Bonnes pratiques d'authentification

La protection des moyens d’authentification et la sensibilisation sur ces sujets est une partie importante de notre activité, aussi nous profitons de la publication le 8 octobre 2021 par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) de la version 2.0 des Recommandations relatives à l’authentification multifacteur et aux mots de passe, pour reprendre et expliquer ici une série de bonnes pratiques à mettre entre toutes les mains.

Comme la plupart des guides de l’ANSSI, ces recommandations sont assez didactiques, avec une cible large (DSI, développeur·ses, utilisateur·rices). Les 2 premières cibles préfèreront lire directement ces 45 pages de recommandation, aussi nous allons plutôt viser les utilisateur·rices dans cet article.

Définitions

Avant d’entrer en détail dans les recommandations, commençons par redéfinir ce qui se cache derrière certaines notions.

Identification et Authentification

Quand nous parlons d’authentification, le plus souvent, nous couvrons à la fois d’identification et l’authentification.

Ces 2 termes peuvent être expliqués comme suit :

  • l’identification est la phase où un·e utilisateur·rice annonce son identité (comme quand on vous demande votre nom en soirée)
  • l’authentification est la phase où cette identité va être vérifiée, il va falloir prouver qu’on est bien celui ou celle qu’on annonce être (comme par exemple quand on vous demande de présenter une carte d’identité)

Authentification multifacteur

Pour prouver son identité, on classe souvent les facteurs d’authentification en 3 catégories :

  • le facteur de connaissance (“ce que je sais”) : c’est une connaissance que l’on a mémorisée (comme un mot de passe, un code PIN, une phrase, un code, etc.)
  • le facteur de possession (“ce que je possède”) : c’est un élément (non mémorisable) contenu dans un objet physique (comme une carte à puce, un téléphone, une clé USB, etc.)
  • le facteur inhérent (“ce que je suis”) : c’est une caractéristique physique indissociable de la personne, morphologique (forme du visage, empreintes digitales, empreinte rétinienne, etc.), biologique (ADN), ou comportementale (voix, frappe au clavier)

Une authentification multifacteur implique donc une vérification de l’identité via au moins 2 catégories de facteurs différents (par exemple par un mot de passe + une carte à puce).

L’avantage d’une authentification multifacteur étant qu’il est plus difficile pour un attaquant de pouvoir avoir accès en même temps aux différents types de facteurs et donc est plus sécurisée qu’une authentification qui impliquerait l’utilisation d’un seul facteur ou même de 2 facteurs de la même catégorie.

Les recommandations vont plus loin dans l’analyse du modèle de menace, les attaques possibles, etc. mais ce n’est pas l’objectif de ce billet.

Catégories de mots de passe

L’ANSSI regroupe les services pour lesquels nous avons besoin de nous authentifier par mot de passe ou PIN en 3 catégories :

  • Les mots de passe devant être mémorisés : concerne les mots de passe ne pouvant pas facilement être gérés par un coffre-fort de mots de passe, comme le mot de passe maître de ce dernier, le mot de passe d’une session Windows, etc. Ces mots de passe doivent être mémorisés et suffisamment robustes au vu de leur criticité, mais ils sont peu nombreux à retenir. Cette catégorie de mot de passe étant la plus critique, il est pertinent qu’elle soit associée à un second facteur d’authentification.
  • Les mots de passe pouvant ne pas être mémorisés : concerne les mots de passe pouvant être générés et conservés par des coffres-forts de mots de passe, comme les mots de passe associés à des comptes de récupération.
  • Les numéros d’identification personnels, autrement appelés codes PIN sont vérifiés localement au sein d’un composant physique de sécurité. Les codes PIN que l’on retrouve dans les cartes à puce dont les cartes SIM sont également accompagnés de mesures très restrictives sur le nombre d’échecs d’authentification autorisés (par exemple, la carte se bloque après trois échecs successifs d’authentification).

Cette catégorisation est intéressante car elle permet de mettre en avant que les différents services utilisés et où nous avons besoin de nous authentifier n’ont pas tous la même criticité et que le niveau de sécurité doit être en adéquation avec la criticité du service / des données stockées.

Il est aussi important de noter que le nombre de mots de passe complexes à mémoriser est généralement très réduit ce qui permet de pouvoir mémoriser des mots de passe d’une complexité plus importante.

Recommandations

Comme précisé en préambule, nous ne reprendrons ici qu’une partie des 42 recommandations publiées par l’ANSSI.

R1 : Privilégier l’authentification multifacteur

Il est recommandé de privilégier l’utilisation d’une authentification multifacteur, c’est-à-dire une authentification mettant en œuvre plusieurs facteurs d’authentification appartenant à une catégorie de facteur différente parmi les facteurs de connaissance, de possession et inhérent.

Quand c’est possible, il est préférable d’utiliser une authentification multifacteur pour renforcer la sécurité, comme brièvement expliqué ci-dessus.

De plus en plus de site et de plateformes proposent une double authentification avec un mot de passe + cliquer sur un lien reçu par e-mail, ou rentrer un code reçu par SMS ou utiliser une appli de génération de Token à Usage Unique (OTP pour One-Time Password).

Quand cela est possible et pertinent il est donc encouragé d’activer cette double authentification.

R32 : Utiliser des mots de passe robustes

Il est recommandé d’utiliser des mots de passe (ou phrases de passe) robustes, c’est-à-dire suffisamment longs et complexes pour résister aux attaques par recherche exhaustive et n’étant pas un mot du dictionnaire (ou une citation ou phrase connue) pour résister aux attaques par dictionnaire.

La robustesse du mot de passe nécessite :

  • une longueur minimale et/ou une complexité des types de caractères utilisés (majuscules + minuscules + chiffres + caractères spéciaux). Il faut comprendre ici que le nombre de caractères utilisés (longueur) ainsi que le nombre de caractères possibles (complexité) vont tout deux augmenter la robustesse du mot de passe. Ainsi un mot de passe très long avec une faible complexité sera souvent aussi efficace (voire plus) qu’un mot de passe complexe mais court.
  • d’être aléatoire (non basé sur de données personnelles (adresse, nom, infos sur les enfants, dates de naissance) ou sur le mot de passe précédent ou sur le service visité)
  • ne pas être un mot du dictionnaire (même si on remplace les a par des @ et les o par des 0 ou les l par des 1 ou des !)

R33 : Utiliser un mot de passe différent pour chaque service

Il est recommandé d’utiliser un mot de passe différent pour chaque service auquel l’utilisateur est inscrit.

Ce point est très important, il permet de se prémunir d’un problème de plus en plus fréquent : un des services qu’on utilise est corrompu, des personnes mal intentionnées récupèrent notre mot de passe et peuvent alors se connecter sur tous les services qu’on utilise avec ce même mot de passe. Ainsi, par exemple dernièrement des millions de comptes Facebook ont été piratés.

Évidemment, l’ANSSI est bien consciente que retenir un mot de passe complexe différent par service n’est pas possible, ce qui fait la transition avec la recommandation suivante :

R34 : Utiliser un coffre-fort de mots de passe

Il est recommandé d’utiliser un coffre-fort de mots de passe permettant facilement de générer des mots de passe robustes et différents pour chaque service, facilitant la mise en œuvre de la recommandation R33.

Un coffre-fort de mots de passe est un outil qui permet de stocker tous ses mots de passe de manière chiffrée par un mot de passe maître. Ainsi, le seul mot de passe à retenir est le mot de passe maître pour pouvoir accéder à tous ses autres mots de passe (ce qui permet d’avoir un mot de passe maître robuste vu qu’on n’a quasiment que celui-là à retenir).

Plusieurs solutions existent sur le marché, dont un grand nombre de solutions en ligne.

Au Filament nous nous méfions des solutions en ligne, d’autant plus quand elles sont gratuites, bien souvent nous ne savons pas réellement où sont stockées nos données ni ce qui en est fait. (sauf bien sûr à passer par des CHATONS)

Nous préférons utiliser une des rares solutions actuellement certifiée par l’ANSSI (et qui a en plus le mérite d’être un logiciel libre) qu’est KeePass.

KeePass inclut un certain nombre de fonctionnalités dont un générateur aléatoire de mot de passe, bien pratique pour générer des mots de passe robustes.

À noter que bien souvent votre navigateur Internet propose aussi de stocker vos mots de passe, nous vous conseillons d’éviter cette option aussi, de nombreuses attaques s’appuient sur l’utilisation des bases de mots de passe enregistrés dans le navigateur.

R35 : Protéger ses mots de passe

Il est recommandé d’adopter les bons réflexes de protection des mots de passe. Par exemple, il est impératif de ne pas écrire ses mots de passe sur une note sous le clavier, de ne pas créer un fichier « mot de passe » sur le poste utilisateur, de ne pas s’envoyer ses mots de passe par courriel, etc. L’utilisation d’outils comme les coffres-forts de mots de passe est à privilégier.

Corrolaire de la recommandation précédente, un mot de passe est un moyen qui permet de vous authentifier et doit donc être protégé. Ainsi, on évite les mots de passe listés dans son cahier ou dans une feuille de calcul (même si on met un mot de passe sur son document).

Préférez un coffre-fort de mot de passe !

R36 : Utiliser un mot de passe robuste pour l’accès à sa messagerie électronique

Il est recommandé d’utiliser un mot de passe robuste pour accéder à sa messagerie électronique. En particulier, il faut privilégier l’utilisation d’une méthode d’authentification multifacteur lorsque cela est disponible.

Dernière recommandation visant les utilisateurs : attention à bien protéger l’accès à votre messagerie électronique !

Cette dernière est critique car c’est bien souvent ce qui sera utilisé pour vous envoyer un lien pour réinitialiser votre mot de passe si vous (ou une personne malveillante) cliquez sur “J’ai oublié mon mot de passe” sur la plupart des sites. Ainsi, si votre messagerie est corrompue, une bonne partie des services que vous utilisez pourrait l’être aussi.

Pour éviter ça, utilisez en particulier pour votre messagerie un mot de passe robuste généré aléatoirement et stocké dans un coffre-fort de mot de passe (et la boucle est bouclée).

Bonne journée, Prenez soin de vous (et de vos mots de passe) !

Licence

Licence Ouverte 2.0

Étiquettes

password mot de passe authentification bonnes pratiques ANSSI

Catégories

Sensibilisation

Commentaires

Afficher les commentaires
Écrire un commentaire