Marc Turbé, Specops Software
Dans la première partie de son guide, l’ANSSI énonce les principes à prendre en compte pour mettre en place une authentification efficace et sûre.
Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :
- « ce que je sais », le mot de passe ou la phrase de passe
- « ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
- « ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique
Bien évidemment, un niveau de sécurité élevé a un coût et il convient de l’adapter en fonction du contexte. Un système d’administration peut contenir des données très sensibles comme une base de données avec des informations personnelles, il convient de lui donner une protection adéquate mais un système de réservation de salles de sport l’est beaucoup moins et n’a pas forcément besoin du même niveau de sécurité.
Pour les utilisateurs, l’ANSSI note cependant, qu’il convient de prendre en compte leur niveau d’expérience avec les solutions de sécurité. L’exemple bien connu d’un mot de passe complexe noté sur un post-it à côté de l’écran de l’utilisateur est un subterfuge souvent utilisé lorsque l’utilisateur se sent dépassé par la complexité du mot de passe et plus à même de le retenir. Il a pour effet de diminuer le niveau de sécurité global alors que l’idée initiale était de renforcer la complexité des mots de passe donc la sécurité du système informatique.
Un autre point que note l’ANSSI, la phase d’enregistrement (« enrollment » en anglais), est critique. Si le système d’enregistrement est compromis alors l’ensemble des procédés d’identification est à risque. L’ANSSI recommande de générer ces identifiants sur un poste déconnecté et une remise en main propre à l’utilisateur de ses identifiants.
En ce qui concerne l’authentification multifacteur, l’ANSSI déconseille fortement la vérification par SMS qui est facilement contournable et interceptable par l’attaquant et de limiter dans le temps les tentatives d’authentification, ce afin de limiter le potentiel des attaques par force brute.
Tout procédé d’authentification doit également inclure un processus de révocation afin d’empêcher sa réutilisation à des fins d’usurpation d’identité.
Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée
Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :
- catégorie de mots de passe;
- longueur des mots de passe;
- règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;
- délai d’expiration des mots de passe;
- mécanismes de limitation d’essais d’authentification;
- mécanismes de contrôle de la robustesse des mots de passe;
- méthode de conservation des mots de passe;
- méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;
- mise à disposition d’un coffre-fort de mots de passe.
Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.
Autre point sur lequel les recommandations de l’ANSSI ont évolué, la durée d’expiration des mots de passe doit prendre en compte le fait que les utilisateurs ont tendance à créer des itérations sur leurs mots de passe, de façon incrémentielle ou sous la forme d’itérations, ce qui présente un risque que les attaquants savent parfaitement exploiter. L’ANSSI recommande de plus, de varier la durée d’expiration en fonction du type d’utilisateurs, les comptes à privilèges (administrateurs) doivent être renouvelés régulièrement mais ceux des utilisateurs sans privilège sont moins sensibles et n’ont pas besoin d’un renouvellement si fréquent.
Enfin, l’ANSSI souligne l’importance de contrôler le niveau de robustesse des mots de passe. Voici les critères que l’ANSSI met en avant :
- mettre en place des mécanismes automatiques et systématiques permettant de vérifier que les mots de passe respectent bien les règles définies dans la politique de sécurité des mots de passe ;
- comparer les mots de passe lors de leur création à une base de données répertoriant les mots de passe les plus utilisés ou bien ceux qui ont été compromis (par exemple les dictionnaires recensant les mots de passe les plus utilisés ou bien encore les dictionnaires inclus dans les outils de « cassage » de mots de passe comme JohnTheRipper [1]);
- repérer les mots de passe contenant des motifs (ou des répétitions de motifs) spécifiques (comme une suite de chiffre telle que « 12345 », la suite des premières lettre des claviers comme « azerty », etc);
- repérer les mots de passe contenants des informations personnelles saisies lors de la création du compte, comme les noms et prénoms ou encore les dates de naissance;
- lors d’un renouvellement du mot de passe, interdire la réutilisation d’un mot de passe parmi les X derniers mots de passe déjà utilisés. »
Le point 2 est particulièrement important. Bloquer l’utilisation de mots de passe compromis permet de limiter fortement les possibilités d’attaque à force brute tout en empêchant les utilisateurs de définir des mots de passe faibles ou compromis. Enfin bloquer les motifs répétitifs ainsi que la réutilisation d’une partie ou de la totalité d’anciens mots de passe est essentiel pour éviter que les utilisateurs agissant par négligence ne mettent en danger la sécurité du système d’information.
Si l’ANSSI déplore la rareté des solutions à même de suivre ces recommandations, sachez que Specops Password Policy est sans doute l’un des outils les plus à même de correspondre à ces recommandations, notamment grâce à l’extension Breached Password Protection qui bloque plus de deux milliards de mots de passe compromis.
L’ANSSI note le risque de l’envoi vers l’extérieur d’informations sensibles comme des mots de passe sur ce type d’outils. Specops Password Policy n'envoie que les quatre premiers hashes du mot de passe sur son serveur cloud et retourne toutes les correspondances au contrôleur de domaine par l’intermédiaire d’un serveur Arbiter. Aucun mot de passe n’est envoyé en clair, ce qui garantit la sécurité du SI.
Pour terminer sur les politiques de sécurité, l’ANSSI rappelle une principe de base : ne pas stocker les mots de passe en clair mais sous une forme de hachage cryptographique, tout en ajoutant que l’ajout d’une valeur aléatoire unique, un sel, permet de se prémunir des attaquants utilisant des tables précalculées.
Recouvrement des accès, un point à ne pas négliger
Si comme le confirme l’ANSSI, chacune des méthodes de recouvrement d’accès ou de réinitialisation de mot de passe présente des faiblesses, il ne faut pourtant pas mettre de côté les méthodes par réinitialisation de mot de passe en libre-service avec l’utilisation d’une vérification de l’utilisateur (MFA, biométrique etc…) qui permet de décharger les équipes d’assistance technique d’un fardeau important.
Specops uReset est une solution idéale dans ce type de cas.
Sources : ANSSI, Specops Software
Et vous ?
Que pensez-vous de ces recommandations de l'ANSSI ?
Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?
Voir aussi :
Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés, cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles
Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude
Les noms de films les plus populaires utilisés en guise de mots de passe, un classement réalisé par SpecOps Software sur sa base de données de plus de 2 milliards de mots de passe compromis