Attaquons nous aujourd’hui à la question épineuse des mots de passe
qui reste aujourd’hui encore la methode d’authentification la plus
utilisée malgré ses nombreuses faiblesses. Les affaires récentes
(multiples piratages des sites de Sony, les LulzSec…) permettent en
effet d’effectuer un rappel sur les faiblesses intrinsèques des mots ....de passe, l’inconscience de certains utilisateurs et administrateurs (mention spéciale aux responsables de Sony....
ces derniers temps). En effet, Les multiples fuites de données personnelles qui ont défrayées la chronique depuis le début de l’année nous ont montré et rappelé :
- La faiblesse des mots de passe utilisés par les internautes. On retrouve de nombreuses “études” statistiques sur le sujet et les résultats sont souvent effrayants. L’analyse d’un fichier de données personnelles (identifiant-mot de passe) publié par les LulzSec a ainsi montré que le top 3 des mots de passe les plus utilisés se composait de : ’123456′, ’123456789′ et ‘password’.
- La réutilisation des mots de passe. Les attaques menées par les LulzSec ont également montré (et confirmé) que la réutilisation du même mot de passe (aussi complexe soit-il) est un véritable fléau pour la sécurité. Combien de personnes réutilisent le même mot de passe pour leur compte GMail et leur compte Facebook en plus de leur compte de messagerie professionnelle ? Beaucoup trop…
- Le stockage en clair des mots de passe. Les piratages en série des sites du groupe Sony ont également montré que les équipes informatique et sécurité ont fait preuve d’énormes manquements pour la sécurité des données de leurs clients ou de leurs utilisateurs. Stocker les mots de passes en clair dans une base SQL ne semble en effet pas respecter l’état de l’art sécurité… Surtout quand en plus, les mêmes administrateurs laissent la porte de derrière de leurs sites Web ouvertes à des attaques par injection SQL (le menace n°1 pour les applications Web).
Je vous propose donc 8 conseils / rappels pour améliorer la sécurité de vos mots de passe :
- Utiliser des mots de passe complexes. Mélanger chiffres, lettres, caractères spéciaux (avec modération). Fini les mots de passe comme 123456 ou azerty. Ne pas hésiter à utiliser des générateurs de mots de passe pour les applications et services les plus sensibles. Sinon quelques conseils sympathiques à lire sur ce forum informatique.
- Ne jamais donner son mot de passe à quelqu’un. Même si c’est l’administrateur informatique qui vous le demande (attention aux attaques par social engineering) ou pour aider un collègue. Un mot de passe c’est comme le code de votre carte bancaire, il est personnel et vous en êtes responsable.
- Changer régulièrement vos mots de passe les plus critiques. Il est toujours utile de renouveler son stock de mot de passe et c’est souvent exigé en entreprise .
- Eviter les questions secrètes… Ce sont des énormes failles de sécurité. Ou tout du moins créer des questions personnalisées qui ne permettent pas de deviner la réponse en moins de 5 minutes grâce à Facebook. Vous vous rappelez de “Hacker Croll” le fameux pirate auvergnat qui avait réussi accéder à des comptes administrateur et de célébrités sur Twitter en détournant les questions secrètes simplistes d’un responsable du réseau de microblogging…
- Fini le Post-It, pense-bête de prédilection. Créer des mots de passe intelligents sous forme de phrases. Un bon mot de passe doit être à la fois assez complexe et facile à retenir (si si c’est possible).
- Attention aux lieux publics : utiliser un mode de navigation privée ou penser à supprimer vos “cookies” avant de fermer votre navigateur. Et ne jamais cocher la case “enregistrer mon mot de passe” quand vous relevez vos e-mails sur un ordinateur public.
- Attention aux WIFI publics et aux accès non sécurisés à certains sites Internet. Privilégier les connexions en HTTPS (ou mieux en VPN) sur les sites sensibles. Personne n’a oublié “l’expérience” Firesheep, cette extension Firefox permettant de détourner le plus simplement du monde des sessions Twitter, Facebook, WordPress…
- Privilégier l’authentification forte (quand c’est possible). Cette dernière devrait “logiquement” se généraliser dans les années futures. Espérons le pour les applications bancaires notamment.
