FAQ solidité des mots de passe
Quel mot de passe tester, car j’en utilise plusieurs ?
Pour être utile et pertinent, tester celui que vous utilisez le plus fréquemment et qui donne accès à des ressources distantes : mot de passe de connexion du PC (surtout s’il donne accès à des répertoires partagés), mot de passe de connexion au webmail (messagerie accessible par le navigateur internet). Dans les environnements Active Directory - Exchange - OWAS il est fréquent que les deux soient identiques.
La solidité du mot de passe du webmail est significative parce que la messagerie est souvent utilisée dans les procédures de réinitialisation de mots de passe.
Ne saisissez pas un code PIN qui verrouille une carte ou l’accès à un mot de passe : ils ne s’évaluent pas de la même façon, car il suppose que l’attaquant a déjà réussi à vous soustraire un équipement (carte à puce, téléphone, PC).
Ne recommande-t-on pas de jamais donner son mot de passe ?
C'est un excellent réflexe. Dans le cas présent, outre les dispositions techniques exposées ici, vous noterez que jamais la procédure ne cherche à vous identifier (le site n'utilise même aucun cookie).
Le point important avant de fournir un mot de passe consiste à vérifier l'identité du serveur. Ici l'adresse et le certificat mentionnent
tous les deux https://ssi.economie.gouv.fr .
Si vous êtes encore incertain, plutôt que votre mot de passe actuel, saisissez celui que votre entreprise vous a fourni par défaut à la création de votre compte (c'est tout aussi parlant sur la posture de cybersécurité) ou un mot de passe vide (il ne sera pas évalué).
Le mot de passe est-il transmis au serveur ?
Jamais. Le serveur envoie au navigateur un module d’évaluation en Javascript. C’est lui qui procède à l’évaluation (de A à E), qui est transmise quand vous cliquez sur « étape suivante ».
L’intégrité du Javascript est contrôlée par l’usage de https (protection de base) et de règles CSP (un exemple des mesures de sécurité permises par des navigateurs récents, qui empêchent l'inclusion de composants tiers non prévus dans une page, y compris par des extensions de navigateurs).
Quelle est l'échelle d'évaluation ?
Les évaluations se répartissent de A à E et traduisent la capacité de résister aux méthodes des attaquants.
Les méthodes des attaquants s’appuient sur des dictionnaires, des combinaisons, et des tests répétitifs. En cas de réutilisation d’un même mot de passe sur des sites différents (domaine professionnel et sites d’e-commerce), ils puisent dans les bases de données de mots fuités pour tenter des attaques ciblées.
Ensuite trop de mots de passe sont constitués par des dérivations et combinaisons de quelques mots courants (prénom, noms géographiques, etc), quelques chiffres et caractères spéciaux, le juste minimum pour répondre aux critères exigés par le site web. Ces mots de passe sont très loin d’être aléatoires comme on l'a imaginé autrefois.
Le problème est qu’un attaquant peut souvent procéder à des attaques en ligne (des milliers de combinaisons si le site ne met pas en œuvre des mesures spécifiques) ou hors ligne après extraction d'un fichier de hash (des millions voire des millairds de combinaisons par seconde, selon la puissance CPU ou GPU).
Les auditeurs savent que dans leurs missions, ils « cassent » plus de trois quarts des mots de passe des systèmes que les entreprises leur demandent de tester. Et les plus grands piratages informatiques ou les cyber-attaques étatiques exploitent presque toujours dans le chemin d’attaque un ou plusieurs mots de passe trop faiblards.
L’évaluation peut donc se lire ainsi :
- E = faible au point qu'il a de grande chance d'être découvert par une attaque en ligne
- D = suffisant uniquement pour un mot de passe local, (il faudra vous voler votre équipement) mais pas pour un compte réseau (sous Windows, c’est la différence entre un compte local et un compte AD ou Office365).
- C = probablement suffisant pour détourner des crackeurs de mots de passe amateurs
- B = solide ; les attaques par dictionnaires ne réussiront pas (attention seulement au réemploi)
- A = bravo, mais conserver bien votre mot de passe parce que vous ne pourrez probablement pas le retrouver de mémoire
Pourquoi s’intéresser à la solidité des mots de passe ?
Des mots de passe solides ne protègent pas de plein d’autres vecteurs de cyber-attaques. Mais utiliseriez la même clé pour toutes vos portes ? une clé minute pour un coffre-forts ?
Pour toute ressource de valeur (et rappelons que cela inclut notamment le webmail), une évaluation inférieure à C doit conduire à un questionnement de la posture de cybersécurité.
Il n'y a ni politique ni gestionnaire de mot de passe dans mon organisation. Que faire ?
Les ministères économiques et financiers ont rendu public leur mémento interne pour bien gérer les mots de passe (format PDF).
Vous pouvez l'utiliser comme un mode d'emploi ou vous en inspirer.
