La chronique du Cesin : l'enfer des mots de passe

Le téléphone sonne :

– … Allo, ici Thierry Autret [le RSSI].

– Bonjour Thierry ici Monique [la DRH], dis-moi est-ce qu’il serait possible de supprimer le mot de passe sur l’application de gestion des congés ?

– !?! ^(*), …heu, non ce n’est pas possible…

– Parce-que tout le monde se plaint, d’ailleurs j’ai encore perdu le mien.

Dans cet échange, « * » représente, selon l’ancienneté du RSSI, de l’incompréhension, de l’agacement, puis un jour de la fatalité.

La problématique des mots de passe est un sacerdoce dans la vie du RSSI, une croix qu’il doit porter pendant toute sa carrière. Imposer aux utilisateurs, y compris aux dirigeants de son entreprise, des mots de passe revient à leur imposer des contraintes qui lui seront d’une façon ou d’une autre reprochées. Trop longs, trop complexes, impossibles à retenir, en plus ils changent tout le temps.

Le RSSI ne peut même pas leur en vouloir puisqu’il est confronté lui aussi aux mêmes problèmes. Mais comment faire comprendre aux utilisateurs qu’il ne peut pas tout décider concernant ce sujet. Dans l’exemple décrit en introduction, l’application de gestion des congés est externalisée chez un hébergeur qui traite de façon intégrée les données de la paie. La gestion du risque vue du côté de l’hébergeur l’oblige à mettre en place une politique de mot de passe complexe, basée sur les recommandations de l’ANSSI, avec des changements tous les 90 jours et une vérification de non ressemblance avec les cinq derniers mots de passe. Cela peut paraître excessif au vu du risque perçu par l’utilisateur pour la gestion de ses congés, mais l’hébergeur lui se doit de l’imposer. Du coup un utilisateur qui ne prend pas régulièrement de congés peut même être amené à changer un mot de passe qu’il n’a jamais utilisé.

De plus le RSSI va demander à ce que le même mot de passe ne soit pas utilisé pour toutes les applications, ce qui est une règle de base. La conséquence directe va être que les utilisateurs vont enregistrer leurs identifiants et mots de passe « sous un post-it », de manière plus réaliste sur un tableur ou autre fichier. Le RSSI prudent prendra les devants en proposant un outil entreprise de stockage de mots de passe conservant ceux-ci chiffrés. Dans le meilleur des cas, un système de Single Sign-On ou SSO permettra de faire le lien entre un mot de passe unique et les différents systèmes de mot de passe des applications de l’entreprise. Mais tout cela risque d’être remis en cause par les multiples solutions cloud en mode SaaS que l’utilisateur va être amené à utiliser avec autant de mots de passe à se souvenir.

Mais le RSSI doit aussi gérer le fait que les premiers utilisateurs à vouloir supprimer les mots de passe sont bien souvent les VIP de l’entreprise et en premier lieu sur leur smartphone. Et ils pourraient prendre argument à juste raison que la principale cause d’appel au centre de service (hot line informatique) est l’oubli de mot de passe et sa demande de réinitialisation.

Des outils d’analyse comportementale ou contextuelle apportent maintenant une aide au RSSI en faisant varier la complexité de l’authentification par mot de passe, en facilitant la saisie pour les utilisateurs ayant un poste fixe dont la configuration ne change pas et avec un contrôle plus poussé pour des postes mobiles allant jusqu’à l’entrée d’un PIN à usage unique reçu sur le téléphone portable dans un mode similaire à certains paiements en ligne.

De nombreux systèmes alternatifs peuvent aussi être mis en place, avec l’utilisation de cartes à puce avec des certificats de clés ou autres systèmes biométrique, mais il n’en reste pas moins que le mot de passe restera encore pour de nombreuses années l’outil principal d’authentification de nos systèmes informatiques.

De là à imaginer qu’au moment ultime on nous demande : « Pour entrer au Paradis tapez votre mot de passe à 128 caractères, vous n’avez le droit qu’à un seul essai. Pour entrer en Enfer tapez return ».

MAINTENANT C’EST À VOUS ET VOICI QUELQUES RECOMMANDATIONS PRATIQUES QUI ONT FAIT LEURS PREUVES

• Expliquer aux utilisateurs la logique sous-jacente à la gestion des mots de passe pour le milieu professionnel mais également familial ;
• Ne pas imposer des règles de composition du mot de passe trop excessives du genre 20 caractères tous différents à changer tous les huit jours (le mieux est l’ennemi du bien), mais un juste milieu entre une certaine complexité et une facilité à s’en souvenir ;
• Leur donner quelques conseils pratiques comme ne pas avoir le même mot de passe pour toutes les applications, ne pas prendre de mots de son environnement familial, nom des enfants ou du chien, qu’on pourrait retrouver sur des réseaux sociaux ;
• S’il est absolument nécessaire de confier un mot de passe à un tiers, un administrateur par exemple, il faut le changer immédiatement après ;
• Ne pas se voiler les yeux, il est impossible de se rappeler des identifiants et mots de passe de toutes les applications, aussi il faut d’emblée fournir un outil de chiffrement d’un fichier qui contiendra les mots de passe ou un logiciel spécialisé à cet usage.

Liens utiles :

• ANSSI : Recommandations de sécurité relatives aux mots de passe
• ANSSI : Calculer la force d’un mot de passe