Sur Zdnet, Pierre Caron nous explique en quoi les mots de passe classiques devraient disparaître au profit des fastwords, nouveaux venus de l’authentification dont il nous dévoile le fonctionnement.
Le dernier gros incident en date portant sur la fuite massive de données sensibles est celui ayant affecté l’IEEE, dont les mots de passe de près de 100.000 utilisateurs ont fuité sur Internet. C’est un fiasco d’autant plus grave que l’IEEE est l’un de ces organismes qui produit des standards techniques essentiels que le monde entier utilise, et que les professionnels qui l’animent sont soumis à des contraintes de confidentialité particulières, du fait des luttes d’influence qui peuvent exister autour de l’émergence des standards techniques. Le choc est d’autant plus rude que le chercheur ayant découvert cette fuite, Radu Dragusin, a mis à jour une vaste utilisation de mots de passe triviaux parmi ces professionnels.
A qui la faute ? L’instinct pousse à montrer du doigt ces professionnels négligents (…) mais ce n’est qu’une partie de la vérité.
L’IEEE possède une responsabilité écrasante dans l’affaire, ayant mis en place un système d’ouverture de session qui enregistrait en clair les mots de passe tapés, et les plaçait sur un répertoire FTP public. Je ne connais pas un seul logiciel, gratuit ou payant, qui implémente une telle aberration : c’est donc soit le résultat du choix catastrophique d’un développeur inconscient (…) soit un acte de malveillance. (…)
Un troisième coupable est jusqu’ici passé inaperçu : c’est le concept du mot de passe lui-même. (…) En effet, le principe des mots de passe accumule un nombre écrasant de tares congénitales : faciles à deviner, faciles à casser, faciles à voler (malware, phishing, sniffing…), difficiles de s’en souvenir (…). Et surtout, leur sécurité est imprévisible : bien malin celui qui saura évaluer quantitativement la force d’un mot de passe particulier, les critères de complexité étant insuffisants (un mot de passe peut être long et complexe et pourtant se trouver dans tous les dictionnaires d’outils de cassage de mots de passe).
On peut rire de cette histoire belge : une société a récemment tenté de trouver quel code PIN à 4 chiffres était le plus fort. En comparant les mots de passe issus de diverses fuites de données, elle a conclut que le code « 8068 » était le moins utilisé, et donc le plus fort. Mais elle a déduit qu’en publiant cette information tous les pirates allaient être au courant, qu’en le citant ce code fort devenait en réalité le plus faible, et que toute personne utilisant ce code PIN devait en changer en urgence. Raisonnement particulièrement tordu mais derrière lequel se cache une vraie problématique : comment évaluer la force d’un mot de passe a priori, c’est-à-dire au moment où l’utilisateur le choisit ? Et comment lui interdire de choisir un mot de passe faible en se basant sur des faits mathématiques et non sur l’intuition (= les critères de complexité, contradictoires d’un site web à l’autre) ?
La bonne nouvelle, c’est que depuis plus d’un an, on sait comment s’y prendre (…) : les fastwords sont en effet un système de mot de passe basé sur des suites de mots du dictionnaire. Tout autre mot, hors du dictionnaire linguistique classique, est exclu. Le résultat est contre-intuitif : on pourrait se dire « c’est nul, c’est trop facile à deviner », mais c’est tout le contraire : des calculs d’entropie relativement simples démontrent en effet que la complexité de ces mots de passe explose complètement celle des mots de passe classiques soit-disant complexes. De plus, l’obligation de s’astreindre à un corpus fini de mots — le dictionnaire — rend quantifiable a priori la force du fastword et non plus a posteriori, de sorte que l’on peut interdire dès l’enrôlement les mots de passe trop simples à deviner, en se basant sur la connaissance exacte de sa probabilité de découverte. Plus besoin donc de réactualiser des recommandations de complexité tous les six mois en fonction des évolutions des techniques de cassage des mots de passe. (…) En outre, les fastwords partagent avec leur ancêtre leur très faible coût d’implémentation et de déploiement, contrairement aux autres modes d’authentification multi-facteurs et multi-canaux. (…)
