Le mot de passe, un verrou parfois faillible

Simple clef d'accès, parfois contraignante, à  bien des applications, son choix doit respecter des bonnes pratiques sous peine de créer des failles de sécurité. L'authentification forte doit dans certains cas s'y substituer.

Pourquoi mettre en place des mots de passe ?

Les applications dans leur quasi-totalité comportent désormais une étape préalable consistant pour l'utilisateur à s'authentifier à l'aide d'un couple composé d'un identifiant et d'un mot de passe. Que ce soit pour se connecter à une session de système d'exploitation ou à une application métier, éditeurs et entreprises utilisatrices ont instauré ce verrou pour des questions de sécurité.

A chaque compte seront en effet en général associés des droits. L'objectif premier de l'authentification par mot de passe est donc de ne permettre à un utilisateur de n'accéder qu'à ce à quoi il est autorisé, et donc de la même façon d'interdire l'accès à tout ou partie du système d'information à des personnes non-habilitées, possiblement malveillantes.

Cette étape d'authentification est désormais banalisée auprès des utilisateurs. La question qui se pose n'est donc plus tant celle du pourquoi que du comment. Ce secret possédé par l'utilisateur peut en effet toujours être deviné ou volé, par des logiciels permettant de sniffer ou de casser le mot de passe, ou par le social engineering afin de l'obtenir par la supercherie.

Quelles sont les bonnes pratiques à respecter pour le définir ?

Le choix d'un mot de passe doit répondre à des critères de robustesse. Ainsi pour résister aux attaques, notamment par force brute, il comptera au minimum 8 caractères. Il ne peut toutefois s'agir que de lettres, tout comme l'utilisateur ne devra pas opter pour un mot figurant dans un dictionnaire. Pour cela, le mot de passe comprendra au moins 3 catégories différentes de caractères : chiffres, lettres et caractères spéciaux (- %, #, :, $, * -), mais aussi des majuscules et des minuscules.

Ces combinaisons de caractères peuvent a priori poser des problèmes de mémorisation. Mais ceux-ci peuvent être contournés grâce à des astuces mnémotechniques. L'utilisateur pourra ainsi par exemple s'aider d'une phrase simple comme "Mon collègue a un très bon bureau". Celle-ci peut donner alors le mot de passe suivant Mc@1tbb. Il est composé des premières lettres de chaque mot de la phrase. Pour le renforcer le "a" devient "@", et il comprend une majuscule.

La phonétique peut aussi être employée. Les sons de chaque syllabe d'une phrase définiront les caractères du mot de passe. Exemple : "J'ai acheté huit CD pour cent euros cet après midi". La phrase une fois réduite peut ainsi donner : "ght8CD%E7am".

Le mot de passe apporte-t-il une sécurité suffisante ?

La multiplication des applications a conduit à multiplié également les mots de passe. Il devient alors contraignant pour l'utilisateur de définir des mots de passe différents et de tous les mémoriser. Ce dernier a alors souvent tendance à répéter les mêmes, à les simplifier volontairement, voire parfois aussi à les noter pour éviter de se retrouver en situation de blocage en cas d'oubli du secret.

En outre, le mot de passe peut toujours être deviné ou volé, notamment par le social engineering. Cela consistera par exemple pour un individu malveillant à usurper l'identité d'un membre du service informatique ou d'un supérieur hiérarchique pour obtenir de l'utilisateur qu'il communique ses données d'accès.

Simplifier l'authentification avec SSO

Le Single Sign-On intervient notamment pour rendre moins contraignant l'accès au système d'information et à ses composants, contrainte qui encourage l'utilisateur à ne pas respecter les bonnes pratiques. Grâce au SSO, l'utilisateur n'aura à procéder qu'à une seule authentification pour accéder à plusieurs applications. Ses droits seront spécifiés dans un annuaire.

Un mot de passe fort unique peut alors être défini, ce qui réduit fréquemment le coût du support informatique, moins sollicité pour intervenir en cas d'oubli d'authentifiant. Pour l'entreprise, cela permet de centraliser la gestion des droits d'accès aux applications et de les auditer. Les projets de SSO sont toutefois organisationnellement complexes à mettre en œuvre.

D'autres technologies peuvent-elles compléter ou se substituer aux mots de passe ?

Pour gérer l'accès à des applications critiques ou des données sensibles, il est recommandé pour l'entreprise de mettre en place de l'authentification forte. Cela consiste à combiner différentes stratégies d'authentification : ce que l'on est (biométrie), ce que l'on possède (carte à puce) et ce que l'on connait (code secret). Il pourra par exemple s'agir d'un badge d'accès et d'un code PIN, ou d'une clef USB embarquant un certificat électronique et d'un mot de passe.

La robustesse de l'authentification (ou de l'identification) devra être proportionnée au risque. Une identification biométrique pour débloquer la session d'un salarié sans contact avec des activités sensibles n'est a priori pas nécessaire. Elle sera en revanche plus appropriée pour contrôler les accès à une salle blanche informatique.