Un compte de message compromis est aujourd’hui pris très au sérieux, car il expose l'utilisateur final à un risque d'usurpation d'identité, de fraude au compte bancaire ou à la carte de crédit, voire pire puisque l’auteur de la menace peut se faire passer pour un utilisateur légitime et continuer à tromper d'autres victimes.

De nombreux facteurs peuvent contribuer à la compromission d'un compte, à commencer par l'une des premières choses que les gens configurent lorsqu'ils créent un compte, à savoir leur mot de passe. Si des mots de passe robustes sont essentiels à la sécurité, leur création peut sembler fastidieuse aux utilisateurs qui, par défaut, optent pour des mots de passe souvent faibles. Une mauvaise habitude qu’il va falloir s’efforcer d’éliminer.

Analyse des règles et exigences

De nombreuses organisations intègrent un compteur de force de mot de passe sur le formulaire d'ouverture de compte afin d'encourager la création de mots de passe plus robustes. Parmi les exigences ou règles les plus courantes, citons : 

• Comporter au moins huit caractères

• Comprendre au moins une lettre majuscule

• Inclure au moins une lettre minuscule

• Inclure au moins un chiffre

• Inclure au moins un caractère spécial

Malheureusement ces règles, assez standards pour les organisations aujourd'hui, ne suffisent pas à bloquer la plupart des pirates.

Les failles humaines donnent l’avantage aux hackers

Inclure l’ensemble des règles évoquées ci-dessus au sein d’un mot de passe constitue un premier pas dans la bonne direction, même si cela ne le rend pas nécessairement plus difficile à cracker. Pourquoi ? Parce que « Motdepasse1! » respecte l’ensemble des conditions mais n’est pas robuste pour autant. De manière générale, les internautes sont de mauvais générateurs aléatoires de mots de passe. Ils optent souvent pour des mots ou des phrases qui ont une signification particulière pour eux. Et le cerveau est également programmé pour utiliser des mots associés lorsqu'il est exposé à un environnement spécifique.

Security Boulevard a analysé les 250 meilleurs mots de passe trouvés sur le Dark Web. Il ressort de cette analyse que les catégories d'informations les plus utilisées pour générer de mauvais mots de passe en 2020 étaient les noms, les sports, la nourriture, les lieux, les animaux et les personnes/personnages célèbres. La plupart des mots de passe proviennent de ces groupes : 59 % des américains utilisent ainsi le nom d'une personne ou l'anniversaire d'un proche de la famille dans leurs mots de passe, 33 % incluent le nom d'un animal de compagnie et 22 % utilisent leur propre nom. En outre, un internaute réutilise en moyenne 14 fois son mauvais mot de passe.

Dépasser les règles et la nature humaine

Dans cette optique, comment juger la force du mot de passe créé par un utilisateur ? Pour commencer, l'un des moyens les plus efficaces consiste à les comparer à une base de données d'informations d'identification exposées et hachées.

L'une des plus connues est haveibeenpwned.com. Les organisations peuvent se connecter au site web et voir si le mot de passe qu'une personne essaie d'utiliser a été exposé. Si tel est le cas, l'utilisateur ne devrait pas être en mesure de poursuivre le processus. Un autre avantage est d'encourager l'utilisateur à changer ce mot de passe en particulier s'il l'utilise à d'autres fins.

En outre, les entreprises devraient également signaler les mots de passe qui comportent moins de 10 caractères ou qui comportent toute information fournie précédemment dans le formulaire d'inscription, comme le nom de l’utilisateur, le nom de la société, le nom de domaine, etc.

Vérifier la prévisibilité d’un mot de passe

Il peut arriver néanmoins qu'un mot de passe ne figure pas dans la liste des hachages de mots de passe exposés ou qu'il réponde à d'autres exigences. Heureusement, il existe des mesures supplémentaires que les entreprises peuvent prendre dans ce cas, à commencer par calculer son entropie pour mesurer sa robustesse. L’entropie permet d’estimer à quel point un mot de passe est prévisible en fonction de sa longueur et des caractères utilisés pour le composer.

Si l’on se penche sur les mots de passe faibles qui n'ont pas encore fait l'objet d'une fuite ou d'un craquage, le recours à l'entropie permet de transmettre un message à l'utilisateur par le biais d'un compteur de force de mot de passe et lui montrer qu'il devrait opter pour quelque chose de plus sécurisé.

Mesurer la force d'un mot de passe en se basant uniquement sur son entropie serait cependant une erreur. Prenons l'exemple de « Motdepasse1! ». Ce mot de passe est malheureusement assez courant et peut être facilement deviné. Un outil d’analyse des mots de passe, ou « password meter », avec des exigences minimales de longueur de caractères, comme nous l'avons vu, est dans ce cas imparfait. Le mot de passe choisi en exemple serait en effet qualifié de « très fort », alors qu’en l’état, il apparait plus de 400 fois sur haveibeenpwned.com.

Prenons un autre exemple avec un mot de passe composé de cinq mots choisis au hasard, sans majuscules, sans symboles spéciaux, sans chiffres, et dont la longueur de chaque mot varie.

Pour cet exemple, nous utiliserons les mots « chien », « pot », « genou », « caillou » et « chou ». En termes d’entropie, ce mot de passe n’utilise que des petits caractères et sera estimé comme « faible » au regard de sa complexité. Pourtant, il n’a pas été volé, si l’on se fie aux réponses de la base haveibeenpwned.com.

Si l'on tient compte du nombre de permutations et de combinaisons dont disposent les utilisateurs lorsqu'ils choisissent cinq mots au hasard parmi les mots de trois, quatre et cinq lettres par exemple, le mot de passe peut s’avérer très complexe.

L’indication fournie par haveibeenpwned n’est pas une garantie : ce n'est pas parce qu'il n'a pas été volé qu'il doit nécessairement être la norme en matière de mots de passe. Mais il est certain qu’il plus facile à mémoriser par les humains, tout en étant plus difficile à craquer pour les ordinateurs.

Pourquoi ne pas faire confiance au Password Meters

Nous avons pu voir que les exigences communes en matière de mot de passe ne fonctionnent pas bien et que l'entropie est imparfaite. Comment les ingénieurs peuvent-ils aider les utilisateurs finaux à se protéger ?

Les entreprises devraient envisager un compteur de force de mot de passe capable d’aller au-delà de la nature humaine. En plus de fournir un retour d'information sur le mot de passe lui-même, il pourrait suggérer la mise en place d'une authentification multifactorielle et faire ainsi passer le message que des mesures de sécurité supplémentaires renforcent la protection.

Les ingénieurs doivent également tenir compte du fait que la plupart des compteurs sont défectueux en raison du renforcement positif. Dès qu'une personne remplit les conditions requises, elle reçoit des félicitations sur la qualité de son mot de passe et se voir signifier qu'elle n'a rien d'autre à faire. En d'autres termes, elle s’imagine donc que son mot de passe ne sera jamais compromis et qu’elle n’a aucune raison de s’inquiéter.

Ce que les organisations devraient s'efforcer de faire, c'est de challenger les utilisateurs finaux sur le choix de leur mot de passe la plupart du temps – et se montrer indifférentes le reste du temps. Aujourd'hui, le mot de passe ne constitue pas une porte infranchissable pour les hackers. Les entreprises doivent encourager les mesures de sécurité supplémentaires.

Aux développeurs qui se posent la question, je ne recommanderai pas la mise en place d’un indicateur de force des mots de passe, même si dans l'ensemble, il est difficile de créer un bon indicateur et que le risque existe de voir les utilisateurs créer des mots de passe plus faibles sans ces compteurs. Je pense que l'utilisation de ressources comme haveibeenpwned.com pour vérifier les mots de passe exposés est beaucoup plus robuste que l'invention et l'utilisation d'algorithmes de vérification de la force.

L'utilisation d'un gestionnaire de mots de passe capable de générer des mots de passe à partir d'un ensemble suffisamment large de caractères pour atteindre le niveau d'entropie souhaité est l'une des meilleures options actuelles pour créer des mots de passe forts et uniques.

Et même dans ces conditions, les utilisateurs doivent envisager d'utiliser toutes les autres options de sécurité disponibles, telles que les connexions sans mot de passe, les clés de sécurité, les applications d'authentification ou toute autre méthode d'authentification multifactorielle disponible, au-delà de l'utilisation d'un simple mot de passe, afin de se protéger efficacement face aux cyber menaces.

Par Patrick Tilley, Product Security Engineer, Pathwire