Mettre en place une gestion des mots de passe et une authentification multifactorielle : pas si simple !

Dans les formations à la cybersécurité que Patrick Coomans, Expert Digital products & Entrepreneurship chez Agoria, donne aux entreprises comme dans les lignes directrices Cyberstart qu'il rédige, il insiste toujours sur l'importance d'un moyen sûr mais convivial de s’identifier en tant qu'utilisateur d'un système informatique (authentification, connexion). Il s’agit en fait d’un problème de longue date dans le domaine informatique : Patrick abordait déjà ce sujet il y a 20 ans, mais à la réflexion, il doit se résoudre à cette conclusion : nous avons très peu progressé ces dernières décennies. Une authentification inadéquate reste l'une des vulnérabilités les plus importantes et les plus exploitées des systèmes informatiques.

Toute personne gérant un système informatique sera toujours d'accord pour dire qu’une authentification sécurisée est l'une des mesures non négociables en matière de cybersécurité, au même titre que les sauvegardes et l'installation des mises à jour de sécurité.

Malheureusement, la réalité s’avère bien différente dans la pratique, même si les moyens techniques sont disponibles depuis des décennies. Les causes principales sont l'adoption par les utilisateurs et la compatibilité obligatoire avec les anciens systèmes informatiques (« legacy »). Mais les développeurs de logiciels disposent encore de nombreuses opportunités pour améliorer et uniformiser la manière dont les utilisateurs peuvent se connecter.

C'est pourquoi, dans cet article, on va aborder un peu plus en détail l'importance d’une authentification sécurisée, ainsi que certains défis et objections, et la manière de les appréhender en tant qu’administrateur d’un système informatique.

L'accès aux données et aux applications est peut-être l'aspect le plus ennuyeux pour la plupart des utilisateurs. La multitude de mots de passe devient presque ingérable, ce qui incite les utilisateurs à chercher des moyens de se faciliter la vie. Pour ce faire, ils utilisent, par exemple, un même mot de passe, facile à retenir, sur tous les sites web et applications. Or, il existe un commerce effréné de mots de passe volés. Le vol de mots de passe reste assez facile, d'une part parce que les opérateurs d'applications en ligne ne prennent généralement pas de mesures suffisantes pour prévenir le vol (par exemple, procéder à des mises à jour de sécurité), et d'autre part parce que les utilisateurs continuent à se laisser piéger par des attaques de phishing bien conçues et introduisent leurs données sur des sites web frauduleux.

Il est clair que les mots de passe utilisés depuis longtemps circulent très probablement déjà parmi les cybercriminels. Il est donc important de remplacer régulièrement vos mots de passe, de préférence par des combinaisons qui ne peuvent pas être facilement devinées. C'est là que la discussion commence, car il existe de nombreuses lignes directrices contradictoires, et beaucoup d'experts tombent dans le piège d'essayer de formuler une recommandation s’appliquant à toutes les situations et à tous les contextes, alors que c'est franchement impossible. En outre, on appréhende de mieux en mieux la question et les lignes directrices de l'année dernière diffèrent déjà de celles de cette année.

Vous trouverez ci-dessous l'interprétation personnelle de Patrick Coomans ainsi que des conseils dans certains contextes courants.

Dans un passé lointain, Patrick Coomans conservait tous ses noms d'utilisateur et mots de passe dans un fichier Excel crypté. Vous aussi ? Ce n'était certainement pas une solution idéale. C'est pourquoi il s'est réjoui de l'émergence des gestionnaires de mots de passe. Mais de quoi s’agit-il et quels sont les avantages et inconvénients ?

Un gestionnaire de mots de passe est un logiciel qui peut saisir et stocker vos noms d'utilisateur et mots de passe par application de manière sécurisée, et qui est capable de capter les changements de mot de passe afin de toujours disposer de la version correcte la plus récente. Les gestionnaires de mots de passe s'appuient sur un « mot de passe maître » unique et des méthodes cryptographiques avancées pour stocker en toute sécurité tous les mots de passe collectés.

En outre, les bons gestionnaires de mots de passe sont également capables de proposer eux-mêmes de nouveaux mots de passe sécurisés et de les synchroniser entre tous les ordinateurs et appareils mobiles de l'utilisateur. Les navigateurs web offrent également des fonctionnalités similaires, mais il est conseillé de ne pas les utiliser.

Mais lorsque l'on a appris en 2022 que certains gestionnaires de mots de passe bien connus avaient malheureusement été piratés et qu'il s'est avéré qu'ils présentaient des failles dans la manière dont ils stockaient les mots de passe, il peut vous assurer qu'il fulminait. D'un seul coup, tous ses mots de passe pouvaient être volés, du moins si l'on avait pu deviner son mot de passe maître, très long et complexe. Heureusement, à la suite de ce piratage, cette vulnérabilité a déjà fait l'objet d'une telle attention que nous pouvons désormais être sûrs que les gestionnaires actuels de mots de passe sont dignes de confiance.

Le principal avantage des gestionnaires de mots de passe est qu'il est possible de définir, pour chaque application, un mot de passe distinct, si long et complexe qu'il est impossible à mémoriser. Et vous n’avez pas à le faire puisque le logiciel fait tout pour vous. Toutefois, le principal inconvénient des gestionnaires de mots de passe est que leur adoption reste limitée, car l'expérience utilisateur est encore loin d'être optimale. Un tel logiciel est une bénédiction pour les personnes qui maîtrisent l'informatique et qui comprennent ce qu’il fait en arrière-plan. Mais apprendre à des utilisateurs occasionnels ou à des personnes qui n'ont pas grandi avec l’informatique à utiliser naturellement un gestionnaire de mots de passe est un véritable défi.

Patrick conseille aux entreprises d'adopter les gestionnaires de mots de passe, mais de faire un choix technologique éclairé après avoir testé différents cas d’utilisation et solutions à petite échelle. Par ailleurs, il est impératif d'allouer une partie du budget à la formation à l'utilisation de ces logiciels et à un support ultérieur (pensez aux questions-réponses avec des captures d'écran et des vidéos). Sans un encadrement adéquat, l’introduction d'un gestionnaire de mots de passe est vouée à l'échec. Faites le test d’utilisabilité en expliquant le fonctionnement à votre voisin, votre beau-père ou votre partenaire à la maison.

Note : dans les grandes entreprises, la fonctionnalité de gestion des mots de passe est souvent intégrée à une solution d'authentification unique d'entreprise (eSSO).

Bien consciente du caractère quelque peu moyenâgeux, peu convivial et peu sûr du recours à ces pénibles mots de passe, l’industrie a imaginé comme solution l’ajout d’un ou plusieurs moyens d'authentification supplémentaires. C'est ce qu'on appelle l'authentification multifactorielle (MFA).

Une MFA forte repose généralement sur un élément connu (mot de passe ou code PIN), un élément possédé (un appareil) et un élément faisant partie de l’utilisateur (par exemple, des données biométriques). Ainsi, de nombreux appareils mobiles nous facilitent aujourd’hui déjà grandement la vie en nous permettant de nous connecter à l'aide d’une empreinte digitale ou de la reconnaissance faciale. L’on retrouve assez rarement ces méthodes sur les ordinateurs des entreprises.

Pour introduire une MFA avec succès, il est nécessaire de bien comprendre le contexte professionnel et le risque associé à chaque application : dans quels cas l'entreprise est-elle prête à accepter ou non certains risques ?

Voici quelques exemples à titre d’illustration :

• L'utilisation d'une application d'authentification sur un smartphone ou la réception d'un code par SMS ne sont pas possibles dans des environnements où les utilisateurs ne possèdent pas ou ne peuvent pas utiliser un GSM (d'entreprise). Pensez par exemple à un environnement de production, des chantiers de construction, des hôpitaux, des environnements à risque d’explosion ou des environnements où les GSM n'ont pas de réception. Il est alors possible d’utiliser une ancienne solution qui a fait ses preuves : les jetons matériels.
• Certains utilisateurs n'ont accès qu’à de très courtes sessions sur l’ordinateur. Pensez notamment aux « kiosques » centraux sur lesquels, par exemple, plusieurs infirmières se connectent brièvement pour consulter la médication des patients. Dans ce cas, il est possible d’utiliser des solutions d’authentification unique d’entreprise (eSSO) en combinaison avec des badges RFID.
• De nombreux systèmes informatiques ne permettent pas encore l'utilisation de la MFA. Il s’agit, bien sûr, des anciens systèmes, dépassés, tels que les ordinateurs centraux, mais parfois, le manque de flexibilité au niveau de l’authentification multifactorielle dans les applications modernes est tout à fait surprenant. Il conseille de faire des recherches approfondies avant de commander ou de mettre en service un produit. Malheureusement, l'absence de MFA dans une application indique souvent que d'autres mesures fondamentales de cybersécurité n'ont pas été prévues. L'utilisation de cette application peut donc présenter un risque disproportionné pour l'entreprise.
• Dans certains cas, le risque de ne pas pouvoir se connecter (suffisamment rapidement) peut l'emporter sur le risque d'accès non autorisé. Pensez à un bloc opératoire dans un hôpital ou à l'opérateur d'une machine à haut risque. Dans ce cas, une solution possible consiste à restreindre l'accès à l'espace dans lequel se trouvent ces appareils non sécurisés à un nombre limité de personnes autorisées, ainsi qu'à surveiller et contrôler correctement cette utilisation.
• Si les travailleurs se trouvent déjà à l'intérieur d'un bâtiment bien sécurisé, est-il nécessaire de leur demander de s'authentifier à l'aide d'un facteur supplémentaire chaque fois qu’ils se connectent ? Ou suffit-il de le faire une seule fois ? Une solution possible consiste à définir des politiques MFA en fonction de la localisation, qui déterminent, de manière intelligente et en fonction des risques, si une étape d’authentification supplémentaire est requise ou non.

Tout bien considéré, il est clair qu'il n'est pas si facile d’introduire une politique univoque pour toutes les applications. C'est pourquoi Patrick a résumé ci-dessous quelques lignes directrices :

• Misez un maximum sur l’utilisation de gestionnaires de mots de passe (ou eSSO), mais veillez à un encadrement adéquat en termes de formation, de documentation et de support.
• Pour les applications et les utilisateurs pour lesquels des gestionnaires de mots de passe peuvent être utilisés, il est recommandé d'imposer des mots de passe complexes très longs. Cela favorise l'adoption du gestionnaire de mots de passe.
• Pour les applications et utilisateurs pour lesquels aucun gestionnaire de mots de passe est utilisé, il est recommandé de faire dépendre les politiques en matière de mots de passe de deux aspects :

1. Si une application recourt également à la MFA, il est recommandé de conseiller aux utilisateurs d’utiliser des phrases ou combinaisons de mots de passe suffisamment longues.
2. Accordez une attention prioritaire au risque : imposez des exigences plus strictes pour les applications très critiques et des exigences plus faibles pour les applications présentant un profil de risque moindre.

• Par prudence, Patrick reste favorable à un changement régulier des mots de passe. Il recommande d'appliquer cette règle chaque année. Mais au lieu de définir une politique par défaut selon laquelle tous les mots de passe doivent être modifiés après 365 jours, vous pouvez également choisir d'exiger de certains groupes d'utilisateurs qu'ils modifient leurs mots de passe au plus tard à une date prédéterminée et communiquée. L'avantage de cette approche est que ce groupe d'utilisateurs peut recevoir des avertissements et des instructions à ce propos de manière très ciblée. En effet, il n'y a rien de plus ennuyeux que de devoir changer de mot de passe à l'improviste, au beau milieu d'une intervention urgente ou d'une présentation importante, par exemple.

La sécurité n'est plus un luxe. De même que l'ABS et les airbags font partie de l'équipement standard d'une voiture sans coût supplémentaire, les concepteurs de logiciels devraient également fournir plus de sécurité de manière standard : par exemple, une MFA, des politiques de mots de passe contextuels et une authentification par paliers, une solution de fédération, une solution SSO, etc. En effet, c’est antidémocratique de faire payer un supplément pour des fonctions de sécurité, ou à ne mettre ces fonctions à la disposition que des grandes entreprises.

Prévoyez une meilleure intégration avec des gestionnaires de mots de passe ou des solutions eSSO : veillez à ce que les écrans de saisie puissent être détectés correctement, l'idéal étant qu'une authentification ou un changement de mot de passe puisse se faire sans trop d'interaction de la part de l'utilisateur.

Sécurisez vos propres outils de développement tels que github, jira et confluence également avec une MFA.

Enfin, appliquez également toutes les directives relatives à l'authentification, telles que décrites dans les meilleures pratiques de l'OWASP pour les développeurs, entre autres.

Agoria et WalHub ont lancé cyberstart.be : un e-tutoriel gratuit et original. Chaque semaine vous recevez un e-mail contenant des conseils et des astuces qui vous permettent de mettre en place un plan d'action concret de cybersécurité pour votre organisation .  Découvrez ici cyberstart.be/fr et inscrivez-vous !