Les formations aux usages du numérique
Les mots de passe…… sans les maux de tête
Certaines illustrations ont été réalisées à l'origine par Martin Vidberg pour la CNIL | https://www.cnil.fr | CC-BY-NC-ND | 2019
Avec les usages du numérique se sont développées :
• Les technologies visant à identifier les usagers des services
• Le nombre et la diversité des menaces (réseau, équipements et applications)
L'objectif est souvent de s'emparer des données économiques, scientifiques et personnelles.
Constat
Dans le monde, plus de 200 millions d'attaques ont été recensées en 2017. Elles ont induit
600 milliards de dollars de préjudices.
En France, plus de 19 millions de français ont été concernés par des attaques informatiques
et le dommage subi s’élève à 6,1 milliards d’euros.
Serveur CAS
Serveur d'application
1. Demande de connexion à un service
2. Redirection pour authentification
3. Redirection pour authentification
5. Identité du service + ticket
4. Ticket/Cookie
6. Identité authentifiée
LDAP
Un processus courant dans les universités (et ailleurs)
est l'utilisation d'un serveur central d'authentification
(CAS) qui permet de contrôler les accès aux services.
La base locale d'authentification des personnes (LDAP)
contient les informations nécessaires au serveur pour
confirmer notre identité et notre appartenance à un
groupe afin de nous donner les accès inhérents à nos
fonctions.
Exemple de processus d'id/auth
Identifier et authentifier sont souvent confondus.
Identifier : Qui êtes-vous ? Réponse: Pseudo, Login, Nom d'utilisateur, Identifiant
Authentifier : Etes-vous bien qui vous dites ? Réponse : Mot de passe, code
chiffré, données biométriques…
Ces données sont l'objet de beaucoup d'attaques (elles permettent d'accéder à beaucoup d'autres)
Attaque des bases de données
Comme le montre régulièrement l'actualité, cela arrive même aux les géants du web les plus protégés. Un site permet de savoir si votre adresse courriel est associée à un service auquel vous avez adhéré et qui a vu sa base compromise :
Have I been Pawned ? : https://haveibeenpwned.com/
Le piratagePour les individus le piratage peut avoir un coût économique
mais également un impact social et psychologique. Cet
espace est devenu un prolongement de soi pour beaucoup
de personnes : stockage de souvenirs, informations
administratives, préférences, relations sociales…
Théoriquement le fournisseur est tenu de vous avertir dans les 72h. Dans ce cas il faut réagir vite
Création Conservation RenouvellementAuthentification
Attaque des points faibles des mots de passe
Le mot de passe (mdp) a différentes faiblesses à chaque utilisation
Création d'un mdp facile pour mieux le mémoriser
Manque de protection de l'ordinateur.
Maintien du mdp proposé par le site web
Post-it, carnet, navigateur……nous faisons tout pour ne pas avoir à retenir les mdp.
Absence de renouvellement du mdp.
Réponse à des messages frauduleux nous invitant à valider ou changer notre mdp.
Le pirate tente d'entrer sur un compte simplement en essayant les identifiants les plus probables.L'identifiant est souvent le nom ou l'adresse courriel de l'usager. Les mdp les plus couramment utilisés sont faibles : 123456, azerty, date de naissance, password, mots du dictionnaire, nom de votre enfant, nom de l'animal de compagnie…
L'écoute de clavier (keylogger) : Le cybercriminel a installé un programme malveillant à votre insu qui enregistre les touches que vous utilisez lors de votre authentification sur un site.
Lors de sa création, pensez à élaborer un mdp fort
Utilisez des alias ou des adresses courriel différentes
Activez un antivirus et maintenez votre pare-feu allumé
pour éviter les "écoutes" lors de l'authentification
Vol de mdp par attaque brute
Vol de mdp par espionnage
Se prémunir
Les mdp conservés dans le navigateur sont une autre faille exploitée pour le vol. Si vous n'avez pas mis en place une sécurité supplémentaire, toute personne ayant accès à votre ordinateur peut les lire.
Les mdp notés sur un carnet ou sur un post-it sont monnaie courante, rien de plus simple alors pour une personne malintentionnée de les récupérer.
Le vol de mdp par négligence de son utilisateurSe prémunir
Un mdp doit rester invisible :• Ne le notez nulle part, • Ne laissez pas votre navigateur
l'enregistrer, • Ne le transmettez jamais, même
oralement.
Fire
fox
Chrome
Il suffit de cliquer sur votre profil, puis de se rendre dans "Mots de passe".
Pierre
u-grd.grd
Chacun de nous a plusieurs mdp et certains en ont des dizaines. Nous hésitons à les rendre complexes de peur de les oublier… Pourtant c'est le moyen le plus simple de prévenir les attaques brutes.
Créez un mdp que vous n'oublierez pas en créant une phrase fondée sur un souvenir non diffusé, puis altérez-la avec une méthode simple (que vous pourrez retenir).
Exemples de méthodes simples :• la méthode phonétique : "J’ai acheté pour cent euros de chocolat" : ght%E2chokola• la méthode des premières lettres : j'apcEdc
• Contenant des éléments de votre vie privée que l'on peut trouver facilement, • Issus de mots du dictionnaire,• De taille inférieure à 12 caractères, • Identiques sur plusieurs comptes,• Proposés par défaut par les sites web,
Comment créer un mot de passe fort
Évitez les mdp…
L'hameçonnage (phishing) : En se faisant passer pour un tiers de confiance (banque, fournisseur d'accès, commerçant…), le cybercriminel demande à l'usager des informations personnelles (mot de passe, copie de carte d'identité, numéro de sécurité sociale). Ce procédé peut également être utilisé lors d'une demande de "renouvellement" de votre mot de passe. Une présentation fréquente est la fausse page web.
Si une demande de la part d'un service vous parvient par courriel et que vous devez accéder à votre compte pour y répondre, tapez l'adresse vous-même dans le navigateur (ou cherchez-la dans les favoris), ne vous servez pas des indications du message (par exemple un lien à cliquer).
Vol de mdp par usurpation
Aucun fournisseur de service sérieux ne vous demandera de transmettre votre mdp . De même il ne vous transmettront jamais un mdp renouvelé par courriel.
•
• Ne faites pas appel aux "question secrètes". Le plus souvent on vous propose des alternatives plus sûres.
Se prémunir
En connaissant votre adresse courriel, certains cybercriminels peuvent accéder à vos mots de passe en utilisant les procédures de restauration de compte qui font parfois appel à des "questions secrètes". Les réponses se trouvent parfois dans vos traces sur le web (réseaux sociaux, forums, blogs, articles…).
L'alerte : Les signes qui doivent attirer votre attention…
Changez le mot de passe !
Alertez vos amis !
Informez les administrateurs
du site !
Un mot de passe dont vous êtes sûr est donné comme invalide lors de votre tentative d'authentification
Vos amis reçoivent des messages de votre part demandant de l'argent ou un numéro de carte bancaire
Votre compte montre des publications que vous n'avez jamais écrites
Des achats ont été faits sur votre compte sans que vous ayez passé commande.
Un message vous parvient pour vous confirmer que votre adresse de courriel associée au compte X a bien été changée
Effacez vos données
bancaires sur le site !
Réagir
Un ami a été banni de votre réseau ou des personnes que vous ne connaissez pas s'y sont inscrites
La double authentification consiste à doubler la sécurité du mdp par l'usage d'une seconde méthode
d'authentification. Dans un tel cas, après avoir passé la barrière de l'authentification par mdp, le site web vous envoie
un message par texto ou par courriel avec un code unique que vous devez reproduire à l'invite de la page.
Des applications pour smartphones peuvent également servir d'intermédiaire pour générer un code.
L'utilisation de votre téléphone ou de votre messagerie devient ainsi une preuve (supplémentaire) de votre identité.
Cette méthode d'authentification est dite "forte" par opposition au mdp seul qui est une méthode dite "faible".
Renforcer la sécurité des mots de passe
D'autres méthodes de double authentification existent et qui tendent à se développer
comme l'utilisation des données biométriques (voix, visage, empreinte digitale,
pupille…) ou d'un support de stockage physique (clé USB cryptée).
L'exemple de Microsoft Windows 10
Pierre
Windows 10 avec Windows Hello! Vous propose 5 méthodes d'identification.Certaines utilisent comme seule méthode un dispositif biométrique. En cas d'échec, il est possible de s'authentifier avec un code ou un mdp
Reconnaissance du visage (nécessite une caméra compatible)
Reconnaissance d'empreinte digitale (nécessite un dispositif compatible)
1
2
3 Mot de passe
Code confidentiel4
5 Pour cette option, après avoir choisi une image, vous devez tracer trois symboles (gestes) dans différentes parties de celle-ci. Lors de l'authentification vous devez reproduire les mêmes symboles (gestes) dans les mêmes parties de l'image.
Si on suit les recommandations concernant les mdp (souvent la seule possibilité offerte), comment peut-on faire pour mémoriser les dizaines de mdp complexes que nous créons ?
Les gestionnaires de mots de passe
Également appelé coffre-fort (en angl. Vault) ou trousseau d'accès chiffré, le gestionnaire de mdp est un logiciel installé sur votre ordinateur, un support externe (clé USB par exemple) ou encore sur un serveur distant. Il stocke vos identifiants, mdp et l'adresse associée de manière chiffrée.Lors de sa création vous êtes invité à créer un mot de passe maître qui ouvrira le coffre-fort. Selon les solutions ce mot de passe peut être doublé d'une seconde méthode d'authentification.
Une fois le logiciel installé vous pouvez y enregistrer vos mots de passe un à un ou les importer (depuis le navigateur par exemple).
En début de session il suffira d'ouvrir le gestionnaire avec le mot de passe maître pour accéder à tous les mdp de vos comptes sans même devoir les taper.
• Vous ne devez retenir qu'un seul mot de passe • Vous pouvez rendre tous vos mdp très complexes • Vous bénéficiez souvent de bonus pratiques : générateur de mdp complexes, enregistrement automatique des nouveaux mdp, stockage de
documents importants et des données bancaires, remplissage automatique des formulaires en ligne, version pour mobiles…etc.
Malgré ces avantages et les recommandations de la CNIL1 et de l'ANSSI2
seuls 8% des français utilisent un gestionnaire de mot de passe.
Papier
MémoireGestionnaire
Fichier en ligne
Autre
Solutions de stockage des mots de passe utilisés
par les français :
• Papier : carnet, feuille volante
• Mémoire : mots de passe mémorisés
• Fichier en ligne : liste déposée sur un serveur
cloud (Drive, Dropbox, …)
• Gestionnaire : coffre-fort
• Autre : téléphone, clé usb …etc.
30%34%
24%8%
4%
2ANSSI : Agence nationale de la sécurité des systèmes d'information
Quelques avantages
Attention : un mdp reste une methode faible. Le coffre-fort n'est par conséquent pas inviolable.Il faut rendre le mdp maître complexe et si possible le doubler d'une authentification supplémentaire.
1CNIL : Commission nationale de l'informatique et des libertés
KeePass, RoboForm, LastPass,
Keeper, Dashlane, Password, Sticky Password, BitWarden, 1Password,
Enovacom, Avira, Kapersky, Password Boss,
Cyclonis, Zenyway, Passwordsafe
Choisir son gestionnaire de mot de passe
Parmi les logiciels libres la CNIL conseille :• Keepass (conseillé par l'ANSSI également)• Zenyway• Passwordsafe
Keepass et Passwordsafe sont gratuits Bitwarden est gratuit pour l'essentiel mais la double authentification est payante (10 USD/an)Zenway n'est gratuit que jusqu'à 15 identifiants stockés
Parmi les logiciels propriétaires la plupart des spécialistes conseillent :Lastpass (gratuit avec des limitations ou 2,67 €/mois)Dashlane (3,33 €/mois)
D'autres experts conseillent également BitWarden dans cette même catégorie.
Seul Keepass permet de choisir le support de stockage de vos mots de passe (disque, clé usb, cloud…)
Et demain ?
?Les instances du web (W3C3) et de l'identification en ligne (FIDO4) ont
récemment accepté le principe d'une authentification biométrique (certifiée
par FIDO2) pour les sites web. Les systèmes de reconnaissance sont devenus
suffisamment précis et discriminants pour une authentification sûre.
Une fois que les sites web auront intégré la technologie nécessaire sur leurs
serveurs d'authentification et que les usagers seront équipés des dispositifs
nécessaires de lecture, les mots de passe pourront disparaître.
Merci pour votre attention
3 World Wide Web Consortium 4 Fast IDentification Online