Au niveau des Mots de Passe

Lister ses Mots de passe
Gestionnaires de Mots de passe

Un mot de passe est une suite de mots (passphrase) ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité.

La stratégie la plus fréquente chez les pirates, cherchant à prendre le contrôle d’un système, consiste tout d’abord à usurper l’identité d’un utilisateur ; il lui faut réussir à trouver une paire “login/mot de passe” valide. Puis dans un deuxième temps, il utilisera les failles connues du système pour devenir “superutilisateur”.

Une chaîne de sécurité n’est jamais plus solide que son maillon le plus faible. Certains croient à tort, que leur mot de passe ne concerne que leur poste de travail et que ça n'a pas de conséquences sur le réseau complet. Le pirate s’attaque d’abord à un système mal protégé (poste utilisateur) pour remonter ensuite au serveur du réseau.

• Quelles sont les conséquences en cas de craquage de ce MdP ?
• Cela permettra-t-il d'avoir accès à mes autres comptes ? (créer le schéma des validations entre comptes mails)
• Ce site serait-il utile pour usurper mon identité ? (EdF, téléphone, etc.) MdP > 25 caractères.
• Par quels moyens ce MdP pourrait-il être craqué ?
  • Le MdP d'accès au BIOS de la machine doit être tapé manuellement pour chaque tentative (c'est très long). Ce MdP peut être relativement faible.
  • Les MdP définis sur les sites Internet doivent être long (> 25 caractères), car ils pourront être testés par des algorithmes répétitifs.

Il faut prendre le temps de ces réflexions lors de la création du MdP, car nous n'y repenserons plus ensuite. Qui “change régulièrement” ses MdP comme c'est recommandé, sur la centaine de site où il s'est inscrit ? Mettez des MdP forts plutôt que de vous imposer de les “changer régulièrement” (ce que vous ne ferez jamais).

Pour les MdP donnant accès à des chiffrements (clef publique, gestionnaire de MdP, compte Firefox…), le MdP sert aussi de clef de chiffrement. Le changer impliquera de tout refaire. A vérifier dans la documentation du service.

Quelles sont les caractères possibles pour le MdP ? (caractéristiques : nombre de caractères maxi ; au moins 1 MAJ, 1 min, 1 chiffre ; avec caractères spéciaux). Vous en déduisez le niveau de sécurité.
Au bout de combien de tentatives le compte est-il bloqué ?
Les contraintes sont très diverses, voire surprenantes par rapport à l'importance du site (site de banque avec 6 chiffres seulement).

1. Le Gestionnaire de MdP.
2. La Boite mail (le plus important à sécuriser) ⇒ + de 20 caractères. Elle reçoit un grand nombre de vos services en ligne (banques, commerces en ligne, réseaux sociaux, etc.). Un cybercriminel pourrait utiliser la fonctionnalité “Mot de passe oublié” ⇒ Question secrète.
3. Les Finances ⇒ + de 20 caractères (Banque, Impôts, Sécurité sociale, CAF, Pole Emploi, Ebay, Amazon…).
4. Les Informations, pétitions… ⇒ > 14 caractères (journaux sans abonnement payant, forums, etc.).

Ces longueurs de MdP sont minimales.
— Elles dépendent de la complexité des types de caractères utilisés (majuscules, minuscules, chiffres, caractères spéciaux, ponctuation).
— Elles dépendent du nombre d'essais avant blocage. Si on est limité à un nombre d'essais, le crackage prendra beaucoup de temps (dû au temps d'attente entre ré-essais).
— Elles dépendent de la puissance des machines (vitesse). L'idée est que cracker un MdP prend 5 h pour :

• 3 caractères en 1980.
• 8 caractères en 2000.
• 10 caractères en 2020.
• …

S'il faut taper le MdP au clavier (BIOS/UEFI), ça va prendre beaucoup de temps, et de courage. (attention à la pile du PC)
Si l'objet (fichier, sauvegarde…) est à disposition en local, non limité à un nombre d'essais, le crackage prendra beaucoup moins de temps (pas de temps d'attente entre ré-essais).

Authentification unique (SSO - single sign-on) par un site tiers, est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification. Mais quand elle est compromise, tout ce qui en dépend est compromis… Tout ça ne repose que sur 1 seul Mot de passe !

• YahooID (Yahoo!)
• Live ID (Microsoft)
• Google Account (Google)
• Apple ID (Apple)
• OpenID (Yahoo!, Myspace, Google, Microsoft…).
• FranceConnect — En utilisant un de vos comptes déjà existants, vous pourrez vous connecter de façon sécurisée à plus de 1000 services sans créer de nouveau mot de passe.

Avec une attaque par dictionnaire, c'est une grosse faille de sécurité ! Il faut la gérer comme un MdP normal.

https://www.ouest-france.fr/leditiondusoir/data/73635/reader/reader.html#!preferred/1/package/73635/pub/104600/page/9
https://www.blogdumoderateur.com/etude-mots-de-passe-vulnerables
Ce ne sont que quelques exemples.

Plus c'est compliqué et long, mieux c'est (au moins 12 caractères des 4 types). Impossible à deviner. Pas de mot figurant dans un dictionnaire (même étranger), de date, de suites. Complexes, utilisant les 4 types de caractères : majuscules, minuscules, chiffres, caractères spéciaux (+ ponctuation).

• au moins 12 caractères (recommandation officielle, insuffisante)
• au moins 1 minuscule
• au moins 1 majuscule
• au moins 1 chiffre
• au moins 1 caractère spécial (selon les sites)

• Première lettre des mots d'une phrase — Exemple à partir de la phrase : Après la plus le beau temps ! Un tien vaut mieux que deux tu l'auras. ⇒ Alp,lbt!1tvmq2tl'a. (il est facile d'ajouter ces combinaisons connues à un dictionnaire d'attaque)
• Garder la ponctuation.
• Il est fortement conseillé de ne pas laisser d'espaces entre les mots.
• Premières lettres de l'un de vos poèmes, chansons ou slogans préférés, espacés à chaque fois d'un chiffre ou caractère spécial, de même, mélanger les lettres majuscules et minuscules est recommandé.
• Mettre une lettre sur deux, en majuscule, ce qui nous donne :“H,mFeAfLc”.
• Écrire phonétiquement une phrase : J’ai acheté huit CD pour cent euros cet après-midi — > ght8CD%E7am.
  « 1 m0t de p@$ qui va me rester !! »
• Schéma sur le clavier. Attention : le clavier doit toujours être le même, en français (variante, sans touche morte, obsolète…), ou toujours en anglais quand on doit le saisir.
• Choisir une phrase de passe, donc un MdP très long (exemple : une série de 6 ou 8 mots aléatoires). Le plus important est la longueur du mot de passe, contre les attaques par force brute (test de toutes les combinaisons possibles, une à une).
• Méthode par substitution : vous attribuer un signe à une lettre.
• Une combinaison de cela.

Ce mot de passe doit être unique, car il existe des dictionnaires recensant tous les mots de passe déjà crackés.

• Pas de suites de chiffres, de lettres…
• Pas d'informations personnelles (noms, de société, d’enfant, de ville, d'animaux, date de naissance, n°SS, n°immatriculation, etc. ⇒ social engineering). Vous ne savez jamais qui est le pirate. Vous ne savez jamais de quelles informations il dispose.
• Pas de mots d'un dictionnaire toutes langues, composés chimiques… (attaque par dictionnaire, y compris les fuites de listes de comptes dérobées sur les sites web).
• MdP différent pour chaque compte.
• Distincts d’un système à l’autre (pas de réutilisation).
• Changez les MdP par défaut (objets connectés, services…) à l'installation d'un service, dès la première utilisation, ils sont souvent connus des cybercriminels.

• MdP différents, entre l'environnement Professionnel et Personnel, messageries surtout – fuites de fichiers.
• Renouvelés régulièrement et systématiquement, tous les 90 jours pour les systèmes contenant des données sensibles, ou Professionnelles.

• Utiliser des Identifiants (logins) différents sur chaque site, pour éviter le piratage par réutilisation.

• MdP gardés secrets, ils sont confidentiels. Ne jamais les écrire sur un bout de papier (ou bien les mettre dans un coffre) — hameçonnage.
• Ne pas les écrire en clair dans un fichier informatique, encore moins sur un papier facilement accessible.
• Ne pas communiquer son MdP par téléphone, mail, messagerie instantanée, même au dépanneur (créez un autre compte dont vous changez le MdP ensuite)…
• Ne pas partager un compte utilisateur.

• Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des MdP choisis.

• Ne pas utiliser vos MdP sur un ordinateur partagé (ordinateurs piégés en libre accès).

• Ne pas utiliser l'Authentification en 1 clic de FessesBouc, Gooogol… (tous les comptes d'un coup, pistage).

• Changer votre MdP au moindre doute de divulgation, d’utilisation frauduleuse (activité inhabituelle sur ce compte).

• S'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est protégé par un MdP.

• Ne pas utiliser d'informations qui sont ou pourraient devenir publiquement associées à l'utilisateur ou au compte.
• Ne pas utiliser de MdP constitués d'une combinaison des composants faibles susmentionnés.
• Les gestionnaires de MdP des GAFAM… sont-ils sûrs (backdoors) ?

Certaines directives conseillent de ne pas écrire les MdP, tandis que d’autres, reconnaissant l'impossibilité pour l'utilisateur de mémoriser un grand nombre de MdP robustes différents, encouragent l’écriture de MdP tant que les listes de MdP écrites sont conservées dans un endroit sûr. (Wikipédia)

Certaines préconisations sont en contradiction avec d'autres.
On peut voir cela dans un ordre de préférences :

1. Utiliser un gestionnaire de MdP pour le PC (ex : KeePassXC).
2. Utiliser le gestionnaire de MdP du navigateur.
3. …
4. Marquer le MdP sur un papier collé sur l'écran

Je recommande d'écrire sur papier les MdP principaux (mail, gestionnaire de MdP) dans un lieu secret (coffre, codé dans un livre, fichier crypté quelque part…).

• Les Identifiants sont uniques (profilage).
• Les MdP sont uniques (piratage).
• Les MdP sont longs, complexes ou aléatoires (décryptage par force brute).
• Aucun lien avec soi : age, prénoms, ville / département, entreprise… (ingénierie sociale).
• Ne pas laisser d'indices : post-it, fichiers texte, smartphone, boite de messagerie…

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe
https://www.huffingtonpost.fr/jan-valcke/craquer-les-mots-de-passe_b_3658361.html
https://fr.wikipedia.org/wiki/Cassage_de_mot_de_passe https://www.passwortcheck.ch/passwortcheck/passwortcheck - Test de MdP

https://howsecureismypassword.net — Combien de temps faudrait-il pour craquer mon mot de passe avec un/des ordinateurs ?

N’utiliser pas votre vrai MdP avec ces outils, ils peuvent l'enregistrer dans leur liste qui servirait à des piratages.

• KeePass, logiciel gratuit et certifié par l’ANSSI + cryptage de centenaire (espace de stockage).
• Zenyway
• Passwordsafe
• …
• Voir : Gestionnaires de Mots de Passe

Choisir un gestionnaire de MdP :

• Sur plusieurs appareils (Linux, Android…)
• Sur un site (Dashlane)

⇒ sur 20 caractères minimum.

https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9_des_services_d%27authentification_web
https://www.undernews.fr/authentification-biometrie/le-plus-gros-dictionnaire-de-mots-de-passe-crackes-au-monde-diffuse.html (15 GB, 1,5 milliard de MdP en 2013)

4 cas d’authentification par MdP - CNIL

• MdP seul.
  
• MdP + Restriction d'accès.
  
• Mdp + avec Information complémentaire.
  
• MdP + avec Matériel personnel (carte à puce…).
  

La CNIL a développé un outil pour générer un MdP robuste à partir d’une phrase, et un moyen mnémotechnique. Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications. ⇒ ⇒Télécharger l’extension.

Firefox Monitor : https://monitor.firefox.com Have I be PWned : https://haveibeenpwned.com

« Authentification à double facteur » ou 2FA (two-factor authentication), l’utiliser dès que possible.

• Gmail, Outlook, Yahoo Mail…
• Facebook, Instagram, LinkedIn, Twitter…
• Skype, WhatsApp…
• Amazon, eBay, Paypal…
• Apple iCloud, Dropbox, Google Drive, One Drive…

Le service vérifie par un téléphone (SMS) ou un autre équipement, si un nouvel appareil inconnu tente de se connecter à votre compte.

Les mots de passe à usage unique (One Time Password, OTP) sont un système d'authentification forte basés sur le principe de challenge/réponse. Le concept est simple : Utiliser un mot de passe pour une et une seule session. De plus, le mot de passe n'est plus choisi par l'utilisateur mais généré automatiquement par une méthode de pré-calculé (c'est à dire que l'on précalcule un certain nombre de mot de passe qui seront utilisés ultérieurement). Cela supprime les contraintes de :

• Longévité du mot de passe. Le mot de passe est utilisé une seule fois.
• Simplicité du mot de passe. Le mot de passe est calculé par l'ordinateur et non pas choisi par un utilisateur.
• Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker un mot de passe obsolète ?
• Sniffer et chiffrement du mot de passe : Le mot de passe à usage unique peut être envoyé en clair sur le réseau : Lorsqu'un sniffer en détecte un, il est déjà trop tard, car il est utilisé, et non ré-expoitable. https://www.securiteinfo.com/cryptographie/otp.shtml

Mettre les mots de passes sur le cloud ? Choisir un mot de passe fort pour le cloud. Et choisir au moins un cloud français, ex:

• cozy.io
• hubic (OVH il n'y a plus d'ouverture de compte possible)
• pCloud (https://www.pcloud.com/fr/cloud-storage-pricing-plans.html , Suisse, crypté et sécurisé, 20 Go gratuit, pour 350€ 2To à vie)
• les Chatons : http……
• NextCloud/Owncloud + hébergeurs
• NAS derrière sa box

????? —– “Chiffrement de la base de mot de passe : lors de la création de la base de mots de passe, keepass2 vous propose d'indiquer le nombre de fois qu'il encrypte le fichier généré (ex : 5000 fois, estimation du temps de décryptage : 200 ans).”

Votre assureur (voiture, habitation…) ou votre banque, en propose probablement. On change plus facilement d'assureur que de banque, il faut penser à transférer les données (une partie de plaisirs). Le chiffrage se fait-il sur votre PC (de bout en bout) ou sur le serveur (à l'arrivée) ?

https://www.checktool.ch

https://www.cybermalveillance.gouv.fr
(+ assistance) https://www.ssi.gouv.fr — ANSSI — Agence Nationale de Sécurité des Systèmes d’Information,
https://www.cnil.fr
https://www.securiteinfo.com
…

extension pour Google Chrome, baptisée PassProtect, développée par Okta et publiée sous licence libre sur le site GitHub, elle sert à analyser vos mots de passe pour déterminer s’ils ont été piratés dans le cadre d’un leak.