Pourquoi il ne faut pas utiliser le même mot de passe sur plusieurs comptes

On estime aujourd’hui qu’un quart des utilisateurs a recours à des mots de passe trop faibles car simplistes. Une autre pratique, tout aussi dangereuse, est la réutilisation d’un même mot de passe sur plusieurs – si ce n’est la totalité – de ses comptes, ce qui concernerait près de 60% des internautes(1) ! Ces deux problèmes semblent avoir la même origine: le nombre grandissant de services nécessitant une authentification en ligne.

Réutiliser ses mots de passe: une fausse bonne idée

Le principal danger de cette pratique consiste dans le fait que les pirates en ont conscience !

C’est pourquoi nombre d’entre eux tentent d’obtenir des identifiants via l’attaque de sites web peu protégés afin de les tester sur d’autres plateformes.

Ainsi, quelle que soit la robustesse du mot de passe, la protection des comptes associés ne dépend plus que du niveau de sécurité du site web le plus faible sur lequel l’utilisateur s’est enregistré. Cela explique le partage massif d’identifiants volés sur le Dark Web, indépendamment de la sensibilité du site ayant été piraté.

Les managers de mot de passe: une vraie bonne idée ?

Une alternative à la mémorisation est d’utiliser un manager de mots de passe tel que LastPass, le plus connu, KeePassX, l’option open source, ou encore 1Password pour les utilisateurs d’Apple. Le but est simple: générer une liste d’identifiants robustes et uniques à laquelle l’utilisateur peut accéder via un unique mot de passe “maître”.

Dans le cas de LastPass par exemple, l’utilisateur définit un mot de passe maître qui sera hashé suivant la méthode SHA-256 – plus lente à appliquer que l’habituel SHA-1, dans le but de ralentir drastiquement (et donc de dissuader) les tentatives d’attaque par “force brute”(2) d’un pirate. Il donne alors à l’utilisateur l’accès à un “coffre fort” (vault) réunissant tous ses mots de passe, chiffrés à l’aide de la méthode cryptographique AES-256(3).

Ainsi, le mot de passe maître a une double fonction: il identifie l’utilisateur auprès de LastPass et lui permet de lire en clair ses mots de passe chiffrés.

Un historique qui accumule néanmoins les bugs

L’historique des managers de mot de passe n’échappe pourtant pas aux failles, comme on le voit avec le cas de LastPass:

-En 2015, LastPass a admis que des pirates avaient accédé à sa liste d’adresses email, de mots de passe maîtres hashés ainsi qu’aux “questions de sécurité” de ses membres. La société a cependant insisté sur le fait que le hashage des mots de passe maîtres (hash, salt et fonction de dérivation de clef ou PBKDF2 inclus) rendait le “dé-hashage” de ceux-ci presque impossible.

-En 2016, le chercheur en sécurité informatique Tavis Ormandy aurait trouvé une faille en lien avec l’extension Firefox 3.3.2 de LastPass. En attirant un internaute sur un site web malveillant, un pirate aurait alors pu tromper LastPass en lui apparaissant comme étant un site légitime afin d’obtenir de lui des identifiants.

-Le 21 Mars 2017, Ormandy aurait trouvé un autre bug, cette fois lié à une propriété des extensions Chrome, Firefox et Edge de LastPass. Comme pour la faille de 2016, en attirant un internaute sur un site web malveillant, un pirate aurait alors pu apparaître comme tiers de confiance auprès de LastPass et ainsi accéder à des mots de passe.

Un moindre mal à court terme ?

Notons que LastPass conseille tout de même à ses utilisateurs d’avoir recours à un mot de passe maître long et robuste afin de se protéger d’attaques par force brute sophistiquées.

Ce conseil ainsi que les différents incidents relatifs à LastPass semblent confirmer que le recours à un manager de mots de passe ne dispense pas – au contraire – d’une bonne hygiène informatique, telle que la prudence envers le type de site web visité ou le choix de ses mots de passes (maîtres inclus).

Il semble que l’intérêt principal de ces managers de mots de passe réside dans le fait qu’ils rendent “plus simple” l’adoption de ces bonnes pratiques.

Certains acteurs, tel que le nouveau Centre de cybersécurité britannique (National Cyber Security Center ou NCSC), jugent pour leur part que le manager de mot de passe n’est sans doute qu’un remède à court terme, quand une solution à long terme viserait à s’éloigner des méthodes d’authentification par mot de passe.

D’autres méthodes incluent l’authentification multi-facteurs, déjà mise en place par la majorité des banques, la reconnaissance biométrique ou encore l’instauration d’une “identité numérique”, qui serait délivrée par les instances étatiques.

 

 

(1)D’après le rapport d’étude “Adults’ Media Use and Attitudes Report 2013” réalisé par Ofcom en 2013.

(2)En cryptanalyse, il s’agit de tester une à une toutes les combinaisons possibles.

(3)Unique méthode cryptographique, considérée apte à chiffrer des communications top secret par la NSA, qui soit également publique.

Suggestions