Mis à jour le mardi 13 octobre 2015
  • 2 heures
  • Facile
Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Introduction du cours

Si vous avez en charge la gestion d'un système d'information et que ce type de procédure n'est pas encore en place chez vous, je suis prêt à parier que vous avez appris à connaître les dates de naissance ou de mariage, le nom des enfants et/ou du chien de bon nombre de vos collaborateurs.

Il est toujours très sympa de savoir que Martine a eu les petits Brandon et Brenda mais lorsqu'il s'agit de protéger les données de l'entreprise, il faut reconnaître que ses deux adorables petites têtes blondes représentent une menace de taille ! 

Nous allons commencer par lister ensemble les différentes menaces qui pèsent sur nos mots de passe, puis je vous présenterai quelques conseils pour créer un "bon" mot de passe. Nous aborderons ensuite le pourquoi du comment bien les gérer et enfin, pour jouer à l'apprenti hacker, nous réaliserons des tests et audits de vos terribles codes secrets.

Les menaces qui planent sur vos mots de passe

Le mot de passe, ce Saint-Graal qui ouvre le champ des possibles et surtout vous permet d’accéder à vos données et à celles de l'entreprise. Première pierre à l’édifice sécuritaire du système d'information, il est malheureusement assez fréquent de trouver des comptes avec des mots de passe triviaux, sans mot de passe ou avec des mots de passe par défaut.

Et pourtant, vous avez sûrement déjà entendu les administrateurs vous parler de mots de passe forts, non ? Première étape souvent absente dans la politique de sécurité, leur mise en œuvre est l’une des bases dans la sécurisation d’une infrastructure.

Avant de vous présenter en détail comment générer ce type de mot de passe, voyons ensemble les différentes méthodes utilisées par les « vilains pirates » pour découvrir vos précieux codes.

Force brute

Le principe utilisé dans ce type d'attaque est des plus simples : tester toutes les combinaisons possibles d’un mot de passe !

Dans ce cas, le temps nécessaire pour retrouver votre mot de passe variera en fonction du nombre de combinaisons possibles pour deviner la « gagnante ».

Quand Larousse fait des siennes ! Attaques par dictionnaires

Cette fois Jack Sparrow va tester une série de mots issus d’un dictionnaire. Il existe toutes sortes de dictionnaires sur Internet pouvant être utilisés pour mener à bien cet abordage (Prénoms, Célébrités, Marques commerciales, Auteurs, Personnages de fiction...).

Cependant, plusieurs règles de transformation des mots sont utilisées par les outils automatisés pour augmenter le nombre de combinaisons possibles.

Exemples :

– Un ou plusieurs caractères du mot en majuscule : travail => tRavAil

– Certains caractères sont remplacés par des chiffres : passion => pa5si0n

– l’ajout d’un chiffre au début ou à la fin d’un mot : cactus => 1cactus

– l’ajout des mots de passe déjà découverts.

Compromis temps/mémoire

Solutions intermédiaires permettant de retrouver un mot de passe plus rapidement et avec moins de mémoire que nos deux techniques précédentes, ces compromis sont réalisés à partir de chaînes construites à l’aide de fonctions de hachage et de réduction.

Pour retrouver un mot de passe, il faudra identifier à quelle chaîne appartient l’empreinte recherchée. Une fois cette chaîne retrouvée, il sera alors facile de déterminer le mot de passe, à partir du début de cette chaîne.

Attaques indirectes

En bon flibustier notre Jack utilise d’autres méthodes plus filoutes telles que l'hameçonnage et les enregistreurs de touches.

 L'hameçonnage

L’hameçonnage (phishing), consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

Cela se traduit par des courriers électroniques vous invitant généralement à envoyer votre nom d'utilisateur et/ou votre mot de passe sous peine de perdre l'accès à votre boîte mail par exemple.

Dans ce cas de figure, seuls le bon sens et la vigilance vous garantiront de rester serein. 

Les enregistreurs de touches ou keyloggers.

Installés à votre insu, par un virus ou un tiers malintentionné, ces petits programmes malicieux enregistrent toutes les saisies effectuées sur votre poste de travail. Les données capturées sont consolidées localement puis envoyées automatiquement à notre pirate en toute transparence pour la victime.

Rappelons également que ce type de menace est souvent le fruit d'un manque de vigilance lors de la navigation ou du téléchargement de certaines pièces jointes dont la provenance est des plus douteuses.

Une fois de plus le bon sens doit primer : si vous recevez par exemple un mail d'une banque dont vous n’êtes pas client qui vous informe que votre compte bancaire est compromis, je vous déconseille très fortement de cliquer sur autre chose que le bouton supprimer. 

Notre bon ami Sparrow est sûrement en embuscade, prêt à  s’emparer de vos coffres !  

Un "bon" mot de passe, en bref !

Maintenant que vous savez Jack à l’affût de votre navire, dotez votre flotte des canons de sécurité usuels pour le dissuader de partir à l'abordage.

 Un bon mot de passe est avant tout un mot de passe fort ! Oui, celui dont vous parlent les administrateurs depuis si longtemps…

 Ok, mais c'est quoi exactement un mot de passe fort ?

C’est très simple, une combinaison de caractères difficile à retrouver, même à l’aide d’outils automatisés.

 La qualité d’un mot de passe dépend de deux paramètres complémentaires : sa longueur et le nombre de possibilités existantes pour chaque caractère qui le compose.

Un code secret constitué de minuscules, majuscules, chiffres et caractères spéciaux est techniquement plus complexe à découvrir.

Ah ? Mais je croyais qu'il devait être compliqué ?

Oui mais… Je suppose que comme moi, il vous est arrivé au détour d'un bureau de croiser une collection de post-it collés sur le bord de l’écran sur lesquels sont griffonnés identifiants et mots de passe à la vue de tous. Vous conviendrez que cela met bêtement en danger la sécurité du SI.

Comment faire alors ?

Il est possible d'utiliser différents moyens mnémotechniques pour retenir vos mots de passe forts plus sereinement. Voyons en détails quelques suggestions...

Méthode phonétique

Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Les accrocs aux textos ne devraient pas avoir de difficultés à user de cette méthodologie…

 Exemple : la phrase « La sécu de mon PC est facile ! » deviendra LaCQ2monPC&fa6le.

Méthode des premières lettres

Ici, nous garderons les premières lettres d’une phrase (citation, paroles de chanson…) en veillant à ne pas utiliser que des minuscules en glissant ici ou là un soupçon de phonétique et en rajoutant un ou plusieurs caractères spéciaux....

Exemple : « Le bonheur est parfois caché dans l'inconnu » donnera lB&pCdl'1.

 Vous voyez, rien de bien compliqué pour se doter d'une arme de dissuasion efficace. 

Mais rappelons une fois de plus que la vigilance de chacun reste l'argument sécuritaire numéro 1 et que ces outils doivent être accompagnés d'une politique interne des plus rigoureuses pour être efficace.

 C'est le sujet de notre prochaine section, alors en route vers le nouveau monde moussaillon !

Bien gérer ses mots de passe : pourquoi et comment

Politique de gestion des mots de passe

Nous l'avons vu ensemble, le mot de passe est souvent la seule protection d’une station de travail. Il est donc primordial de mettre en œuvre une politique de gestion des mots de passe intégrée à la politique de sécurité de votre système d’information.

Voyons plus en détails ce que nous pourrions inscrire à cette charte de bonne pratique.

Sensibilisation à l’usage de mots de passe forts

Vos utilisateurs doivent être sensibilisés à l'utilisation de mots de passe forts afin de comprendre pourquoi le risque d'utiliser des mots de passe faibles peut entraîner une vulnérabilité sur le système d'information dans son ensemble et non pas sur leur poste uniquement.

 Voyons ensemble un exemple concret.

Imaginons que vous soyez en charge d’un service. Vous aviez un mot de passe des plus scolaires et ce dernier se retrouve compromis par un tiers.

 Eh oui, Jack a encore fait des siennes !

 En disposant de vos données d'identification, notre bon pirate peut désormais lire l'intégralité de tous les courriers électroniques destinés au bon fonctionnement du service. Conscient d’être en possession d'un véritable trésor, il pourra ainsi répondre à ces courriers à votre place, répercuter les informations (ou les revendre) à d'autres personnes, etc.

Mais cet exemple est malheureusement vrai quelle que soit votre fonction et les dommages causés ne pourront être réparés que très difficilement dans certains cas.

Mot de passe initial

Vous voici Amiral de la Flotte ! À vous désormais de donner les premières directives d'accès aux navires ! Mais ne criez pas sur le pont ces informations de sécurité, le mot de passe initial doit être de préférence fourni sur un canal sûr (téléphone, face à face dans un bureau fermé...).

Lorsque ce dernier est fourni par l’administrateur système ou communiqué sur un canal non confidentiel, il devra être changé dès la première connexion. L’administrateur doit faire preuve d'une vigilance accrue afin de s’assurer que le mot de passe n’est pas utilisé par un tiers mal intentionné.

Renouvellement

C'est connu de tous, les habitudes routinières sont la mort de l'Homme… Pour les mots de passe, il en va de même !

Rien de pire qu'un code d’accès permanent laissant tout le temps à notre bon Sparrow de le percer à jour !

Les mots de passe doivent avoir une date de validité maximale (30 jours, 2 mois…), la durée devant considérer le degré de confidentialité des informations auxquelles l'accès est autorisé.

À cette date l’utilisateur ne doit plus pouvoir s’authentifier sur le système si ce dernier n’a pas été changé, permettant ainsi de s’assurer qu’un code confidentiel découvert par un petit malin ne sera pas utilisable indéfiniment dans le temps. 

Des critères prédéfinis

Mis en œuvre dans de nombreux systèmes pour s’assurer de la qualité des mots de passe, plusieurs critères peuvent être définis :

  • une longueur minimale obligatoire prédéfinie (8 caractères dont 2 chiffres ou caractères spéciaux me paraît être un minimum syndical de nos jours) ;

  • l’impossibilité de réutiliser les n derniers mots de passe ;

  • le nombre de tentatives possibles avant verrouillage de compte ;

  • une stratégie de déverrouillage des comptes bloqués ;

  •  la mise en place d’une veille automatique après un certain temps d’inactivité et un verrouillage de l’écran nécessitant une authentification à la reprise de la session. Ainsi, vous vous protégez en cas d’absence imprévue. Même s'il est vrai que cela vous privera de bonnes blagues vis à vis de vos collègues zélés qui laissent leurs postes ouverts et à qui vous pouviez changer le fond d’écran, les barres d'outils… ou encore ouvrir des pages douteuses en plein écran… Mais bon, je suis sûr que vous trouverez une autre solution plus sécurisée de mettre de la bonne humeur autour de vous ! ;) 

Confidentialité

C'est pour ma part un élément qu'il me faut régulièrement rappeler à mes utilisateurs.

 Il est possible que vous souhaitiez une politique de sécurité demandant aux utilisateurs de stocker les mots de passe sur papier dans un lieu sûr pour le cas où un problème majeur surviendrait, mais le minimum acceptable dans ces cas de figure consisterait à utiliser par exemple une enveloppe cachetée placée dans un coffre ignifugé.

Configuration des logiciels

Le confort, cet ennemi qui vous veut du bien !

Bon nombre de navigateurs proposent d’enregistrer vos mots de passe, par le biais d’une petite case à cocher pour vous éviter la peine d’avoir à les ressaisir lors de votre prochaine session.

Vous avez coché cette case ?

En effet, ce petit confort personnel pose plusieurs problèmes de sécurité. Imaginons qu’une personne mal intentionnée réussisse à prendre le contrôle de l’ordinateur d’un utilisateur…

Oui, je sais, c'est pas de bol ! Mais cela peut arriver.

Voilà qu’après un petit tour d'horizon et une pincée de curiosité, il lui suffit de récupérer le fichier contenant la liste des mots de passe enregistrés pour pouvoir se connecter sur des sites à accès protégé que vous auriez préféré garder secrets.

Sans compter sur le potentiel humoristique de votre pirate qui en votre nom peut à loisir décider par exemple d’écrire un poème d'amour à votre supérieur hiérarchique… Peut-être appréciera-t-il que vous lui déclariez votre flamme mais les quelques exemples dont j'ai été témoin ont rarement connu un happy end…

Varier les plaisirs

Un mot de passe, aussi fort soit-il, n'est jamais inviolable, surtout au fil du temps. Tout comme n'importe quel processus de sécurisation d’ailleurs.

Il est donc important de changer régulièrement son mot de passe et d'utiliser des combinaisons différentes pour chaque service auquel vous souhaitez vous connecter. 

En effet, si le poste de travail est compromis, un keylogger installé fera rapidement son office et récupérera tous les mots de passe saisis au clavier durant la période où il est installé. Aussi, même si vos mots de passe sont forts, les pirates accéderont sans aucune difficulté à l’ensemble des services nécessitant ces accès tant que vos données d'identification capturées n’auront pas été changées.

La faille est alors durable !

C’est pourquoi un changement régulier de mots de passe permettra de réduire dans le temps une éventuelle attaque. Bien évidement, cette variation de mots de passe doit être effectuée à partir de machines saines, dans le cas contraire notre bon vieux Jack n'aura qu'a actualiser ses données collectées pour retrouver quasi immédiatement l'accès à vos précieuses informations.

Donc, comme en amour, brisez la routine en changeant régulièrement vos données d’authentification pour que la relation avec votre système d'information soit toujours aussi douce qu'au premier jour ! ;)

Mots de passe éphémère (One Time Password)

Il est possible d’utiliser des solutions permettant de s’authentifier à un système par le biais d’un mot de passe ne pouvant être utilisé qu’une seule fois. L’avantage de cette technique réside essentiellement dans le fait qu'un mot de passe ne peut pas être réutilisé s'il est découvert. Cependant nous resterons vulnérables aux attaques d'intercepteur aussi appelés man in the middle.

Mettre en place un contrôle systématique des mots de passe

En tant que capitaine du navire, vous vous devez de vous assurer que le bateau ne va pas sombrer au milieu de l'Atlantique à cause d'une fuite… Donc assurer-vous que vos utilisateurs ont bien suivi vos directives en contrôlant l’absence de mots de passe faibles.

Si vous y êtes autorisé, réalisez des tests sur la robustesse des mots de passe utilisés sur vos installations. De nombreux outils commerciaux ou gratuits sont disponibles sur Internet pour analyser la cohérence des sésames choisi par vos équipes. Nous détaillerons un peu plus ces outils dans la dernière section.

Mettre en œuvre sa stratégie

Une bonne politique de mise en œuvre, de gestion et d'audit de mot de passe devrait être impérative pour tout responsable d'entreprise et administrateur réseaux afin d'assurer la sécurité des infrastructures.

Le contenu d'une telle politique définit la typologie de mots de passe autorisés, leur longueur, les délais d'expiration, la technique de génération, leur occurrence d'utilisation, etc.

Une phase de sensibilisation et d'explication du modèle choisi devra être menée auprès de chacun pour s'assurer l’adhésion de tous, même si elle est souvent initiée par le responsable réseaux.

Jouons à l'apprenti hacker : audits et tests

Vous avez beau être l'Amiral de la flotte royale, il faut penser comme Jack Sparrow pour anticiper autant que possible les fuites au cœur de votre réseau.

Pour s'assurer de l'absence de mots de passe faibles, réalisez des tests sur la robustesse des mots de passe utilisés sur votre système d'information.

Des personnes ont des mots de passe trop faibles ?

Contactez-les et incitez-les à modifier leur mot de passe.

Une fois la politique de mot de passe adoptée, il s'agira ensuite de la décliner sous une forme opérationnelle à l'aide des outils appropriés pour chaque système.

Sous Linux, nous privilégierons Npasswd au profit de l'application courante Passwd afin de définir une granularité plus fine et mieux adaptée à la politique souhaitée. Des briques logicielles supplémentaires tels que les modules PAM vous permettront également de renforcer et de mener à bien des politiques de création de mots de passe.

Sur les systèmes Windows, des outils permettent d'introduire des contraintes dans le choix des mots de passe. Citons par exemple nos chères GPO dans les modules Active Directory.

Un des derniers aspects de la mise en œuvre de la politique de sécurité des mots de passe consiste à définir la fréquence des audits afin de s'assurer que la politique est bien respectée.

En bon apprenti pirate, je vous invite à regarder plus en détail les logiciels que je vais vous suggérer, mais cela ferait l'objet d'un cours à part entière pour les voir plus en détails.

Donc, des outils tels que L0phtCrack , John the Ripper ou Crack vous permettront de contrôler régulièrement la robustesse des mots de passe.

L0phtCrack

L0phtCrack est un excellent outil d'audit supportant les chiffrements LanMan et NTLM qui vous permet de déterminer si des mots de passe faibles sont présent sur votre réseau. Il est capable de s'attaquer aussi bien à un fichier de mots de passe récupéré localement ou à distance via SMB, que de s'attaquer aux mots de passe capturés sur le réseau sous forme de défi/réponse grâce à un renifleur intégré.

Petite cerise sur le gâteau, il dispose d'une interface graphique conviviale qui rend ce dernier des plus glamours à utiliser car la ligne de commande fait plus généralement légion sur ce type d'outils.

Sorti en 1997, il est un triste reflet de la sécurité informatique qui, encore aujourd'hui, se base majoritairement sur des mots de passe pour protéger nos information clés.

Je vous recommande fortement de télécharger L0phtCrack pour avoir un regard sur la façon forte dont les comptes de vos propres utilisateurs sont créés.

Mais attention, assurer vous d'obtenir la permission de votre direction avant de vous lancer car ces méthodes d'investigation « border-Line » ne sont pas toujours très bien perçues dans de nombreux établissements.

Crack

Crack est le père des logiciels modernes de découverte des mots de passe. Contenant depuis très longtemps toutes les fonctions de génération de mots de passe aujourd'hui classiques, il est conçu pour localiser rapidement les insécurités sous Unix (mais un patch existe pour les empreintes LanMan) en scannant le contenu d'un fichier de mot de passe, à la recherche des utilisateurs qui ont malencontreusement choisi un mot de passe de connexion faible.

John the Ripper

John the Ripper est actuellement le logiciel de cassage le plus évolué, aussi bien en termes d'algorithmes de chiffrement supportés, d'algorithmes de génération de mots de passe mis en œuvre, que d'architectures processeur supportées.

Il bénéficie d'une grande popularité en incluant l’auto-détection des tables de hachage utilisées par les mots de passe, l'implémentation d'un grand nombre d’algorithmes.

Autre atout de taille, il est très facilement modifiable et une attaque peut être reprise sans difficulté après une pause.

S'il n'existe aucune interface graphique et se révèle moins sexy que L0phtCrack, John s'utilise en ligne de commande et se montrera bien plus puissant si vous faites preuve de bon sens et d'imagination.

Conclusion

Mettre en place une politique de mots de passe n'est donc pas des plus compliqués, mais vous demandera de la patience et de la communication auprès de vos interlocuteurs pour que la bonne habitude s'installe dans votre organisation et que chacun mesure l'importance d'une telle politique. De plus, pour qu'elle soit menée à bien, assurez-vous d'avoir le soutien de votre direction car un bon sponsor dans ce type de mise en œuvre est essentiel. Enfin, cette dernière ne doit pas être un acte isolé et devra s’inscrire dans le règlement interne de votre entreprise pour perdurer.

Pour finir, n’hésitez pas à auditer vos installations (si vous en avez l'autorisation) et n'oubliez jamais qu'une telle politique ne suffit pas a elle seule à écarter les risques sécuritaires qui planent sur vos informations les plus précieuses.

Sur le même sujet

Protégez l'ensemble de vos communications sur Internet

Exemple de certificat de réussite
Exemple de certificat de réussite