Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !

septembre 2008 par Edouard Jeanson, Directeur Centre de Compétences Sécurité, Sogeti

Le principe du mot de passe est bien antérieur à l’informatique. Quand on a voulu authentifier les utilisateurs d’un ordinateur, ce principe a naturellement été adopté. Il était satisfaisant au départ, les risques d’usurpation d’identité étaient limités. Peu à peu, l’informatique s’est démocratisée, les réseaux ont vu le jour et les mots de passe se sont multipliés. On a commencé à s’inquiéter de la sécurité.

Le mot de passe souffre de deux faiblesses : il est statique et il doit être mémorisé par l’utilisateur. Comme il est statique, il est possible d’usurper l’identité de l’utilisateur.

La protection la plus efficace est de choisir un mot de passe le plus complexe possible. Il y a donc un compromis à choisir entre complexité et fréquence de changement. Dans ce contexte, la tâche devient insurmontable lorsqu’il faut gérer les accès à une vingtaine de systèmes différents.

Une première possibilité consiste à mettre le même mot de passe partout. Elle se heurte à une difficulté technique : les systèmes n’imposent pas les mêmes contraintes.

Une autre possibilité technique appétissante est le Single Sign On (SSO) : un seul élément secret identifie l’utilisateur partout. Toutefois, l’adaptation de toutes les applications à un SSO risque d’être longue et coûteuse ; dans la pratique, rares sont les entreprises qui ont déployé un SSO.

La seule alternative est donc d’utiliser des codes d’accès différents. Dans le pire des cas, l’utilisateur aura plusieurs dizaines de mots de passe, tous différents, longs, complexes et changés fréquemment. Autant dire qu’une telle situation est ingérable sans noter les mots de passe ; les PostIt sur les écrans se voient encore. Certains stockent tous leurs mots de passe dans un fichier chiffré sur un PC supposé sûr. La solution n’est pas parfaite : le fichier doit être déchiffré pour être lu, et rien ne garantit que les données ne restent pas en clair sur le disque.

Des outils spécialisés de gestion de mots de passe (password managers) ont été développés. Les plus connus sont les systèmes intégrés aux navigateurs ; ils ne prennent en charge que les formulaires ou les demandes d’authentification. Il existe aussi des containers conçus pour stocker tout type de mot de passe.

Le principal danger des password managers est que tous les mots de passe de l’utilisateur sont centralisés dans une base ; si elle est dérobée, tous les comptes sont instantanément compromis.
Les password managers autonomes (PDA...) présentent l’avantage d’être raisonnablement protégés contre les attaques logiques puisque ces équipements sont rarement connectés à un réseau.

Les password managers logiciels sont un compromis intéressant et ont un champ d’application plus vaste que les containers des navigateurs. La base et le logiciel peuvent être placés sur une clé USB qui sera retirée du PC entre deux usages. Deux noms reviennent le plus souvent : Keepass et Password Safe. Keepass chiffre les données en mémoire vive. Keepassx est une adaptation pour Linux de Keepass.

Les systèmes d’authentification par login et mot de passe étant incontournables, les password managers constituent une solution préférable aux mots de passe prédictibles.

La base de mots de passe étant très sensible en confidentialité, il importe de choisir un outil sérieux offrant un chiffrement robuste, et il est indispensable que l’utilisateur protège correctement son outil : le mot de passe maître qui verrouille la base doit de ce fait être long et complexe.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants