suivre ces recommandations, sachez que Specops Password Policy est sans doute l’un des outils les plus à même de correspondre à ces recommandations, notamment grâce à l’extension Breached Password Protection qui bloque plus de deux milliards de mots de passe compromis.

L’ANSSI note le risque de l’envoi vers l’extérieur d’informations sensibles comme des mots de passe sur ce type d’outils. Specops Password Policy n'envoie que les quatre premiers hashes du mot de passe sur son serveur cloud et retourne toutes les correspondances au contrôleur de domaine par l’intermédiaire d’un serveur Arbiter. Aucun mot de passe n’est envoyé en clair, ce qui garantit la sécurité du SI.

Pour terminer sur les politiques de sécurité, l’ANSSI rappelle une principe de base : ne pas stocker les mots de passe en clair mais sous une forme de hachage cryptographique, tout en ajoutant que l’ajout d’une valeur aléatoire unique, un sel, permet de se prémunir des attaquants utilisant des tables précalculées.

Recouvrement des accès, un point à ne pas négliger

Si comme le confirme l’ANSSI, chacune des méthodes de recouvrement d’accès ou de réinitialisation de mot de passe présente des faiblesses, il ne faut pourtant pas mettre de côté les méthodes par réinitialisation de mot de passe en libre-service avec l’utilisation d’une vérification de l’utilisateur (MFA, biométrique etc…) qui permet de décharger les équipes d’assistance technique d’un fardeau important.

Specops uReset est une solution idéale dans ce type de cas.

Sources : ANSSI, Specops Software

Et vous ?

Que pensez-vous de ces recommandations de l'ANSSI ?
Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?

Voir aussi :

Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés, cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles

Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude

Les noms de films les plus populaires utilisés en guise de mots de passe, un classement réalisé par SpecOps Software sur sa base de données de plus de 2 milliards de mots de passe compromis

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de ashdawai
Futur Membre du Club https://www.developpez.com
Le 25/10/2021 à 11:34
1°) Préférer l'allongement du mot de passe à l'utilisation de caractères étendus est une évidence : un simple calcul montre que l'extension du nombre de caractères éligibles double la complexité du mot de passe alors que l'ajout d'une lettre l'élève au carré.
2°) La génération d'identifiants depuis une station non connectée n'est qu'un idéal, qui n'est absolument pas praticable de manière concrète.
3°) Je suis plus que dubitatif quand à l'utilisation de la biométrie pour des applications non critiques : On peut révoquer un mot de passe éventé mais on ne peut pas changer sa biométrie, or on a déjà vu des systèmes biométriques trompés par des moulages en latex ou autres combines. De plus on ne peut pas exclure que des cas d'amputation de phalanges ou autres mutilations surviennent pour usurper une authentification biométrique.
4  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 27/10/2021 à 0:30
Bonjour

L’ANSSI revoit ses recommandations en matière d’authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020, par Marc Turbé, Marketing Manager, Specops Software

Que pensez-vous de ces recommandations de l'ANSSI ?
Plutôt d'accord sur le fait d'orienter vers "la passe phrase".

Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :

« ce que je sais », le mot de passe ou la phrase de passe
« ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
« ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique
C'est cool , on dirait que l'ANSSI à lu la tribune-débat que j'avais fait fin 2019 : https://tanaka.developpez.com/gestio...mots-de-passe/

Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?
Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.
L'idée de fond est de faire "exploser" le temps de décryptage d'un mdp , en cas de tentative de désanonymisation de la bdd piraté ... Plus c'est long, plus cela mettre du temps a être "cassé". On ralentit donc le process frauduleux.

Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée

Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :

catégorie de mots de passe;
Une astuce simple > utiliser des mots de passes en langues étrangères ou en phonétique ... On se choisit une thématique et il devient difficile pour un pirate de tenter la moindre désanonymisation .

longueur des mots de passe;
Clairement, comme dit plus haut , tendre vers une passe phrase, facile à retenir ... longue

règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;
C'est un peu le B A BA, cependant, cela est une bonne piqure de rappel . "Casser la logique de départ d'une chaine". Ainsi cela augmente encore le score de "sécurité" pour contrer toute désanonymisation .

mécanismes de limitation d’essais d’authentification;
Contrer le force brute, pour jarter un malveillant est essentiel. Au delà de X tentative , c'est simplement bloquer pour X heures toute connexion.

méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;
Avoir une adresse alternative en cas de problème, ou alors un numéro de gsm/fixe .
2  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 23/10/2021 à 15:00
A part quelques entreprises, tout le monde est dans le vent. En tant que particulier, je n'aurai jamais une telle authentification. Manque la biométrie.
0  1