Trois des quatre sites web les plus populaires au monde ne respectent pas les normes minimales et permettent des dizaines de millions d’utilisateurs de crer des mots de passe faibles. Ces conclusions font partie d’une nouvelle tude de Georgia Tech sur la cyberscurit qui examine l’tat actuel des politiques de mots de passe sur l’internet.
l’aide d’un outil automatis indit permettant d’valuer les politiques de cration de mots de passe d’un site web, les chercheurs ont galement dcouvert que 12 % des sites web n’imposaient aucune exigence en matire de longueur de mot de passe.
Frank Li, professeur adjoint, et Suood Al Roomi, doctorant l’cole de cyberscurit et de protection de la vie prive de Georgia Tech, ont cr un outil d’valuation automatis pour explorer tous les sites du Google Chrome User Experience Report (CrUX), une base de donnes d’un million de sites web et de pages.
La mthode de Li et Al Roomi pour dduire les politiques de mot de passe a russi sur plus de 20 000 sites de la base de donnes et a montr que de nombreux sites :
- autorisent des mots de passe trs courts
- ne bloquent pas les mots de passe courants
- utilisent des exigences dpasses telles que des caractres complexes
Les chercheurs ont galement dcouvert que seuls quelques sites suivent pleinement les lignes directrices standard, tandis que la plupart s’en tiennent des lignes directrices obsoltes datant de 2004. Le projet tait 135 fois plus important que les travaux prcdents qui s’appuyaient sur des mthodes manuelles et des chantillons de plus petite taille.
Plus de la moiti des sites web tudis acceptaient des mots de passe de six caractres ou moins, 75 % d’entre eux n’exigeant pas le minimum recommand de huit caractres. Environ 12 % des sites n’imposaient aucune longueur et 30 % ne prenaient pas en charge les espaces ou les caractres spciaux.
Seuls 28 % des sites web tudis appliquaient une liste de blocage des mots de passe, ce qui signifie que des milliers de sites sont vulnrables aux cybercriminels qui pourraient essayer d’utiliser des mots de passe courants pour s’introduire dans le compte d’un utilisateur, ce qui est galement connu sous le nom d’attaque par pulvrisation de mot de passe.
« Le professeur Li et moi-mme tions trs enthousiastes l’ide de relever ce dfi« , a dclar Al Roomi. « Grce ses conseils et notre travail continu sur la conception de l’algorithme et la technique de mesure, nous avons pu mettre au point une mesure automatise de la politique de cration de mots de passe et l’appliquer grande chelle.«
Al Roomi et Li ont conu un algorithme qui dtermine automatiquement la politique de cration de mots de passe d’un site web. Avec l’aide de l’apprentissage automatique, ils ont pu constater la cohrence des exigences en matire de longueur et des restrictions pour les chiffres, les lettres majuscules et minuscules, les symboles spciaux, les combinaisons et les lettres de dpart. Ils ont galement pu voir si les sites autorisaient les mots du dictionnaire ou les mots de passe connus ayant fait l’objet d’une violation.
« En tant que communaut de la scurit, nous avons identifi et dvelopp diverses solutions et meilleures pratiques pour amliorer la scurit de l’internet et du web« , a dclar M. Li. « Il est essentiel que nous examinions si ces solutions ou lignes directrices sont effectivement adoptes dans la pratique afin de comprendre si la scurit s’amliore en ralit.«
Le projet a dbut au plus fort de la pandmie lorsque Al Roomi a constat une lacune dans la littrature de recherche concernant les politiques de mots de passe des sites web. Au fil de ses lectures, il a dcouvert qu’un consensus de ses pairs ne pensait pas qu’une enqute grande chelle sur les politiques de mot de passe tait possible en raison de la varit des conceptions web.
« Il tait passionnant de voir un dfi identifi dans la littrature et de dvelopper et d’appliquer une vision que nous avons transforme en outil de mesure« , a dclar Al Roomi. « Cette recherche tait ma premire dans le cadre de mon programme de doctorat Georgia Tech et au SCP. C’est l’un des projets les plus stimulants et les plus gratifiants sur lesquels j’ai travaill« .
Le rapport complet sera prsent la confrence de l’ACM sur la scurit des ordinateurs et des communications (CCS) Copenhague, au Danemark, dans le courant du mois. L’tude « A Large-Scale Measurement of Website Login Policies » a galement t accepte au 32e symposium sur la scurit de l’USENIX au dbut de l’anne.
Rsum
L’authentification sur un site web l’aide d’un mot de passe implique un processus de connexion en plusieurs tapes, o chaque tape implique des dcisions critiques en matire de politique et de mise en uvre qui ont un impact sur la scurit de la connexion et la facilit d’utilisation. Alors que la communaut de la scurit a identifi les meilleures pratiques pour chaque tape du processus de connexion, nous manquons actuellement d’une large comprhension des politiques de connexion aux sites web dans la pratique. Les travaux antrieurs s’appuyaient sur l’inspection manuelle des sites web, produisant des valuations d’une petite population de sites biaiss vers les sites les plus populaires.
Dans ce travail, nous cherchons fournir une image plus complte et systmatique des politiques de connexion aux sites web dans le monde rel. Nous dveloppons une mthode automatise pour dduire les politiques de connexion des sites web et nous l’appliquons aux domaines du Google CrUX Top 1 Million. Nous valuons avec succs les politiques de connexion sur 18 000 359 000 sites (variant en fonction de l’tape de connexion considre), ce qui permet de caractriser une population de deux trois ordres de grandeur plus importante que les tudes prcdentes. Nos rsultats rvlent l’tendue de l’existence de politiques de connexion non scurises et identifient certaines causes sous-jacentes. En fin de compte, notre tude fournit la base empirique la plus complte ce jour sur l’tat de la scurit des connexions aux sites web, et met en lumire les directions suivre pour amliorer l’authentification en ligne.
Conclusion
Dans cette tude, nous avons ralis la plus grande valuation des politiques de connexion aux sites web ce jour, en valuant 18 000 359 000 sites travers divers lments de politique (un ordre de grandeur suprieur celui des travaux antrieurs). Nos rsultats tablissent une base empirique sur l’tat de l’authentification moderne sur le web, en caractrisant les politiques de connexion peu sres qui existent. Nous synthtisons ici nos rsultats en leons pour amliorer l’authentification web l’avenir.
Importance des mesures d’authentification Web grande chelle. En effectuant des mesures grande chelle, nous avons dcouvert des aspects uniques de l’authentification en ligne, notamment des politiques de connexion varies dployes par des sites dans diffrentes catgories de classement. Par exemple, bien qu’il y ait peu de preuves de l’utilisation de la tolrance aux fautes de frappe dans la pratique, nous avons trouv des centaines de sites dployant la tolrance aux fautes de frappe, et nous avons identifi que les politiques prennent principalement en compte les fautes de casse de lettres. Cette constatation a des implications en matire de scurit, car des travaux rcents ont montr que les systmes de tolrance aux fautes de frappe, s’ils sont plus faciles utiliser, sont aussi beaucoup plus vulnrables aux attaques par credential stuffing. Ces domaines nouvellement identifis, y compris un site du top 50, motivent une tude plus approfondie du compromis scurit-utilisabilit de la tolrance aux fautes de frappe. Nous avons galement observ certaines sous-populations prsentant des pratiques peu sres, telles que les mauvaises configurations HTTPS des sites gouvernementaux et ducatifs, et la dsactivation frquente du collage de formulaires de connexion par les domaines indiens les plus importants. Une fois ces sous-populations identifies, les efforts de la communaut pour informer les parties concernes et encourager les mesures correctives peuvent conduire de relles amliorations en matire d’authentification en ligne.
Cependant, il est extrmement difficile de raliser des mesures d’authentification sur le web grande chelle, tant donn l’htrognit du web et l’ingnierie extensive requise pour l’automatisation. Nos donnes et nos rsultats finiront par tre prims, et des recherches ultrieures sur l’authentification en ligne seront ncessaires. Les travaux futurs devraient affiner les mthodes de mesure existantes, par exemple en dveloppant des classificateurs plus prcis ou en identifiant des moyens de mieux grer la diversit du web.
Influence des frameworks web populaires. Nous avons dcouvert que plusieurs problmes de scurit de connexion taient dus des dcisions de mise en uvre prises par des frameworks web populaires. Par exemple, environ un cinquime des domaines vulnrables l’numration des utilisateurs semblent simplement utiliser les messages d’chec de connexion par dfaut de WordPress. De mme, la politique de tolrance aux fautes de frappe la plus courante est probablement due la manire dont les logiciels ct serveur les plus rpandus modifient les mots de passe. Si ces cadres web peuvent tre l’origine des problmes d’authentification les plus courants, ils peuvent aussi tre la source de solutions. Les mises jour logicielles qui rpondent aux problmes d’authentification pourraient rduire considrablement les populations vulnrables. Par ailleurs, si les frameworks web les plus rpandus prenaient en charge les pratiques recommandes par dfaut, telles que la limitation de dbit (dploye par une minorit de sites seulement), nous observerions probablement des niveaux d’adoption nettement plus levs.
Amlioration de l’cosystme HTTPS sur le web. Comme indiqu plus haut, notre analyse de l’utilisation du protocole HTTPS lors des connexions sur le web montre que l’utilisation du protocole TLS s’est considrablement amliore par rapport aux observations antrieures. Les efforts dploys par la communaut pour favoriser l’adoption du protocole TLS ont permis d’amliorer la scurit des connexions en ligne en gnral. Toutefois, il reste du travail faire car certains sites utilisent encore des canaux de communication non scuriss. Nous avons constat que le contenu mixte reste un problme important sur les pages de connexion et, compte tenu de l’importance des sites web qui proposent encore des pages de connexion sur HTTP, des efforts supplmentaires sont ncessaires pour inciter les oprateurs de sites web faire migrer toutes les pages sensibles (par exemple, les pages de connexion) vers HTTPS uniquement. Dans de nombreux cas, nous supposons que les exploitants ne savent pas que les pages de connexion sont encore disponibles sur HTTP, ou qu’ils ne sont pas conscients des consquences de l’hbergement de pages de connexion HTTP. Dans ce cas, des campagnes de sensibilisation peuvent tre efficaces pour rduire cette population.
Combinaison d’approches crowdsources et automatises. Notre tude de cas du projet crowdsourc Plain Text Offenders (PTO) montre que mme les efforts populaires de crowdsourcing ont une couverture limite (nous avons dcouvert des centaines de nouveaux sites stockant des mots de passe en clair) et doivent traiter des donnes primes (de nombreux domaines figurant sur la liste PTO n’y appartiennent plus). D’autant plus que ces projets servent en partie « nommer et faire honte » aux sites qui se comportent mal, les donnes primes peuvent inutilement salir les sites qui prennent des mesures correctives. Toutefois, ces efforts peuvent permettre d’identifier des cas d’inscurit que les mthodes automatises ne peuvent pas identifier, et constituent donc des approches trs complmentaires. Nous prconisons des efforts hybrides pour aller de l’avant, o les donnes recueillies par la foule peuvent tre compltes par des mesures automatises, et alimentes par l’automatisation pour permettre des rvaluations priodiques (produisant de nouveaux rsultats).
Favoriser l’adhsion aux normes modernes. Alors que les normes modernes fournissent des lignes directrices pour des politiques sres et utilisables chaque tape de la connexion ( l’exception de la tolrance aux fautes de frappe, qui mrite d’tre tudie plus avant et incorpore dans les lignes directrices), nous observons le non-respect de ces normes par d’importantes populations de sites dans l’ensemble de nos rsultats. Il convient d’tudier plus avant les raisons pour lesquelles les exploitants de sites web n’adoptent pas ces normes, afin de dterminer les meilleurs moyens d’influer sur le changement. L’un des leviers possibles pour amliorer les pratiques d’authentification pourrait tre l’application de rglementations. Par exemple, nous avons observ la section 4.5 que de nombreux domaines stockant des mots de passe en clair se trouvent dans l’Union europenne, o le RGPD pourrait tre utilis pour sanctionner ces pratiques peu sres. Une telle application pourrait sensibiliser et inciter remdier aux comportements peu srs des sites web.
Source : Etude « A Large-Scale Measurement of Website Login Policies » (College of Computing, Georgia Institute of Technology)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de cette tude de Georgia Tech, trouvez-vous qu’elle est crdible, pertinente et utile ?
Voir aussi