Authentification par mot de passe : une nécrologie

Kaspersky lance son propre OS sécurisé



Le dernier gros incident en date portant sur la fuite massive de données sensibles est celui ayant affecté l’IEEE, dont les mots de passe de près de 100.000 utilisateurs ont fuité sur Internet. C’est un fiasco d’autant plus grave que l’IEEE est l’un de ces organismes qui produit des standards techniques essentiels que le monde entier utilise, et que les professionnels qui l’animent sont soumis à des contraintes de confidentialité particulières, du fait des luttes d’influence qui peuvent exister autour de l’émergence des standards techniques. Le choc est d’autant plus rude que le chercheur ayant découvert cette fuite, Radu Dragusin, a mis à jour une vaste utilisation de mots de passe triviaux parmi ces professionnels.

A qui la faute ? L’instinct pousse à montrer du doigt ces professionnels négligents ; c’est une réalité, d’autant plus grave que de par leur activité, ces professionnels sont censés montrer l’exemple ; mais ce n’est qu’une partie de la vérité. L’IEEE possède une responsabilité écrasante dans l’affaire, ayant mis en place un système d’ouverture de session qui enregistrait en clair les mots de passe tapés, et les plaçait sur un répertoire FTP public. Je ne connais pas un seul logiciel, gratuit ou payant, qui implémente une telle aberration : c’est donc soit le résultat du choix catastrophique d’un développeur inconscient (on peut imaginer que l’IEEE n’est quand même pas si mal dotée en compétences techniques !), soit un acte de malveillance. En tous cas, la situation perdurait depuis au moins un an.

Un troisième coupable est jusqu’ici passé inaperçu : c’est le concept du mot de passe lui-même. Et pourtant, c’est peut-être lui le vrai responsable de cette situation consternante, sans cesse répétée à travers les fiascos qui émaillent l’actualité. En effet, le principe des mots de passe accumule un nombre écrasant de tares congénitales : faciles à deviner, faciles à casser, faciles à voler (malware, phishing, sniffing, …), difficiles de s’en souvenir (au point que l’on adopte massivement des mécanismes de rappel — la faille de l’IEEE était peut-être une tentative malheureuse de mettre en place l’un de ces systèmes). Et surtout, leur sécurité est imprévisible : bien malin celui qui saura évaluer quantitativement la force d’un mot de passe particulier, les critères de complexité étant insuffisants (un mot de passe peut être long et complexe et pourtant se trouver dans tous les dictionnaires d’outils de cassage de mots de passe).

On peut rire de cette histoire belge : une société a récemment tenté de trouver quel code PIN à 4 chiffres était le plus fort. En comparant les mots de passe issus de diverses fuites de données, elle a conclut que le code « 8068 » était le moins utilisé, et donc le plus fort. Mais elle a déduit qu’en publiant cette information tous les pirates allaient être au courant, qu’en le citant ce code fort devenait en réalité le plus faible, et que toute personne utilisant ce code PIN devait en changer en urgence. Raisonnement particulièrement tordu mais derrière lequel se cache une vraie problématique : comment évaluer la force d’un mot de passe a priori, c’est-à-dire au moment où l’utilisateur le choisit ? Et comment lui interdire de choisir un mot de passe faible en se basant sur des faits mathématiques et non sur l’intuition (= les critères de complexité, contradictoires d’un site web à l’autre) ?

La bonne nouvelle, c’est que depuis plus d’un an, on sait comment s’y prendre, grâce aux travaux de Markus Jakobsson et Ruj Akavipat : les fastwords sont en effet un système de mot de passe basé sur des suites de mots du dictionnaire. Tout autre mot, hors du dictionnaire linguistique classique, est exclu. Le résultat est contre-intuitif : on pourrait se dire « c’est nul, c’est trop facile à deviner », mais c’est tout le contraire : des calculs d’entropie relativement simples démontrent en effet que la complexité de ces mots de passe explose complètement celle des mots de passe classiques soit-disant complexes. De plus, l’obligation de s’astreindre à un corpus fini de mots — le dictionnaire — rend quantifiable a priori la force du fastword et non plus a posteriori, de sorte que l’on peut interdire dès l’enrôlement les mots de passe trop simples à deviner, en se basant sur la connaissance exacte de sa probabilité de découverte. Plus besoin donc de réactualiser des recommandations de complexité tous les six mois en fonction des évolutions des techniques de cassage des mots de passe. Cerise sur le gâteau, les fastwords possèdent des propriétés qui en simplifient considérablement la mémorisation et la saisie, notamment sur les téléphones portables. En outre, les fastwords partagent avec leur ancêtre leur très faible coût d’implémentation et de déploiement, contrairement aux autres modes d’authentification multi-facteurs et multi-canaux. Un tel système aurait au moins contraint les membres de l’IEEE au choix de mots de passe robustes, même si cela n’aurait pas résolu le problème de leur stockage en clair (mais aucun moyen d’authentification ne résiste à la stupidité).

Alors, qu’est-ce qu’on attend, pour enfin reconnaître l’obsolescence des systèmes d’authentification basés sur les mots de passe ?





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.