Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
septembre 2008 par Edouard Jeanson, Directeur Centre de Compétences Sécurité, Sogeti
Le principe du mot de passe est bien antérieur à l’informatique. Quand on a voulu authentifier les utilisateurs d’un ordinateur, ce principe a naturellement été adopté. Il était satisfaisant au départ, les risques d’usurpation d’identité étaient limités. Peu à peu, l’informatique s’est démocratisée, les réseaux ont vu le jour et les mots de passe se sont multipliés. On a commencé à s’inquiéter de la sécurité.
Le mot de passe souffre de deux faiblesses : il est statique et il doit être mémorisé par l’utilisateur. Comme il est statique, il est possible d’usurper l’identité de l’utilisateur.
La protection la plus efficace est de choisir un mot de passe le plus complexe possible. Il y a donc un compromis à choisir entre complexité et fréquence de changement. Dans ce contexte, la tâche devient insurmontable lorsqu’il faut gérer les accès à une vingtaine de systèmes différents.
Une première possibilité consiste à mettre le même mot de passe partout. Elle se heurte à une difficulté technique : les systèmes n’imposent pas les mêmes contraintes.
Une autre possibilité technique appétissante est le Single Sign On (SSO) : un seul élément secret identifie l’utilisateur partout. Toutefois, l’adaptation de toutes les applications à un SSO risque d’être longue et coûteuse ; dans la pratique, rares sont les entreprises qui ont déployé un SSO.
La seule alternative est donc d’utiliser des codes d’accès différents. Dans le pire des cas, l’utilisateur aura plusieurs dizaines de mots de passe, tous différents, longs, complexes et changés fréquemment. Autant dire qu’une telle situation est ingérable sans noter les mots de passe ; les PostIt sur les écrans se voient encore. Certains stockent tous leurs mots de passe dans un fichier chiffré sur un PC supposé sûr. La solution n’est pas parfaite : le fichier doit être déchiffré pour être lu, et rien ne garantit que les données ne restent pas en clair sur le disque.
Des outils spécialisés de gestion de mots de passe (password managers) ont été développés. Les plus connus sont les systèmes intégrés aux navigateurs ; ils ne prennent en charge que les formulaires ou les demandes d’authentification. Il existe aussi des containers conçus pour stocker tout type de mot de passe.
Le principal danger des password managers est que tous les mots de passe de l’utilisateur sont centralisés dans une base ; si elle est dérobée, tous les comptes sont instantanément compromis.
Les password managers autonomes (PDA...) présentent l’avantage d’être raisonnablement protégés contre les attaques logiques puisque ces équipements sont rarement connectés à un réseau.
Les password managers logiciels sont un compromis intéressant et ont un champ d’application plus vaste que les containers des navigateurs. La base et le logiciel peuvent être placés sur une clé USB qui sera retirée du PC entre deux usages. Deux noms reviennent le plus souvent : Keepass et Password Safe. Keepass chiffre les données en mémoire vive. Keepassx est une adaptation pour Linux de Keepass.
Les systèmes d’authentification par login et mot de passe étant incontournables, les password managers constituent une solution préférable aux mots de passe prédictibles.
La base de mots de passe étant très sensible en confidentialité, il importe de choisir un outil sérieux offrant un chiffrement robuste, et il est indispensable que l’utilisateur protège correctement son outil : le mot de passe maître qui verrouille la base doit de ce fait être long et complexe.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?