Un rappel sur les mots de passe
Une mise à jour de l’article de 2017 de la CNIL sur les recommandations au sujet des mots de passe a été mis en ligne par la CNIL.
D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe.
Et en France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.
Quels sont les facteurs de risque des mots de passe ?
- Un mot de passe trop simple ;
- L’absence de chiffrement des données en transit, qui permettrait à de potentiels observateurs du réseau de récupérer des mots de passe ;
- La conservation des mots de passe en clair ;
- Manque de sécurisation dans les modalités de renouvellement du mot de passe en cas d’oubli.
Il n’y a pas de définition universelle d’un bon mot de passe, mais on peut quand même prendre en compte sa complexité (mélange de minuscules, majuscules, chiffres, caractères spéciaux) et sa longueur (au moins 14 caractères) comme des facteurs bénéfiques en cas d’attaque, notamment par force brute. La CNIL dans sa mise à jour des recommandations, inclus des nouvelles notions à inclure dans les politiques de mots de passe.
Les évolutions des recommandations depuis 2017
- Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
- Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
- L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
- L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
- Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).
L’utilisation du facteur d’entropie
L’entropie est un concept emprunté à la théorie de l’information. Dans le contexte des mots de passe, c’est la mesure de force d’un mot de passe, calculé par la formule E = log2(RL). La longueur et la complexité augmentent la résistance aux attaques dites par « force brute » qui consistent à tester successivement de nombreux mots de passe, cependant elle reste vulnérable aux attaques dites « par dictionnaire » dans lesquelles, au lieu de tester par force brute l’intégralité des combinaisons possibles, n’en sont testées qu’un nombre très limité, comprenant des mots du dictionnaire ou des prénoms, ainsi que leurs dérivations « classiques ». Les utilisateurs étant toujours tentés d’utiliser des mots de passes « faciles à retenir » qui sont composés de mots contenus dans le dictionnaire.
Dans une étude publiée le 14 novembre, NordPass dévoile les 200 mots de passe les plus utilisés par les Français en 2022. Et ils sont loin d'être les plus sécurisés… Les Français optent pour la facilité avec des combinaisons simples de chiffres et de lettres, dont voici un petit florilège du top 10 : 1234656, 123456789, azerty, 1234561, azertyuiop, loulou, 000000, password ou encore doudou.
Pour pouvoir éduquer les utilisateurs à une pratique sécurisée en matière de mots de passe, il est intéressant non seulement de faire de la sensibilisation, mais également d’utiliser l’entropie en règle intégrée dans la politique de mot de passe du site web, de l’application… Car l’utilisateur qui se voit refuser un mot de passe trop faible quand il créer son compte, sera obligé de trouver un mot de passe plus fort, respectant une « entropy by default ».
Une entropie suffisante, permet d’obtenir un degré d’imprédictibilité théorique sur les mots de passe.
Voici deux exemples de politique de mots de passe intégrant une entropie suffisante et répondant aux préconisations de la nouvelle recommandation :
Exemple 1 : les mots de passe doivent être composés d'au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles.
Exemple 2 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.
L’entropie pour les développeurs
Cette section va développer l’approche mathématique de l’entropie
Pour les mots de passe générés par un processus qui sélectionne de manière aléatoire une chaîne de symboles de longueur « L », à partir d'un ensemble de « N » symboles, le nombre de mots de passe possibles est le nombre de symboles N élevé à la puissance L (NL N L).
Augmenter L ou N renforcera le mot de passe généré en augmentant son entropie. La force d'un mot de passe aléatoire, telle que mesurée par l'entropie de Shannon, est simplement le logarithme binaire ou log2 du nombre de mots de passe possibles, en supposant que chaque symbole du mot de passe est produit indépendamment. Ainsi, l'entropie H d'un mot de passe aléatoire est donnée par la formule : H = log2 NL = L log2 N = L × oH = log 2 N L = L log 2 N = L × log N log 2 ù « N » est le nombre de symboles possibles et « L » est le nombre de symboles du mot de passe. « H » est mesuré en bits.
En augmentant la longueur d'un mot de passe, on augmente son entropie.
La longueur L nécessaire pour atteindre une robustesse H, avec un mot de passe tiré au hasard parmi un ensemble de N symboles se calcule de la façon suivante : L = L = H log 2 N , arrondi au nombre entier suivant.L = ⌈ H log 2 N ⌉
Bientôt la « Devinabilité » …
La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.
La littérature sur le sujet recommande une résistance aux attaques minimale de 1014 essais. Cependant, au moment de la publication de ces recommandations, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones : la CNIL ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation.
Elle sera attentive aux nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles qu'elle pourra évaluer.
La solution facile et sécurisée : Les gestionnaires de mots de passe
Un compromis raisonnable à l’heure actuelle pour l'utilisateur qui doit gérer un grand nombre de mots de passe robustes consiste à les enregistrer dans un gestionnaire de mots de passe, qui comprend des applications autonomes, des modules d'extension de navigateur Web ou un gestionnaire intégré au système d'exploitation. Un gestionnaire de mots de passe permet à l'utilisateur d'utiliser des centaines de mots de passe différents et de ne devoir mémoriser qu'un seul mot de passe, celui qui ouvre la base de données de mots de passe chiffrée (mot de passe « maître »).
3 politiques de mots de passe adaptés à l’usage
| Exemple d’utilisation | Entropie minimum | Mesures complémentaires | |
|---|---|---|---|
| Mot de passe seul | Blog, forum | 80 | Conseils sur un bon mot de passe |
Mot de passe et restriction d’accès |
Sites de e-commerce, compte d'entreprise, webmail |
50 |
Temporisation d'accès au compte après plusieurs échecs ; Nombre maximal de tentatives autorisées dans un délai donné ; "Captcha" ; Blocage du compte après 10 échecs avec mécanisme de déblocage choisi en fonction des risques |
Mot de passe et accès avec matériel détenu par la personne |
Banques, MFA, |
13 |
Blocage au bout de 3 tentatives échouées |
Quelles autres mesures de sécurité mettre en place ?
Pour éviter les faiblesses mentionnées dans les paragraphes précédents et d'autres faiblesses semblables, les partisans de la sécurité des systèmes logiciels proposent les recommandations suivantes :
- De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace. Les stratégies utilisées par les utilisateurs pour s'adapter aux politiques d'expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif. En revanche la recommandation de modification périodique s’applique toujours aux comptes d’administration.
- L'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe.
- Les mots de passe ne doivent jamais être stockés en clair (doivent être transformés au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ; ex : Argon2, scrypt).
- Inclure des caractères alphabétiques minuscules et majuscules, des chiffres et des symboles dans son mot de passe
- Éviter les répétitions de caractères, les mots du dictionnaire, les séquences de lettres ou de chiffres, les noms d'utilisateur, les prénoms et les noms de famille, les liens romantiques (actuels ou passés) et les informations biographiques (numéros d'identification, noms d'ancêtres ou dates, par exemple)
- Générer des mots de passe au hasard lorsque cela est possible
Source : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
Article de l’ANSSI, permettant de calculer l’entropie de son mot de passe : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
