De l'art de choisir le bon mot de passe
Par le JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020527_bon_password.shtml
Lundi 27 mai 2002

Certains mots de passe sont infiniment plus efficaces que d'autres. Quand on choisit bien le sien, le pirate en est réduit à utiliser la puissance brute. De ce côté là, les administrateurs réseau peuvent se rassurer : il faudrait 66 ans à une machine spécialisée pour casser un mot de passe de 8 caractères. Et pour cause : 8 caractères bien choisis parmi les 95 caractères ASCII offrent 6,6 millions de milliards de combinaisons possibles. Mode d'emploi du bon mot de passe :

Comment créer un bon mot de passe ?
Avant tout, il faut bannir tout ce qu'il y a d'humain dans un mot de passe : "il faut éviter d'utiliser un prénom en y ajoutant un chiffre, explique Gerard Peliks, expert de sécurité qui travaille au marketing d'EADS. Dans l'idéal, il faut exploiter au maximum les possibilités d'une suite de huit caractères. Et pour celà, il n'y a pas de secret, le mieux est d'utiliser une application qui génère une suite de chiffres, de lettres et de symboles de façon complètement aléatoire". Des applications de ce type sont déjà utilisées par bon nombre d'administrateurs réseau.

Un mot de passe est-il créé une bonne fois pour toutes ?
Pour Serge Druais - responsable des systèmes d'information chez Thales : "il faut changer son mot de passe régulièrement. Le mieux est d'adapter comme chez nous le nombre et la fréquence des changements au niveau de protection requis pour chaque application".

Comment stocker un mot de passe ? Sur un bout de papier ? Dans sa mémoire ?
Pour Gerard Peliks, "l'idéal est de faire marcher sa mémoire. Mais beaucoup d'utilisateurs y sont réticents, surtout lorsqu'il s'agit d'un mot de passe contenant des caractères spéciaux qui change tous les mois". Il existe pourtant des solutions mnémotechniques qui permettent de retenir plus facilement les longues séries de 8 caractères - ainsi, 8/a^&2+8 donnerait 'huit tordus à galurin et deux poux fuient'. Quelques entreprises ont déja investi dans des formations aux technique de mémorisation. Mais selon Gerard Peliks, "il restera toujours des personnes rétives à la l'apprentissage par coeur. Elles continueront de noter leur mot de passe quelque part. L'essentiel pour ces personnes sera alors de s'arranger pour que nul ne puisse accéder à leur petite note". Serge Druais renchérit : "Chez Thalès, nous ne sommes pas dupes : nous ne croyons pas à la mémorisation. Par contre, nous sommes intransigeants sur la conservation du mot de passe : en aucun cas il ne doit être dévoilé. Certaines personnes parviennent très facilement à se faire passer pour des administrateurs système. Ils prétendent que le mot de passe de l'utilisateur est indispensable pour un acte de maintenance important, et repartent avec les huit chiffres dans la poche ... Un mot de passe, ca ne se dévoile pas".

Comment convaincre les utilisateurs de respecter ces principes ?
C'est sans doute l'un des problèmes les plus délicats. Pour Gerard Peliks, "la plupart des administrateurs sont sensibilisés à la problématique du mot de passe. Par contre, les utilisateurs de leur parc informatique ne le sont pas assez". Manque d'information en interne, ou problème de motivation des individus ? L'exemple de Thalès est parlant : "Chaque fois qu'un salarié rentre chez nous, il doit lire une charte de sécurité comportant un certain nombre de plaquettes informatives qui touchent notamment au problème des mots de passe. Il est aussi chapeauté par le directeur de la sécurité de sa division, qui doit contrôler sa façon de gérer les mots de passe". Pour Gerard Péliks, on peut encore faire mieux : "il faut former les utilisateurs aux problématiques de la sécurité, puis conditionner leur accès à l'internet à leur acceptation d'une charte bien précise, qui les engage à respecter quelques consignes. Proposer un accès à internet en échange d'une signature, c'est sans doute la meilleure façon de motiver un salarié. Quant à la sanction, elle ne doit intervenir qu'en dernier ressort".

Un bon mot de passe est-il suffisant ?
Non. Pour le simple et bonne raison qu'un utilisateur peut très facilement le dévoiler à une personne tierce, qu'un collègue peut le découvrir en observant furtivement le clavier de son voisin, que le petit bout de papier sur lequel on a noté son mot de passe peut tomber dans les mains d'une personne malintentionnée, etc ...

Comment faire mieux qu'un mot de passe ?
De nombreuses technologies permettent de renforcer la sécurité d'un compte utilisateur ou administrateur. Selon Gérard Péliks, "il existe trois solutions : s'identifier par ce que l'on sait - un mot de passe -, par ce que l'on a - une clé physique sur port USB ou lecteur de cartes à puces - ou par ce que l'on est - l'iris et l'emprunte digitale par exemple. Prises individuellement, ses protections sont faibles : on peut toutes les déjouer. Mais si on en utilise deux en même temps, on arrive à un niveau de protection fort". Thalès utilise ce système de redondance :"sur les postes administrateurs importants, nous combinons un mot de passe et une clé physique. Nous avons même commencé à utiliser les solutions de biométrie - que nous commercialisons - pour renforcer la protection des serveurs critiques". Quand à savoir laquelle des trois technologies est la plus fiable, Gérard Peliks confie que "La clé physique est la plus faible : on la perd facilement. Le mot de passe est d'une efficacité correcte. Quant à la biométrie, les systèmes les plus évolués sont nettement plus efficaces encore". En attendant la révolution de la biométrie comportementale, qui permettra d'identifier un utilisateur par la façon de frapper sur le clavier, de se déplacer ou d'appuyer sur son stylo quand il signe.

[Nicolas Six, JDNet]



Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE