Passe pas partout
Les clés d’accès – ou « passkeys » – sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.
Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.
Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.
L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.
Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.
Les gestionnaires de mots de passe, une avancée…
Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.
Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.
Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.
Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.
… mais une mesure minimale désormais
Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.
Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.
Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.
Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.
Les clés d’accès, nées d’un besoin
La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.
Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.