CQFD sur les gestionnaires de mots de passe

CQFD sur les gestionnaires de mots de passe

Un utilisateur lambda dispose couramment d’une vingtaine de comptes dont il a plus au moins conscience : sa boîte mail professionnelle et personnelle, le site des impôts, les réseaux sociaux, les sites marchands, etc. Il est difficile de mémoriser où son adresse mail a été utilisée et avec quel mot de passe, ce qui incite à réinitialiser son mot passe fréquemment. Dans une part non négligeable de cas, le mot de passe est renvoyé en clair dans sa messagerie.

Comment faire pour disposer de ses secrets tout le temps a portée de mains ? Comment se conformer aux exigences de robustesse ?

Compte tenu des contraintes exposées, il est extrêmement difficile de respecter les bonnes pratiques en toutes circonstances. Il est essentiel de gérer ses secrets : les gestionnaires de mots de passe permettent non seulement de protéger ses mots de passes de manière sure, mais également de n’avoir à retenir qu’un seul mot de passe.

Les gestionnaires de mots de mots de passe ne sont pas la solution miracle si nous ne respectons pas au préalable quelques bonnes pratiques

  • au moins 8 caractères (10 recommandés) ;
  • au moins un élément de chaque groupe de caractères (minuscules, majuscules, numériques, spéciaux) ;
  • aucun rapport psycho-social évident avec le propriétaire (prénom, nom du chien, etc.), l’endroit où il est utilisé (AdminERP, Facebook01, etc.) ou bien l’entreprise (NSA2k15, AdminCodeNucleaire, etc.) ;
  • aucun mot issu d’un dictionnaire, même sous forme dégradée (l33t, langage SMS, etc.) ;
  • n’est pas réutilisé ailleurs ;
  • n’est inscrit nulle part.

La sécurité d’un mot de passe est liée à la difficulté qu’éprouvera un attaquant pour le découvrir. Pour calculer le nombre théorique de mots de passe que l’attaquant devra essayer, on utilise la formule :

X^N

Où X est le nombre de caractères autorisés et N la longueur du mot de passe.

Ainsi un mot de passe de 4 caractères, composé uniquement de minuscules (26 lettres), demande 26^4 essais au maximum (si le mot de passe est zzzz).

Cependant, comme un attaquant essaiera probablement des mots de passe à partir d’une certaine longueur et que ça ne change pas réellement l’ordre de grandeur, on considère que le nombre de combinaisons à calculer est de l’ordre de X^N.

Analysons la complexité « théorique » de nos mots de passe forts. Ils utilisent 4 ensembles :

  • les minuscules (26 éléments) ;
  • les majuscules (26 éléments) ;
  • les chiffres (10 éléments) ;
  • les caractères spéciaux (considérons que l’on utilise les caractères suivants : & »-)’=#{[|@]`+}_~$%*,?;.:/!§ ) (28 éléments).

Pour chacun des 10 caractères, il y a 90 symboles possibles (26+26+10+28), soit : 9010^10 mots de passe pouvant être générés. Cela représente, pour un attaquant, 34 867 844 010 000 000 000 possibilités à tester (35 trillions) dans une attaque par force brute*. Dans le cas d’une attaque en ligne, sur un site Web distant, pouvant tester 1000 mots de passe/seconde. Il faut à l’attaquant environ 35 billiards de secondes (1 milliard d’années) pour essayer toutes les possibilités.

Une fois le mot de passe ultime créé, encore faut-il s’en souvenir. Or les mots de passe suivant sont très difficilement mémorisables…

Ty6?/K32vE

_Hjk[20%2/

Les gestionnaires de mots de passe sont donc la solution. Mais ces gestionnaires de mots de passe doivent eux-mêmes être très sécurisés. Evidemment, s’ils étaient piratés, tous vos mots de passe pourraient être vus par les hackers, ce qui serait un désastre.

Selon un rapport publié par un groupe indépendants d’auditeurs, ces gestionnaires de mots de passe disposent de failles. Ces failles exposent les identifiants des utilisateurs dans la mémoire d’un ordinateur même lorsqu’il est verrouillé. C’est-à-dire que le code maître (le mot de passe principal) était stocké en mode texte dans la mémoire de l’ordinateur. Et quand le code maître est récupéré par les hackers, ils peuvent décrypter la base de données du gestionnaire de mots de passe. Dans ce cas présent le gestionnaire de mots de passe n’est pas plus sûr que de conserver ses mots de passe dans un fichier.

Cependant devons-nous arrêter d’utiliser les gestionnaires de mots de passe ? Bien que les gestionnaires de mots de passe disposent de vulnérabilités nous n’avons pas d’autres alternatives. En suivant quelques conseils, vos gestionnaires de mots de passe seront la solution pour protéger vos secrets.

  • Ne laissez pas le gestionnaire de mots de passe fonctionner en arrière-plan, même s’il est verrouillé. Au contraire, il faut complètement fermer le programme.
  • Ne donnez pas l’accès à votre ordinateur à n’importe qui, car pour que l’attaque fonctionne, le hacker doit avoir accès à la RAM de votre ordinateur. Il doit pouvoir accéder physiquement à votre ordinateur, ou avoir un accès à distance à votre machine.
  • Privilégiez les gestionnaires de mots de passe à double authentification.

Pour faire court, il ne faut pas se débarrasser de nos gestionnaires de mots de passe pour le moment. Il faut simplement s’assurer qu’ils soient complètement fermés lorsque nous ne les utilisons plus, et les paramétrer pour qu’ils nous demandent deux authentifications et ainsi être vraiment protégés.

*L’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.