Certains mots de passe
sont infiniment plus efficaces que d'autres. Quand on
choisit bien le sien, le pirate en est réduit
à utiliser la puissance brute. De ce côté
là, les administrateurs réseau peuvent
se rassurer : il faudrait 66 ans à une machine
spécialisée pour casser un mot de passe
de 8 caractères. Et pour cause : 8 caractères
bien choisis parmi les 95 caractères ASCII offrent
6,6 millions de milliards de combinaisons possibles.
Mode d'emploi du bon mot de passe.
Comment
créer un bon mot de passe ?
Avant tout,
il faut bannir tout ce qu'il y a d'humain dans un mot
de passe : "il faut éviter d'utiliser
un prénom en y ajoutant un chiffre, explique
Gerard Peliks, expert
de sécurité qui travaille au marketing
d'EADS. Dans l'idéal,
il faut exploiter au maximum les possibilités
d'une suite de huit caractères. Et pour celà,
il n'y a pas de secret, le mieux est d'utiliser une
application qui génère une suite de chiffres,
de lettres et de symboles de façon complètement
aléatoire". Des applications de ce type
sont déjà utilisées par bon nombre
d'administrateurs réseau.
Un
mot de passe est-il créé une bonne fois
pour toutes ?
Pour Serge
Druais - responsable des systèmes d'information
chez Thales :
"il faut changer son mot de passe régulièrement.
Le mieux est d'adapter comme chez nous le nombre et
la fréquence des changements au niveau de protection
requis pour chaque application".
Comment
stocker un mot de passe ? Sur un bout de papier ? Dans
sa mémoire ?
Pour
Gerard Peliks, "l'idéal est de faire marcher
sa mémoire. Mais beaucoup d'utilisateurs y sont
réticents, surtout lorsqu'il s'agit d'un mot
de passe contenant des caractères spéciaux
qui change tous les mois". Il existe pourtant
des solutions mnémotechniques qui permettent
de retenir plus facilement les longues séries
de 8 caractères - ainsi, 8/a^&2+8 donnerait
'huit tordus à galurin et deux poux fuient'.
Quelques entreprises ont déja investi dans des
formations aux technique de mémorisation. Mais
selon Gerard Peliks, "il restera toujours des personnes
rétives à la l'apprentissage par coeur.
Elles continueront de noter leur mot de passe quelque
part. L'essentiel pour ces personnes sera alors de s'arranger
pour que nul ne puisse accéder à leur
petite note". Serge
Druais renchérit : "Chez Thalès,
nous ne sommes pas dupes : nous ne croyons pas à
la mémorisation. Par contre, nous sommes intransigeants
sur la conservation du mot de passe : en aucun
cas il ne doit être dévoilé. Certaines
personnes parviennent très facilement à
se faire passer pour des administrateurs système.
Ils prétendent que le mot de passe de l'utilisateur
est indispensable pour un acte de maintenance important,
et repartent avec les huit chiffres dans la poche ...
Un mot de passe, ca ne se dévoile pas".
Comment
convaincre les utilisateurs de respecter ces principes
?
C'est sans
doute l'un des problèmes les plus délicats.
Pour Gerard Peliks, "la plupart des administrateurs
sont sensibilisés à la problématique
du mot de passe. Par contre, les utilisateurs de leur
parc informatique ne le sont pas assez". Manque
d'information en interne, ou problème de motivation
des individus ? L'exemple de Thalès est
parlant : "Chaque fois qu'un salarié
rentre chez nous, il doit lire une charte de sécurité
comportant un certain nombre de plaquettes informatives
qui touchent notamment au problème des mots de
passe. Il est aussi chapeauté par le directeur
de la sécurité de sa division, qui doit
contrôler sa façon de gérer les
mots de passe". Pour Gerard Péliks, on peut
encore faire mieux : "il faut former les utilisateurs
aux problématiques de la sécurité,
puis conditionner leur accès à l'internet
à leur acceptation d'une charte bien précise,
qui les engage à respecter quelques consignes.
Proposer un accès à internet en échange
d'une signature, c'est sans doute la meilleure façon
de motiver un salarié. Quant à la sanction,
elle ne doit intervenir qu'en dernier ressort".
Un
bon mot de passe est-il suffisant ?
Non. Pour
le simple et bonne raison qu'un utilisateur peut très
facilement le dévoiler à une personne
tierce, qu'un collègue peut le découvrir
en observant furtivement le clavier de son voisin, que
le petit bout de papier sur lequel on a noté
son mot de passe peut tomber dans les mains d'une personne
malintentionnée, etc ...
Comment
faire mieux qu'un mot de passe ?
De nombreuses
technologies permettent de renforcer la sécurité
d'un compte utilisateur ou administrateur. Selon Gérard
Péliks, "il existe trois solutions :
s'identifier par ce que l'on sait - un mot de passe
-, par ce que l'on a - une clé physique
sur port USB ou lecteur de cartes à puces -
ou par ce que l'on est - l'iris et l'emprunte digitale
par exemple. Prises individuellement, ses protections
sont faibles : on peut toutes les déjouer.
Mais si on en utilise deux en même temps, on arrive
à un niveau de protection fort". Thalès
utilise ce système de redondance :"sur
les postes administrateurs importants, nous combinons
un mot de passe et une clé physique. Nous avons
même commencé à utiliser les solutions
de biométrie - que nous commercialisons - pour
renforcer la protection des serveurs critiques".
Quand à savoir laquelle des trois technologies
est la plus fiable, Gérard Peliks confie que
"La clé physique est la plus faible :
on la perd facilement. Le mot de passe est d'une efficacité
correcte. Quant à la biométrie, les systèmes
les plus évolués sont nettement plus efficaces
encore". En attendant la révolution de la
biométrie comportementale, qui permettra d'identifier
un utilisateur par la façon de frapper sur le
clavier, de se déplacer ou d'appuyer sur son
stylo quand il signe.
|