Pourquoi utilise-t-on encore des mots de passe (simples)?

Source: DataNews

Suite à l'article récent, selon lequel les comptes e-mail du président européen Herman Van Rompuy et de dix autres hauts fonctionnaires de l'UE avaient été piratés, l'on peut se demander pourquoi en 2012, l'on utilise encore et toujours des mots de passe pour accéder aux systèmes IT.

Suite à l'article récent, selon lequel les comptes e-mail du président européen Herman Van Rompuy et de dix autres hauts fonctionnaires de l'UE avaient été piratés, l'on peut se demander pourquoi en 2012, l'on utilise encore et toujours des mots de passe pour accéder aux systèmes IT.

Depuis l'invention de l'ordinateur, l'on a exploité 3 méthodes usuelles pour protéger son accès, à savoir:

1. Quelque chose que l'on connaît: mot de passe, phrase de passe ou code PIN

2. Quelque chose que l'on a: un jeton (token), clé USB, smart card ou autre appareil

3. Quelque chose de soi: biométrie (voix, doigt, oeil, visage, main, etc.)

Avec l'augmentation du nombre des appareils mobiles, une quatrième méthode est de plus en plus utilisée, à savoir:

4. Quelque chose qui détermine l'emplacement: géo-location (location physique)

Il n'en reste pas moins vraiment très étonnant que l'industrie IT n'ait pas été capable jusqu'à présent de mettre fin aux mots de passe (simples) comme protection d'accès à l'information numérique. En avril 1985, le Department of Defense (DoD) américain publiait déjà un "password management guide" de 31 pages consacré aux quatre concepts de contrôle de base des mots de passe: identification personnelle de l'utilisateur, authentification de l'identité d'un utilisateur, confidentialité de l'information sensible (et oui!) et 'auditabilité' en cas d'incidents.

Gene Spafford analysa en 1991-1992 avec son projet OPUS à l'Université de Purdue les mots de passe choisis par les utilisateurs de cette même université. De sa recherche scientifique de plus de 13.787 mots de passe collectés de manière anonyme, mais bien réels, il est apparu à l'époque que la longueur moyenne était de 6,8 caractères et que quasiment 1 mot de passe sur 3 se composait exclusivement de minuscules, alors qu'un autre tiers était constitué uniquement de chiffres. En outre, plus de 20% des mots de passe pouvaient être facilement retrouvés dans un dictionnaire de l'époque. Cela se passait en 1992! Cela vous dit-il quelque chose? Il apparaît en effet que nous sommes aux prises avec la même problématique plus de 20 ans après. Etrange mais vrai.

Est-ce dû au fait que l'on n'y accorde que si peu d'attention dans les médias? A mon avis non. Lorsqu'en octobre 1988, l'on apprit que l'ordinateur Bistel du premier ministre belge de l'époque, Wilfried Martens, avait été piraté, l'on constata que son mot de passe était encore et toujours "Tindemans1" du nom de son prédécesseur 10 années auparavant environ, Leo Tindemans. Hilarité générale, mais malheureusement sans grand effet.

Plus récemment encore en janvier 2011, des collaborateurs de Neveneffecten réalisèrent un reportage drôle, mais malheureusement très réaliste dans le cadre de leur série TV flamande BASTA à propos de la simplicité des mots de passe en effectuant un test grandeur nature, d'où il ressortait que des Flamands notoires utilisaient aussi en 2011 des mots de passe quelque peu simplistes. Stijn Meuris et Steven Van Herreweghe avaient ainsi choisi leur prénom, alors que Tom Van Dyck avait opté pour le nom de son entreprise que l'on pouvait retrouver sur Wikipedia. Le reportage peut encore et toujours être visionné sur YouTube. Je suis convaincu qu'un test comparable donnerait aujourd'hui encore des résultats similaires dans beaucoup d'organisations.

De plus, il existe réellement une telle masse de films et de séries TV où des mots de passe sont piratés à tort et à travers que cela en devient un plaisir. Dans ma collection, je possède déjà plus de 150 films montrant ce genre de scènes. Il s'agit évidemment de pure fiction, mais ma compile comprend aussi plusieurs documentaires bien réels.

Avec le succès des médias sociaux, de l'informatique dans le nuage (cloud computing) et l'utilisation croissante de l'internet mobile, les violations de mots de passe (simples) augmentent aussi, parce qu'il devient plus facile pour le monde extérieur d'avoir accès à la porte d'entrée virtuelle d'une organisation où le mot de passe est demandé: Yahoo, Gmail, LinkedIn, etc. font la manchette des journaux, mais malheureusement, cela ne porte guère à conséquence.

Résumons-nous: des exemples et des cas d'école suscitant l'espoir et au bout du compte encore et toujours peu de changements...

Qui donc se l'est coulé douce? Le premier groupe qui n'a fourni que peu de véritables solutions, c'est l'industrie IT elle-même. Ne me comprenez pas mal. L'industrie IT brandira certainement des solutions telles que des outils d'Identity & Access Management, des outils Single Sign-On, des systèmes One-Time Password et d'autres dispositifs d'accès qui génèrent leurs propres mots de passe à condition d'introduire des codes PIN, etc. Comme si les utilisateurs finaux et les directions attendaient cela: investir beaucoup d'argent dans du logiciel coûteux et dans des solutions hardware avec services de consultance et maintenance connexes en comparaison avec la valeur ajoutée et la facilité d'emploi.

Pendant quelque temps, l'eID fut présentée en Belgique comme une solution, jusqu'à ce qu'il apparaisse qu'elle exigeait un lecteur de smartcards sur tous les points d'accès où travaillent les utilisateurs (dont coût), ce que beaucoup de personnes considèrent encore comme une partie de leur sphère privée (psychologie). En outre, l'on oublie que dans la pratique, certains systèmes doivent être partagés par plusieurs utilisateurs. Ajoutons-y encore que certains systèmes IT n'autorisent absolument pas de longues phrases de passe que les utilisateurs peuvent eux-mêmes changer où et quand ils le veulent (oublié de le demander dans l'offre!). La valeur ajoutée de ce genre d'investissements est malaisée, surtout en comparaison avec l'investissement dans d'autres activités au sein de l'organisation. Mais parfois, de tels outils sont encore choisis en tant qu'os à ronger pour le régulateur ou le conseil d'administration pour démontrer que l'organisation est "sur la bonne voie".

Et l'on en arrive ainsi à la deuxième catégorie: les directions de beaucoup d'organisations connaissent évidemment la problématique, du fait qu'elles sont elles-mêmes des utilisateurs finaux. Généralement, il y a toutefois une forte pression pour présenter aux membres de la direction un règlement plus flexible en matière de mots de passe (comprenez: un mot de passe qui n'expire jamais ou n'est pas complexe). Soit les membres de la direction vont simplement confier leur mot de passe à leur assistante de direction qui exécutera alors toutes les opérations nécessaires au nom du directeur concerné. Cela va à l'encontre du principe "tone at the top", librement traduit par "le dirigeant donne le bon exemple". Pénible, mais malheureusement vrai. En cas de problème par la suite, vous connaissez la chanson...

La troisième catégorie à n'introduire que peu de bonnes solutions, ce sont malheureusement les responsables de la sécurité de l'information (appelés aussi CISO ou Chief Information Security Officers) qui exigent et/ou ne jurent que par des mots de passe complexes qui doivent être modifiés tous les 30-60-90 jours et être de préférence différents pour chaque application. Conséquence: les utilisateurs finaux vont concocter toutes sortes d'alternatives pour retenir/utiliser leur série de mots de passe. Les Post-its de 3M sont utilisés dans ce but, mais aussi le MS Excel-file et récemment encore le stockage des mots de passe dans les navigateurs internet. Il va de soi que les responsables s'y opposent de manière ultra-radicale, eux qui considèrent comme un devoir de faire marcher tout le monde au pas. Heureusement, je connais quand même plusieurs responsables de sécurité de l'information plus pragmatiques.

Il existe enfin des règles de mise en conformité (compliance) qui vont parfois très loin dans l'exigence de critères de mots de passe bien définis, comme PCI DSS (Payment Card Industry Data Security Standards), mais certaines règles sont aussi imaginées par des conseillers, sans que ces critères n'existent vraiment. J'invite tout un chacun à parler avec les utilisateurs qui travaillent dans des organisations où de telles règles de mise en conformité sont exécutées à le lettre. C'est très instructif.

Quelles sont actuellement les solutions les plus courantes et les plus réalistes en matière de mots de passe? Primo, il faut concevoir une politique de mots de passe claire qui soit approuvée par la direction et qui soit appliquée à tout le monde au sein de l'organisation. L'on peut y spécifier par exemple qu'après un certain nombre de tentatives bien défini, l'utilisateur doit attendre un laps de temps convenu avant d'effectuer un nouvel essai. En outre, cette politique doit accorder de l'attention à la fourniture d'explications suffisantes et régulières à tous les utilisateurs (et des explications spécifiques aux groupes qui utilisent des informations plus que sensibles) à propos de l'importance de choisir de solides mots/phrases de passe. FEDICT a réalisé en 2005 une tentative très méritoire afin de sensibiliser les utilisateurs d'un ordinateur en Belgique avec la campagne PéCéPhobie, mais malheureusement, ce fut une action isolée.

L'expérience m'a appris combien il est difficile d'organiser une telle campagne d'information en matière d'utilisation des mots de passe et de la présenter pratiquement/régulièrement au(x) groupe(s) cibles. L'objectif devrait être d'atteindre tous les utilisateurs au moins 2x par an (en plus des débutants traditionnels au sein de l'organisation et des messages de rappel ad hoc en cas d'incidents). Le meilleur conseil à donner, c'est de mettre en oeuvre une telle campagne dans la culture et de l'adapter à l'environnement de l'organisation. Il ne s'agit donc pas d'utiliser des images d'athlètes, mais bien des images de transport dans une entreprise de transport, des images de magasin dans une chaîne commerciale, des images IT dans une organisation de services IT, etc.

Secundo, les utilisateurs doivent être formés à la façon de créer des phrases de passe intelligentes de manière simple. La règle empirique est d'amener les personnes à combiner des mots dans une phrase de passe avec leur propre combinaison initiale ou finale unique qu'elles peuvent répéter chaque fois qu'elles renouvellent leur phrase de passe. Il faut évidemment que cela soit possible. Cela fera donc l'objet d'un critère supplémentaire qui devra être considéré de près lors du développement ou de l'achat de solutions logicielles/matérielles.

Tertio, les utilisateurs finaux doivent avoir le choix parmi des solutions pratiques pour pouvoir installer, utiliser et modifier plusieurs mots de passe de manière simple mais effective. Si nécessaire, les utilisateurs seront autorisés à noter sur un Post-it une partie de leur mot de passe, mais une partie uniquement. Et pourquoi les utilisateurs ne pourraient-ils pas recourir à un gestionnaire de mots de passe virtuel choisi par l'organisation, tel KeePass, Password Vault Manager, S10 Password Vault, 1Password, etc. Ces solutions sont rejetées par certains responsables de la sécurité de l'information comme si elles étaient diaboliques, mais sans qu'ils proposent des alternatives dignes de ce nom, sauf MS Excel évidemment.

Enfin, je souhaiterais plaider en faveur d'une réelle innovation dans ce domaine spécifique de l'IT. Il y a en effet déjà eu des tentatives par le passé en matière de 'single sign-on' et autres, mais dans la plupart des organisations, l'on travaille aujourd'hui encore et toujours avec des mots de passe comme base de la technique d'authentification et ce, en raison de la multitude des systèmes et des applications, ainsi que du coût. Personnellement, je pense que l'évolution vers la virtualisation, l'informatique dans le nuage et la centralisation de l'information et des applications peut avoir un impact positif sur des méthodes d'accès simples mais efficientes pour les utilisateurs. Cela peut ne pas paraître le thème le plus enthousiasmant qui soit en IT, mais j'estime que chaque utilisateur final a le droit fondamental de protéger ses informations en recourant à une solution d'authentification simple et conviviale. Pour l'instant, il nous faut nous contenter de phrases de passe.

Marc Vael Président d'ISACA BELGIUM

Nos partenaires