Le 3 mai s’est déroulé le #WorldPasswordDay. Ironie du sort, c’est ce même jour que Twitter a invité tous ses utilisateurs à changer leur mot de passe par « mesure de précaution ». En effet, le réseau social a découvert que des mots de passe avaient été stockés en clair dans des logs internes. Et même si, à leur connaissance, ces derniers n’ont pas fuité en dehors de la société, ils ont préféré notifié ce bug (ou faille selon le point de vue) à tous leurs utilisateurs.
Un bon réflexe mais évidemment la nouvelle a fait le tour du web en quelques minutes, déclenchant des réactions parfois exagérées sur cette nouvelle fuite de données qui est, au final, surtout une négligence combinée à de mauvaises pratiques de gestion de leur système d’information (mais qui ne fait pas d’erreur en gérant des systèmes informatiques ?). Dans ce contexte, parfois exagérément alarmiste (le fameux RGPD que certains aiment instrumentaliser pour mieux vendre), cette « nouvelle » a logiquement fait le buzz.
Cet événement a donc ravivé les débats sur les mots de passe et les bonnes pratiques les concernant (par exemple, cet article). J’avais déjà écrit un billet sur ce sujet en juin 2014 « Et si on disait stop à l’hypocrisie autour des mots de passe ? » et 4 ans après rien ne semble avoir changé.
Enfin non, pas tout à fait. Certains acteurs majeurs anglo-saxons (le NIST américain et le NCSC – l’agence de cybersécurité britannique, dépendant du GCHQ) ont récemment fait évoluer leurs recommandations et bonnes pratiques en matière de sécurité des mots de passe. Pour plus de pragmatisme et de simplicité, ces deux organismes ont notamment fait marche arrière, par exemple, en ne recommandant plus de changer régulièrement les mots de passe, comme c’est encore et toujours généralement recommandé un peu partout dans le monde. Aleluia.
Les nouvelles recommandations du NIST. Et celles du NCSC (en bonus celles-là)
Bon je vous rassure, en France, ça ne semble pas encore le cas. L’ANSSI n’a pas encore fait évoluer ses conseils sur ce sujet (qui semblent dater de 2012).
NON!!!
— jean marc manach @manhack@social.tcit.fr (@manhack) May 4, 2018
1. les mots de passe compliqués sont CONTRE-PRODUCTIFShttps://t.co/CgCmDL3l0E
2. oubliez les "mots de passe", pensez "PHRASES de passe"
3. ARRÊTEZ de forcer les gens à en changer régulièrementhttps://t.co/DvFMtMwjlq
4. mettez en place la DOUBLE authentification#FacePalm https://t.co/BI2r1iX01n
Quelles recommandations pour sécuriser ses mots de passe
En 2018, voici 4 bonnes pratiques indispensables que tout le monde devrait appliquer :
- Utiliser un gestionnaire de mot de passe. C’est lui qui générera un mot de passe différent pour chaque site et application que vous utilisez. Vous n’avez pas besoin de les connaître. Enfin un seul, celui qui vous permettra d’accéder à votre gestionnaire de mot de passe. C’est le seul effort qu’on peut vous demander. Évidemment en entreprise, c’est une autre histoire… Il existe plusieurs types de gestionnaire de mot de passe. Certains sont des services gratuits ou payants en mode SaaS (tout est donc stocké chez un prestataire) qui proposent des clients à installer sur toute type de plateforme. Très pratique à utiliser pour le commun des mortels, surtout sur les smartphones et tablettes. D’autres, comme la plus célèbre KeePass, sont des applications qui stockent localement (ou sur un serveur qui nous appartient) tous les mots de passe de façon sécurisée.
- Activer, lorsque c’est possible, la fonctionnalité d’authentification à double facteur (ou 2FA) pour vos sites et applications les plus critiques. En activant l’authentification à double facteur, on vous demandera, en plus de votre mot de passe, un code valide seulement pendant quelques secondes (il peut également s’agir d’une action à valider sur un smartphone). Il est indispensable de l’activer pour accéder à votre gestionnaire de mot de passe ! Et évidemment également pour votre compte de messagerie principal qui est le compte le plus critique. En effet, s’il est compromis, il permet aux attaquants de réinitialiser vos autres mots de passe. Activer l’option 2FA pour vos comptes de réseaux sociaux est également une bonne idée. Je vous suggère d’utiliser des applications dédiées (comme Google Authenticator ou LastPass Authenticator) et de ne pas choisir l’envoi du code par SMS ou e-mail (qui sont deux solutions bien moins sécurisées). Il existe aussi des solutions matérielles comme les Yubikey.
- S’inscrire sur https://haveibeenpwned.com/ pour être notifié dès qu’un de vos mots de passe fuite sur Internet. Certains gestionnaires de mot de passe vous préviennent également lorsqu’un des vos services a été compromis ou vous demande de changer de mot de passe suite à un incident de leur côté. Certains ont même implémenté une fonctionnalité qui propose de changer automatiquement le mot de passe.
- Enfin changer vos mots de passe quand les sites vous le demandent (ce qui signifie généralement que ces derniers ont subi un petit incident de sécurité voire une bonne vieille cyber attaque…). Peut être qu’avec l’entrée en vigueur prochaine du RGPD vous recevrez beaucoup plus de notifications de ce type (ou alors ça sera des fausses notifications malveillantes – du phishing – envoyées par des attaquants pour subtiliser votre mot de passe…)
Source :
Et merci à Monsieur L pour les idées de GIF
En plus certains gestionnaires de mots de passe ont des fonctionnalités d’auto-complétion, ce qui est quand même très pratique 🙂
« Utiliser un gestionnaire de mot de passe. » Nooooon ! Voir mon commentaire sur l’article de 2014, avec le lien vers mon article.