Académique Documents
Professionnel Documents
Culture Documents
1. DEFINITION
Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé
puisse accéder à la ressource ou au service. C'est une méthode parmi
d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il
s'agit d'une preuve que l'on possède et que l'on communique au service
chargé d'autoriser l'accès. C‟est par exemple : Dans le conte « Ali Baba et les
Quarante Voleurs des Mille et Une Nuits » figure l'un des plus célèbres mots de
passe : « Sésame, ouvre-toi ! ». Le terme « mot de passe » est d'origine militaire.
Les « mots d'ordres » comprennent le « mot de sommation » (c'est-à-dire la
question convenue) et le « mot de passe » (c'est-à-dire la réponse
correspondante) 14. Il s'agit des signes verbaux qui permettent à deux unités
ou deux militaires de se reconnaître mutuellement, par exemple lors d'une
patrouille de nuit, au moment délicat du retour dans le dispositif ami. Dans ce
cas, le mot de passe est donc partagé par un groupe de personnes de
confiance. Quand il s'agit d'un code personnel, il vaut mieux utiliser
l'expression « code confidentiel » pour mettre en évidence le caractère secret
du code et responsabiliser son détenteur.
2. PRINCIPE ET LIMITES
Une limite juridique existe, par exemple en France à la sécurisation par mot
de passe : si des données chiffrées sont saisies par la justice, la loi sur la
sécurité quotidienne oblige l'utilisateur à fournir la méthode de chiffrement et
les clés ou mots de passe. L'utilisation de mots de passe est un compromis
entre la sécurité et l'aspect pratique. Avec la multiplication de situations où il
est nécessaire de disposer d'un mot de passe, chacun de nous possède un
nombre de plus en plus important de mots de passe. S'il est légitime d'utiliser
le même mot de passe pour l'ensemble des situations où celui-ci n'a pas
grande importance, il reste néanmoins de nombreux cas où un mot de passe
de qualité doit être utilisé. Ce mot de passe ne peut être le même partout,
d'une part pour éviter que la compromission de celui-ci ne conduise à des
situations malheureuses, d'autre part parce que certains sites et logiciels
obligent à changer régulièrement son mot de passe et en limitent la
réutilisation. La mémoire de l'utilisateur étant alors insuffisante pour mémoriser
tous ces mots de passe, la tentation est grande de les lister. Il est
indispensable que la liste de mots de passe ainsi constituée soit plus protégée
encore. On parle alors de « coffre-fort à mots de passe » :
Capture d'un mot de passe « en clair » - Un mot de passe est « en clair »
lorsqu'il n'a pas été transformé via une fonction de hachage. Il existe plusieurs
situations où le mot de passe peut-être trouvé en clair :
Espionnage direct du clavier de la personne qui saisit son mot de passe ;
Mise en place d'un enregistreur de frappes (keylogger), qui saisit tout texte
tapé par un utilisateur à son insu ;
Écoute du réseau. Si un attaquant arrive à écouter une communication
non chiffrée où la cible doit s'identifier par un mot de passe, ce mot de passe
apparaîtra en clair à l'attaquant.
Vol d'un mot de passe manuscrit. Certains logiciels permettent de rendre
visibles les mots de passe des formulaires. Les caractères sont « cachés » par
des ronds ou astérisques, qui sont là pour éviter qu'une personne derrière soi
ne lise ce que l'on saisit. Dans le programme, à ce moment-là, le mot de
passe est bien présent et encore non chiffré, le rendre visible consiste
simplement à changer une option d'affichage.
Capture d'un mot de passe chiffré - Dans le cas où un mot de passe chiffré
est capturé, il n'est pas directement utilisable : la personne malintentionnée
(l'attaquant) doit découvrir le clair correspondant, en le déchiffrant si c'est
possible, ou avec d'autres techniques. On dit que l'attaquant casse ou «
craque » le mot de passe. On distingue deux principaux cas de figure : le mot
de passe fait partie d'une communication, ou c'est seulement le mot de
passe chiffré qui est capturé :
Toute la communication est chiffrée : Dans ce cas, il faut trouver un moyen
de déchiffrer toute la communication pour trouver le mot de passe. Il faut
donc trouver une faille dans l'algorithme de chiffrement ou dans une de ses
implémentations. Si le chiffrement est cassé, peu importe la taille du mot de
passe il sera trouvé dans le texte déchiffré.
Seul le mot de passe chiffré est capturé : C’est généralement un
condensat (ou hash) du mot de passe qui est capturé, c'est-à-dire le résultat
d'un algorithme non réversible. C'est une bonne pratique, utilisée dans de
nombreux cas : sites web, comptes d'utilisateur de système d'exploitation, etc.
Dans le cas où cet algorithme n'est pas vraiment irréversible (à cause
d'erreurs de conception ou d'implémentation), il peut être possible de
retrouver le clair correspondant à un condensat. Par exemple, la gestion des
mots de passe pour protéger les fichiers Excel et Word d'Office 97 comporte
des failles qui font qu'il est facile de trouver les mots de passe utilisés.
S'il y a bien un domaine où la sécurité peut faire défaut, c’est dans la gestion
des mots de passe utilisateur. En effet, la sécurité d'un système dépend aussi
du niveau de sécurité du mot de passe mis sur pied pour son accès. Lors de la
création du mot de passe, une attention particulière doit être portée sur
certains points :
A. CRITÈRES DE ROBUSTESSE
Dans la pratique, une étude portant sur 32 millions de mots de passe du site
RockYou.com, obtenus en 2009 à la suite d'une attaque du site, a montré
que 30 % de ces mots de passe comportaient six caractères ou moins, et que
le plus fréquent (un peu moins d'un sur cent) est « 123456 ». Tous les ans,
Splash-Data, fournisseur de solutions de sécurité publie également une liste
des mots de passe les plus utilisés, et désignés comme étant « les pires mots
de passe, à ne pas utiliser ».
Les 5 mots de passe les plus utilisés par les utilisateurs du monde entier en 2015
sont:
123456 ;
Password ;
12345678 ;
Qwerty.
Il existe une autre possibilité, mais qui n’est pas utilisable dans toutes les
conditions, porte le nom de One Time Password (OTP) et Mot de passe sous
contrainte :
En fait, un bon mot de passe doit: Etre long ; Etre unique ; Etre complexe ;
Modifié régulièrement ; Pas contenir n'importe quelle partie du nom du
compte utilisateur ; Avoir un minimum de huit caractères ; Contenir des
caractères d'au moins trois des catégories suivantes ; Symboles non
alphanumériques ($,:;"%@#!); Chiffres; Lettres majuscules et Lettres minuscules.