Lumières sur la sécurité

mercredi 11 janvier 2017

Le changement régulier de mots de passe n'est pas un caprice mais une nécessité absolue pour tous les utilisateurs qui se soucient de la sécurité de leurs données. Et nous ne sommes pas les seuls à le penser !

Le 25 novembre 2016, le FBI a publié des conseils sur Twitter. L’organisation à notamment conseillé aux utilisateurs d'utiliser des mots de passe forts et d'en changer régulièrement. Cela paraît banal. On aurait donc pu ne pas mentionner cet article, mais il a été remarqué par des experts qui ont commencé à le critiquer.

Idée intéressante ! Qu'est-ce que cet expert propose comme alternative ?

Qui a raison ? Comme toujours, chacun a sa propre vérité, mais il est important de comprendre les risques.

Les mots de passe peuvent être utilisés pour accéder au système d'exploitation, à des partitions de l'OS sur le disque dur, à des fichiers et dossiers particuliers, aux ressources Internet (messagerie, systèmes de banque à distance, espaces personnels etc.). Les mots de passe peuvent être entrés sur un ordinateur personnel ou sur les ordinateurs de votre entreprise réunis dans un réseau local.

Nous n'envisageons pas le cas où les attaquants connaissent le mot de passe à la suite d'une fuite (par exemple, via l'interception à distance des images sur l'écran) ou grâce à du matériel spécialisé : si un utilisateur normal est surveillé de cette manière, des organisations sérieuses y prêteront attention et pourront compter sur un budget sérieux.

Nous nous limitons à l'examen des fuites de mots de passe à la suite d’activité de pirates, d’employés curieux, voire d’enfants qui tentent de contourner les restrictions liées à l'accès à un PC ou à Internet pour la durée d'un jeu en ligne. Dans ces cas, le mot de passe peut être :

• vu par quelqu'un d'autre (employés / conjoint / enfants ...);
• volé par un programme malveillant ou par des pirates ayant accès à votre ordinateur ou à un périphérique (en général, toujours à cause d'un mot de passe faible).

Dans ce cas, le programme malveillant est souvent un Trojan. Le Trojan ne peut pas se propager lui-même, il ne peut être introduit sur l'ordinateur que par les pirates ou, et c'est souvent le cas dont les victimes des ransomware parlent souvent - par l'intermédiaire de l'utilisateur lui-même. La probabilité d'un piratage de l'ordinateur personnel existe, mais il est beaucoup plus probable qu'un Trojan soit lancé par l'utilisateur qui visite un lien ou un site malveillant. Autrement dit, la probabilité de pénétration de programmes malveillants sur votre ordinateur ou autres appareils dépend des qualités de l'antivirus utilisé ainsi que du comportement de l’utilisateur.

Est-ce qu'un gestionnaire de mots de passe
peut sauver d'une fuite de mot de passe
suite à l'activité d'un Trojan ?

Voici ce que le gestionnaire de mots de passe sait faire :

• mémoriser les mots de passe saisis par l'utilisateur;
• générer des séquences aléatoires pour créer des mots de passe.

Confier au gestionnaire de mots de passe la tâche de les modifier périodiquement est risqué, car en cas de perte d'accès au gestionnaire, tous les mots de passe seront perdus.

Certes, le gestionnaire de mots de passe peut sauver du risque d'être vu pendant la saisie manuelle d'un mot de passe, mais peut-il sauver des pirates ? Bonne question ! Après tout, comme tout logiciel, le gestionnaire de mots de passe peut contenir des vulnérabilités pouvant être exploitées par les pirates.

Afin d'éliminer les conséquences négatives d’éventuelles fuites, les mots de passe doivent être changés. Et il est souhaitable que le nouveau mot de passe soit connu du seul propriétaire de l'appareil. Par conséquent, il existe le risque que le mot de passe soit vu lors de sa saisie ou de sa génération et dans ce cas, le gestionnaire de mots de passe n'y peut rien.