Une protection efficace de nos mots de passe

Un article vient de paraître mentionnant que le célèbre site de réseau social professionnel LinkedIn ainsi qu’un site de rencontre viennent de se faire dérober un nombre important de mots de passe de leurs utilisateurs.

Les spécialistes qui ont examiné les fichiers de mots de passe ont affirmé que « le réseau social n’avait pas utilisé les techniques les plus sûres en matière de protection de données » et que « Selon eux, LinkedIn s’en est tenu à des techniques de base pour l’encodage des mots de passe donnant la possibilité aux hackers de décoder l’ensemble des mots de passe une fois cassé le cryptage de l’un d’entre eux. » (cf. l’article)

Constat

Je suis sidéré de voir à quel point certaines entreprises se moquent de la sécurité des comptes de leurs utilisateurs. Nous utilisons leurs services, leur donnons des informations privées nous concernant et leur faisons confiance, à tort.

Combien de fois, dans mon métier de consultant, je suis confronté à des sociétés qui mettent de côté la sécurité dans leur projet, par manque de budget de temps, ou par fierté !

La sécurité réseau, nécessaire mais pas suffisante

Certaines entreprises stockent les mots de passe des comptes applicatifs de leurs utilisateurs dans un référentiel quelconque en clair, comme un fichier. Ils espèrent, avec leur firewall et leur routeur, être à l’épreuve des hackers.

La sécurité réseau nécessaire mais pas suffisante

La sécurité réseau est nécessaire, sans aucun doute, mais nettement insuffisante. Elle ne peut protéger un SI des failles de sécurité de ses applications.

Le chiffrement, une pseudo-sécurité

D’autres entreprises stockent les mots de passe des comptes applicatifs de leurs utilisateurs dans une base de données, par exemple, soit en les chiffrant applicativement, soit en utilisant l’algorithme du SGBD.

Je ne peux que les prévenir de la fausse sensation de sécurité qu’ils ont. Certes un mot de passe chiffré n’est pas lisible directement, mais il est par définition déchiffrable. Il faut savoir que l’algorithme de chiffrement utilisé dans 99% des cas est symétrique. Cela signifie que la clé qui permet de chiffrer un mot de passe permet aussi de le déchiffrer. Il faut aussi comprendre qu’il existe au autre type de chiffrement, asymétrique, qui est nettement plus sécurisé, mais reste contraignant et lent à utiliser. Cette sécurité n’est donc pas envisageable à mettre en œuvre sur des serveurs Internet de grande audience.

Vous vous demandez alors à quoi peut bien servir le chiffrement symétrique de données ? Et bien principalement à protéger les communications ou en d’autres termes à assurer la confidentialité des échanges et non du stockage des mots de passe. Par exemple, il est utilisé lors de l’accès à un serveur en https, ce qui protège la communication entre notre navigateur et ce serveur, afin d’envoyer notre mot de passe par exemple.

Quelle sécurité pour stocker les mots de passe ?

Oublions le chiffrement ! Un mot de passe ne devrait pas être déchiffrable.

La seule sécurité envisageable pour sauver nos mots de passe, est de ne stocker que leur empreinte avec un algorithme de hachage qui n’est plus obsolète. Certains réseaux, pourtant déployés majoritairement, utilisent encore des algorithmes de hachage des mots de passe dont leur fiabilité a été remise en question depuis plus de 10 ans, il s’agit des MD4 & 5.

Le seul algorithme à utiliser aujourd’hui pour nos mots de passe est de stocker leur empreinte, calculée à partir de fonctions SHA2.

Quel référentiel pour nos mots de passe ?

Ce qui freine les entreprises à adhérer à un tel niveau de sécurité réside dans le fait qu’elles utilisent, encore, des bases de données SQL pour stocker nos comptes applicatifs et nos mots de passe.

L’annuaire LDAP, le référentiel des mots de passe

Seuls les annuaires LDAP qui utilisent nativement les fonctions de hachage SHA 2 pour calculer les empreintes des mots de passe doivent être utilisés.

Conclusion

Quelle stratégie engager pour mon entreprise ?

  • Continuer de fermer les yeux sur une potentielle attaque qui pourrait peut-être ne pas arriver
  • Protéger mon image de marque et ma notoriété et investir dans la sécurité à moindre frais par rapport aux pertes financières si je suis montré du doigt par la presse et si mes utilisateurs partent à la concurrence

Thierry ALBAIN

3 Responses to “Une protection efficace de nos mots de passe”


  1. 1 Fabrice 07/06/2012 à 17:28

    Annuaire LDAP OK. Mais la plupart des SGBD disposent également de fonctions SHA2, même s’il faut parfois utiliser un module complémentaire. N’est-il pas un peu exagéré de laisser entendre qu’un SGBD ne peut pas correctement prendre en charge un tel besoin ?

  2. 2 Thierry ALBAIN 08/06/2012 à 08:20

    L’annuaire est le référentiel d’identité privilégié pour stocker les hashs de mots de passe. Son utilisation est simple, il suffit à l’application de faire un bind à l’annuaire avec l’identifiant et le mot de passe de l’utilisateur pour l’authentifier. L’annuaire est le garant de l’authentification de l’utilisateur. De plus certains annuaires protègent ce mot de passe en le retirant du champ « userPassword », le laissant vide, ce qui ne permet plus de récupérer ni le mot de passe ni son hash.
    Un SGBD peut certainement prendre en charge ce besoin, mais protège-t-il aussi efficacement les hashs des mots de passe ? Est-il aussi simple pour l’application d’authentifier les utilisateurs avec des données dans une table SQL ?

  3. 3 Médéric Morel 08/06/2012 à 12:57

    Il est possible de vérifier si votre password Linkedin a été volé grâce au lien suivant : http://leakedin.org/. Ce lien fonctionne par vérification de la valeur de hachage avec la liste qui a été dérobée.


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s




Mises à jour Twitter

Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

Rejoignez 29 autres abonnés

Catégories

Statistiques

  • 64,072 hits

%d blogueurs aiment cette page :