Le National Cyber Security Center (NCSC) du Royaume-Uni a lancé un avertissement à ses citoyens pour qu’ils aient des mots de passe plus forts et uniques après avoir publié un fichier contenant les 100 000 mots de passe les plus souvent piratés de l’ensemble de données «Have I Been Pwned». Les bases de données non protégées et les services en ligne étant souvent violés, les mots de passe divulgués / volés en raison de violations de données peuvent constituer une menace grave si les utilisateurs continuent de réutiliser leurs mots de passe faibles.
Une bonne hygiène des mots de passe est l’une des mesures de sécurité les plus essentielles pour dissuader les intrus en ligne. La plupart des gens choisissent des mots de passe en fonction de leur facilité de mémorisation plutôt que par sécurité. Avec les préoccupations croissantes concernant les violations de données, les organisations doivent encourager les employés à prendre les mesures de protection par mot de passe nécessaires pour éviter tout incident de cybersécurité.
Nous savons tous qu’une solide politique de mot de passe est la première ligne de défense pour protéger nos transactions financières, nos communications personnelles et nos informations privées stockées en ligne. Pour les utilisateurs finaux, l’utilisation d’un mot de passe fort au travail est aussi importante qu’à la maison, c’est votre propre garde du corps personnel qui vous défend avec tout ce qu’il a contre les menaces de sécurité graves, les escrocs et les pirates. C’est à ce moment-là que l’administrateur système intervient pour s’assurer que les règles et politiques appropriées sont en place pour vous aider à alléger ce fardeau.
La plupart des utilisateurs comprennent la nature des risques de sécurité liés aux mots de passe faciles à deviner, mais deviennent frustrés lorsqu’ils traitent avec des critères inconnus ou lorsqu’ils essaient de mémoriser 30 mots de passe différents pour leurs multiples comptes. C’est pourquoi les administrateurs système jouent désormais un rôle majeur en s’assurant que chaque utilisateur est bien conscient des risques de sécurité auxquels il est confronté chaque jour. Pour y parvenir, ils ont besoin de politiques de mot de passe solides et des meilleures pratiques.
Les politiques de mot de passe sont un ensemble de règles qui ont été créées pour augmenter la sécurité informatique en encourageant les utilisateurs à créer des mots de passe fiables et sécurisés, puis à les stocker et à les utiliser correctement.
La technologie n’est pas la seule chose qui nécessite une mise à jour de temps en temps. Les meilleures pratiques de gestion des mots de passe font de même, car le paysage de la sécurité de l’information – et malheureusement, les tactiques et les outils utilisés par les mauvais acteurs – sont en constante évolution.
Je rassemble ici une liste des meilleures pratiques de gestion des mots de passe mises à jour basées sur diverses sources, que sont mon expérience personnelle, mon background professionnel, les recommandations de la CNIL ainsi qu’un soupçon de bon sens. J’encourage tous les administrateurs système à adopter dès que possible les mesures et politiques suivantes:
1. Formez le personnel
Je ne le dirai jamais assez mais les utilisateurs sont parfois le premier rempart et toujours le dernier rempart en cas d’incident de sécurité. Bien qu’ils ne fassent pas strictement partie d’un processus de gestion des mots de passe, dans l’ensemble, il est néanmoins vital pour les utilisateurs finaux – qui sont et seront toujours la plus grande partie de la surface des menaces – de s’assurer qu’ils font partie de la solution, au lieu d’involontairement partie du problème.
- Sensibilisez au quotidien le personnel, quel que soit son échelon, en vous servant de vos équipes IT.
- Formez le personnel en interne
- Inscrire les utilisateurs finaux dans une plate-forme de formation à la cybersécurité
À cette fin, les organisations sont invitées à inscrire leurs utilisateurs finaux dans une plate-forme de formation à la cybersécurité qui couvre des sujets tels que l’ingénierie sociale, la sécurité des e-mails, la sécurité des appareils mobiles, la navigation Web sécurisée, les réseaux sociaux sécurisés, la protection des informations sur la santé, etc… Les managers peuvent également suivre les progrès de l’utilisateur final pour identifier les lacunes dans les connaissances et les besoins de formation.
2. Utilisation de l’authentification à deux facteurs
Même l’utilisateur final le plus diligent et le plus prudent peut faire une erreur coûteuse liée au mot de passe. Par exemple, pressés, ils pourraient accidentellement mettre leur mot de passe dans le mauvais champ. Ou ils ne pouvaient avoir aucune idée que leur ordinateur a été compromis par un enregistreur de frappe (keylogger).
L’authentification à deux facteurs (2FA) agit comme une couche de sécurité supplémentaire qui nécessite une étape supplémentaire avant que l’utilisateur ne se connecte au compte. Avec l’authentification à deux facteurs, l’utilisateur reçoit un OTP (One-Time-Password – mot de passe à usage unique) par SMS ou e-mail, qui est requis pour la vérification, afin de s’assurer que seules les bonnes personnes ont accès.
Dans la plupart des cas, 2FA et MFA empêchent les mauvais acteurs d’accéder aux comptes, même s’ils disposent des informations d’identification correctes. Il existe de nombreux bons outils 2FA et MFA.
Cependant, la plupart des sites Web permettent aux utilisateurs de marquer leurs appareils comme approuvés lors de la première validation. Cela remplace 2FA pour les appareils de confiance, et les utilisateurs peuvent accéder à leurs comptes avec uniquement des mots de passe. Cela peut sembler pratique lors de l’utilisation, mais ce n’est pas bon en termes de sécurité. Si vous remplacez 2FA pour un appareil de confiance, vous ouvrez vos comptes aux pirates.
De même il est fortement conseillé d’utiliser une application dédiée comme Microsoft Authenticator où Google Authenticator au lieu d’un code via téléphone ou sms. En effet, la compromission de votre mail engendrerait la compromission de tous vos comptes liés et des failles existent dans les protocoles téléphoniques comme expliqués ici. Comme vous le voyez tout est possible, même percer ce que nous pensons être solide.
Les banques utilisent depuis longtemps des systèmes 2FA pour les accès aux particuliers. C’est le cas également lors d’un paiement en carte bancaire sur Internet, avec l’envoi d’un sms à l’utilisateur afin de confirmer la transaction. La plupart des grands sites web, surtout marchands proposent cette fonctionnalité, comme Amazon et Paypal qui détiennent des informations personnelles sensibles et financières. Linkedin également. Alors profitez-en.
3. Utilisez des phrases de passe au lieu de mots de passe
Selon le NCSC, les mots de passe les plus souvent piratés dans le monde étaient «12345», «123456», «123456789», «abc123», «qwerty», «1111111» et même le terme «mot de passe». Les cybercriminels utilisent des outils de piratage avancés pour casser même les mots de passe les plus complexes. Soyez créatif et utilisez des mots de passe difficiles à deviner, afin que les attaquants ne puissent pas deviner votre mot de passe.
Lorsque les utilisateurs sont obligés de se souvenir des mots de passe (c’est-à-dire lorsque l’implémentation de l’authentification sans mot de passe n’est pas possible), la longueur doit être privilégiée par rapport à la complexité. En effet, de nombreux utilisateurs s’appuient sur des modèles et des astuces pour les aider à se souvenir des mots de passe, tels que «Password123!», Ou ils utilisent la pratique de «Leetspeak» – l’acte de changer les lettres pour des caractères similaires tels que «p @ 55w0rd» au lieu de « mot de passe »). Ces techniques sont largement connues et activement exploitées par des acteurs malveillants.
Malheureusement, la grande majorité des utilisateurs ne peuvent pas se souvenir d’un mot de passe de 16 caractères ou plus sans recourir à ces modèles et astuces, c’est pourquoi une phrase de passe est logique. Comme nous l’avons vu il y a quelques instants, une phrase secrète est beaucoup plus longue qu’un mot de passe classique (ce qui la rend moins vulnérable à une attaque par force brute) et contient des lettres, des symboles, des espaces et des chiffres. Par exemple: «Mon chien violet, Paul, aime quand je joue au frisbee avec lui». Comme vous pouvez le voir, il est plus sage de choisir une phrase secrète qui n’a pas de sens logique et qui n’est pas associée à l’utilisateur (c’est-à-dire que l’utilisateur dans cet exemple n’a pas de chien, violet ou autre ??). Pour une sécurité encore meilleure, les utilisateurs peuvent mélanger les langues.
Cependant il faut dans ce cas aller encore un peu plus loin car sans caractère spécial et chiffre, une attaque par dictionnaire devinerai assez rapidement une phrase de ce type.
L’utilisation d’une phrase secrète sur un mot de passe vous donnera une sécurité maximale pour votre compte. Mais assurez-vous que la phrase secrète que vous choisissez est facile à retenir et complexe également. Choisissez une ligne de votre chanson ou citation préférée, mais de préférence pas une ligne commune qui peut être simplement devinée par quelqu’un qui vous connaît.
Par exemple, une phrase secrète telle que «J’aime mon travail à 100%» est facile à retenir, répond aux exigences de complexité (chiffres, majuscules et caractères spéciaux) et est difficile à déchiffrer car la plupart des outils de craquage de mot de passe tombent en panne à 10 caractères.
4. Observez une sécurité Web appropriée
Les pirates utilisant des outils avancés pour voler les données, il est impératif de suivre les bonnes mesures de sécurité Web. La méthode la plus courante utilisée par les pirates pour le vol d’identité consiste à envoyer des e-mails de phishing ou des liens malveillants. Construisez un système de défense en installant un logiciel antivirus et anti-malware approprié sur tous vos appareils. Assurez-vous également de mettre à jour ces applications logicielles régulièrement pour une protection complète. Et ayez une dose de bon sens sans vous presser. Prenez votre temps, même si vous débordez d’impératifs.
5. Évitez de réutiliser des mots de passe
Une étude de l’équipe de recherche sur les menaces de Microsoft a révélé que 44 millions d’utilisateurs réutilisaient leurs noms d’utilisateur et mots de passe. L’enquête a également révélé que le plus grand pourcentage de mots de passe était faible et utilisé pendant une longue période.
L’utilisation d’un mot de passe commun pour différents comptes peut sembler pratique, mais cela pourrait être une menace potentielle pour d’autres comptes si un attaquant s’introduisait dans un seul compte. Même si vous avez un mot de passe fort, essayez d’utiliser des mots de passe différents pour chaque compte que vous utilisez. Assurez-vous également de changer régulièrement vos mots de passe.
Ne choisissez pas vos informations personnelles (votre nom, les noms de votre conjoint ou de vos enfants, vos animaux de compagnie) comme mot de passe, car ceux-ci sont connus des personnes qui vous connaissent. Essayez d’utiliser une combinaison différente d’expressions pour chaque compte que vous utilisez.
Si vous avez du mal à mémoriser plusieurs mots de passe, utilisez une application de gestion des mots de passe, comme nous le verrons après.
Ne mélangez pas non plus le pro et le perso, comme je l’évoque plus bas point 9. Pas de mot de passe commun. Certains sites utilisés à titre personnel peuvent posséder un niveau de sécurité faible et en cas de compromission si le mot de passe est utilisé à sur un compte professionnel, vous faites rentrer le pirate dans votre organisation. De même la zone grise comme les réseaux sociaux pro type Linkedin doivent être considéré comme sensible car c’est un terrain de chasse privilégié, où le pro et le perso sont mélangés et étroitement liés. Ces trois sphères doivent être considérées comme différentes donc séparées et isolées en matière de mot de passe, voire même d’identifiant de messagerie.
6. Modifier les mots de passe après la preuve d’un compromis
Par le passé, les organisations étaient invitées à demander aux utilisateurs finaux de changer régulièrement de mot de passe. De nos jours, la tendance s’inverse et veut que les utilisateurs finaux font mieux de ne PAS changer régulièrement de mot de passe, car la recherche a montré qu’ils choisissent généralement des informations d’identification plus faibles et plus faciles à casser (voir SP-800-63B Section 5.1.1.2 paragraphe 9). Au lieu de cela, les utilisateurs ne devraient modifier les mots de passe que lorsqu’il existe des preuves d’un compromis.
Je suis de la vieille école et méfiant par nature, je milite donc pour le maintien d’un renouvellement régulier des mots de passe, mais moins souvent. Le mot de passe étant fort et soumis à une double authentification, il est inutile de le changer tous les 2-3 mois sans preuve de compromission car même avec les puissances de calculs actuels, il faut plus de temps que cela pour trouver un mot de passe, et il reste une autre authentification à passer.
Une entreprise peut également organiser des campagnes de changement de mots de passe pour ses employés. Par site, ville ou service deux fois par an par exemple. C’est suffisant si les points précédents sont respectés.
7. Implémentez un gestionnaire de mots de passe
Avec un gestionnaire de mots de passe, les utilisateurs n’ont qu’à se souvenir de deux ensembles d’informations d’identification de connexion au lieu de dizaines, ce qui leur permet de devenir pratiquement sans mot de passe. Le premier ensemble d’informations d’identification est pour leur propre système et le second est d’accéder au gestionnaire de mots de passe. Le gestionnaire de mots de passe peut également garantir que les utilisateurs choisissent des mots de passe ou des mots de passe très forts d’au moins 16 caractères.
En outre, si le gestionnaire de mots de passe prend en charge l’authentification unique (SSO) de Microsoft, les utilisateurs n’ont qu’à créer et à mémoriser un ensemble d’informations d’identification de connexion. Les organisations qui utilisent l’authentification unique peuvent même aller plus loin et implémenter l’authentification sans mot de passe avec des solutions comme Microsoft Hello (qui utilise la biométrie) ou Yubikey (qui utilise du matériel). Voir mon article sur KeePass.
Vous pouvez également utiliser un gestionnaire de mots de passe inclus dans votre navigateur comme Firefox Lockwise. Cela peut même être un complément à un gestionnaire type logiciel comme KeePass. Un outil de ce type conserve en ligne de manière sécurisée et chiffrée les mots de passe des sites web que vous souhaitez; le tout verrouillé par un mot de passe unique (et complexe ^^). L’avantage dans ce type d’outil c’est que les champs identifiants et mots de passe sont automatiquement remplis au moment de l’accès, c’est un confort indéniable. Enfin, ce coffre est synchronisable entre plusieurs machines avec le même compte (PC, tablette et téléphone de la maison par exemple).
8. Appliquer une politique d’historique des mots de passe
Lorsque cela est possible, les organisations doivent appliquer une politique d’historique des mots de passe pour garantir que les utilisateurs finaux ne sélectionnent pas les anciens mots de passe. Le Center for Internet Security (CIS) recommande de définir cette valeur sur 24 ou plus. En outre, la politique doit également appliquer un âge minimum pour les mots de passe. Sinon, les utilisateurs finaux pourraient changer leur mot de passe plusieurs fois en quelques minutes afin de réutiliser le mot de passe préféré avec lequel ils ont commencé.
9. Ne mélangez pas le compte de messagerie professionnel et le compte personnel
Et oui, on ne mélange pas le personnel et le professionnel, surtout en matière de sécurité.
Selon Microsoft, 30% des mots de passe réutilisés ou modifiés peuvent être piratés en seulement 10 suppositions. Cela met les utilisateurs à risque d’une attaque de relecture de violation. Si les attaquants mettent la main sur des informations d’identification ayant fait l’objet d’une fuite, ils peuvent essayer d’exécuter une attaque de réexécution de violation en essayant les mêmes informations d’identification sur différents comptes de service.
L’utilisation d’un seul compte de messagerie pour la correspondance professionnelle et personnelle n’est pas recommandée. Cela pourrait entraîner une perte de données massives lorsque quelqu’un déchiffre votre mot de passe. Plusieurs comptes de messagerie peuvent coexister sur un même appareil, alors autant en profitez pour séparer le perso du pro.
10. Éliminez la réutilisation du mot de passe
En parlant de réutilisation des mots de passe (évoqué point 4): une pratique étonnamment courante consiste pour les utilisateurs, et même certains administrateurs, à réutiliser les mots de passe partout. Bien que cela soit pratique, il est également très risqué et mal avisé. Cependant, il existe également des scénarios où la réutilisation du mot de passe n’est pas intentionnelle. Par exemple, une image de système d’exploitation générique est utilisée pour configurer rapidement des systèmes et elle contient le même compte administratif local par défaut (a.k.a. comptes de porte dérobée ou backdoor pour les administrateurs). Malheureusement, cela signifie que compromettre une machine les déverrouille toutes.
Une excellente solution pratique à ce problème consiste à implémenter le serveur de mot de passe administrateur local (LAPS) pour les domaines Windows ou à s’appuyer sur une solution tierce. Cela permet à différents mots de passe d’être utilisés par tous les ordinateurs et serveurs et contribue à atténuer le risque et la gravité des attaques à grande échelle.
11. Appliquer l’accès juste-in-time (juste à temps) pour les comptes privilégiés
Les hachages sont souvent stockés sur un système lorsque des utilisateurs ou des administrateurs se connectent sur une machine. Cela peut conduire à une attaque pass-the-hash, dans laquelle de mauvais acteurs volent des informations d’identification hachées et les réutilisent pour inciter un système authentifié à créer une nouvelle session authentifiée sur le même réseau. Surtout, il n’est pas nécessaire de déchiffrer le mot de passe – juste le capturer, ce qui signifie que la longueur ou la complexité du mot / phrase de passe n’a pas d’importance.
Pour réduire ce risque, les organisations doivent mettre en œuvre un accès juste à temps pour les comptes privilégiés en utilisant une solution robuste de gestion des comptes privilégiés. Microsoft Azure possède un contrôle d’accès JIT pour ses machines virtuelles. Il est également possible d’imposer un changement de mot de passe obligatoire après qu’une information d’identification a été utilisée et / où à une heure / date programmée.
12. Autorisez et Activez Copier / Coller les mots de passe
En théorie, les utilisateurs ne devraient pas être autorisés à copier / coller des mots de passe. Mais en réalité, il est conseillé – car sinon, les utilisateurs sont susceptibles de choisir un mot de passe à la fois facile à retenir et simple à taper.
Les responsables d’organisations DEVRAIENT permettre à leurs employés d’utiliser la fonctionnalité « coller » lors de la saisie d’un mot de passe. Cela facilite l’utilisation de gestionnaires de mots de passe, qui sont largement utilisés et, dans de nombreux cas, augmentent la probabilité que les utilisateurs choisissent des mots de passe plus forts.
Vous devriez y songer lors de la mise en place ou la mise à jour de votre politique de mots de passe.
13. Testez vos mots de passe
Mettez en place une revue régulière de tests des mots de passe d’un échantillon pertinent représentatif de la population de votre entreprise. Cela peut s’effectuer 1 à 2 fois par an sur un échantillon de 100 utilisateurs si la taille de votre organisation le permet. Préparez cela avec les différents services impliqués de vitre entreprise (sécurité, RH, …). Au moment choisi, importez sur une machine dédiée (et coupez là du réseau) les comptes à tester et lancez le challenge de tenter de casser les mots.
Pour aller plus loin
Il est important de créer une solide politique de gestion des mots de passe, mais ce n’est pas tout. Les organisations ont également besoin des bons outils et technologies, et elles doivent garantir la cohérence entre tous les utilisateurs finaux – en particulier les utilisateurs professionnels non techniques qui peuvent faire passer la commodité avant la sécurité. Un gestionnaire de mots de passe, comme KeePass, ou une solution PAM, est désormais indispensable pour chaque organisation. En utilisant les outils appropriés et une politique de sécurité solide, saine et raisonnable, vous aiderez à protéger votre organisation, vos utilisateurs finaux, vos données et votre réputation!
M365 Journey 