Certains mots de passe sont infiniment plus efficaces que d'autres. Quand on choisit bien le sien, le pirate en est réduit à utiliser la puissance brute. De ce côté là, les administrateurs réseau peuvent se rassurer : il faudrait 66 ans à une machine spécialisée pour casser un mot de passe de 8 caractères. Et pour cause : 8 caractères bien choisis parmi les 95 caractères ASCII offrent 6,6 millions de milliards de combinaisons possibles. Mode d'emploi du bon mot de passe.

Comment créer un bon mot de passe ?
Avant tout, il faut bannir tout ce qu'il y a d'humain dans un mot de passe : "il faut éviter d'utiliser un prénom en y ajoutant un chiffre, explique Gerard Peliks, expert de sécurité qui travaille au marketing d'EADS. Dans l'idéal, il faut exploiter au maximum les possibilités d'une suite de huit caractères. Et pour celà, il n'y a pas de secret, le mieux est d'utiliser une application qui génère une suite de chiffres, de lettres et de symboles de façon complètement aléatoire". Des applications de ce type sont déjà utilisées par bon nombre d'administrateurs réseau.

Un mot de passe est-il créé une bonne fois pour toutes ?
Pour Serge Druais - responsable des systèmes d'information chez Thales : "il faut changer son mot de passe régulièrement. Le mieux est d'adapter comme chez nous le nombre et la fréquence des changements au niveau de protection requis pour chaque application".

Comment stocker un mot de passe ? Sur un bout de papier ? Dans sa mémoire ?
Pour Gerard Peliks, "l'idéal est de faire marcher sa mémoire. Mais beaucoup d'utilisateurs y sont réticents, surtout lorsqu'il s'agit d'un mot de passe contenant des caractères spéciaux qui change tous les mois". Il existe pourtant des solutions mnémotechniques qui permettent de retenir plus facilement les longues séries de 8 caractères - ainsi, 8/a^&2+8 donnerait 'huit tordus à galurin et deux poux fuient'. Quelques entreprises ont déja investi dans des formations aux technique de mémorisation. Mais selon Gerard Peliks, "il restera toujours des personnes rétives à la l'apprentissage par coeur. Elles continueront de noter leur mot de passe quelque part. L'essentiel pour ces personnes sera alors de s'arranger pour que nul ne puisse accéder à leur petite note". Serge Druais renchérit : "Chez Thalès, nous ne sommes pas dupes : nous ne croyons pas à la mémorisation. Par contre, nous sommes intransigeants sur la conservation du mot de passe : en aucun cas il ne doit être dévoilé. Certaines personnes parviennent très facilement à se faire passer pour des administrateurs système. Ils prétendent que le mot de passe de l'utilisateur est indispensable pour un acte de maintenance important, et repartent avec les huit chiffres dans la poche ... Un mot de passe, ca ne se dévoile pas".

Comment convaincre les utilisateurs de respecter ces principes ?
C'est sans doute l'un des problèmes les plus délicats. Pour Gerard Peliks, "la plupart des administrateurs sont sensibilisés à la problématique du mot de passe. Par contre, les utilisateurs de leur parc informatique ne le sont pas assez". Manque d'information en interne, ou problème de motivation des individus ? L'exemple de Thalès est parlant : "Chaque fois qu'un salarié rentre chez nous, il doit lire une charte de sécurité comportant un certain nombre de plaquettes informatives qui touchent notamment au problème des mots de passe. Il est aussi chapeauté par le directeur de la sécurité de sa division, qui doit contrôler sa façon de gérer les mots de passe". Pour Gerard Péliks, on peut encore faire mieux : "il faut former les utilisateurs aux problématiques de la sécurité, puis conditionner leur accès à l'internet à leur acceptation d'une charte bien précise, qui les engage à respecter quelques consignes. Proposer un accès à internet en échange d'une signature, c'est sans doute la meilleure façon de motiver un salarié. Quant à la sanction, elle ne doit intervenir qu'en dernier ressort".

Un bon mot de passe est-il suffisant ?
Non. Pour le simple et bonne raison qu'un utilisateur peut très facilement le dévoiler à une personne tierce, qu'un collègue peut le découvrir en observant furtivement le clavier de son voisin, que le petit bout de papier sur lequel on a noté son mot de passe peut tomber dans les mains d'une personne malintentionnée, etc ...

Comment faire mieux qu'un mot de passe ?
De nombreuses technologies permettent de renforcer la sécurité d'un compte utilisateur ou administrateur. Selon Gérard Péliks, "il existe trois solutions : s'identifier par ce que l'on sait - un mot de passe -, par ce que l'on a - une clé physique sur port USB ou lecteur de cartes à puces - ou par ce que l'on est - l'iris et l'emprunte digitale par exemple. Prises individuellement, ses protections sont faibles : on peut toutes les déjouer. Mais si on en utilise deux en même temps, on arrive à un niveau de protection fort". Thalès utilise ce système de redondance :"sur les postes administrateurs importants, nous combinons un mot de passe et une clé physique. Nous avons même commencé à utiliser les solutions de biométrie - que nous commercialisons - pour renforcer la protection des serveurs critiques". Quand à savoir laquelle des trois technologies est la plus fiable, Gérard Peliks confie que "La clé physique est la plus faible : on la perd facilement. Le mot de passe est d'une efficacité correcte. Quant à la biométrie, les systèmes les plus évolués sont nettement plus efficaces encore". En attendant la révolution de la biométrie comportementale, qui permettra d'identifier un utilisateur par la façon de frapper sur le clavier, de se déplacer ou d'appuyer sur son stylo quand il signe.

Trop de mots de passe inefficaces sur les réseaux

La plupart des mots de passe peuvent être craqués en moins d'une minute : une grande partie des entreprises négligent ce problème crucial. Pourtant, un mot de passe craqué peut ouvrir la voie à la totalité d'un réseau, laissant un pirate détruire toutes les informations qui y sont contenues ou, plus grave, les rapatrier très discrètement sur sa machine. Pour Gerard Peliks, expert sécurité qui travaille au marketing d'EADS, "les utilisateurs de terminaux informatiques sont encore trop nombreux à choisir des mots de passe inefficaces. Quant aux administrateurs, la plupart sont sensibilisés, mais certains ne le sont pas encore".

Les mauvais mots de passe peuvent être craqués facilement. Plusieurs logiciels comme "John the Ripper" attaquent la cible à raison de plusieurs dizaines - voir centaines - de mots de passe à la seconde. Ils doivent leur efficacité à leur principe d'action, plus raffiné que la force brute : ces logiciels n'explorent pas chaque combinaison possible. Ils s'appuient sur une bibliothèque de mots de passe courants, ce qui leur permet dans certaines conditions d'en casser plus d'un à la seconde.

Complicité involontaire
Mais ces logiciels ne pourraient rien faire sans l'aide des utilisateurs : c'est le choix de mots de passe conçus autour du prénom d'un proche, du nom d'un animal domestique, ou de tout autre mot de passe trop courant qui leur ouvre la porte d'une machine. Les logiciels de crackage s'appuient en effet sur des bases de données répertoriant la plupart de ces mots de passe usuels. Et inutile d'espérer que quelques chiffres ajoutés à la fin d'un prénom changeront la donne : John the Ripper recense la plupart de ces petites astuces et dispose d'outils pour les contrer.

Résultat : une étude réalisée par Robert Morris et Ken Thompson intitulée "password security, a case history" fait état de chiffres très inquiétants. Sur 3 300 mots de passe analysés, les auteurs ont en trouvé 17% qui comportaient trois caractères ou moins, 15% qui en comportaient 4, 50% de mots de passe étant déchiffrables en moins de six minutes. Or, selon Gerard Peliks, "le niveau de sécurité d'un réseau se mesure à la force de résistance de son maillon le plus faible : à partir d'un compte utilisateur situé en périphérie d'un système d'information, un bon pirate pourra peu à peu remonter au compte de l'administrateur central". De quoi donner des inquiétudes sur l'état de protection des réseaux dans le monde.

Dans la plupart des cas, le mot de passe n'est heureusement pas la seule protection d'un réseau. Pour parvenir jusqu'à une machine, et pour tester sur elle quelques dizaines de milliers de mots de passe, il faut souvent déjouer la surveillance d'un Firewall. Il faut aussi parfois réussir à tromper la sonde de détection d'intrusion qui repère les tentatives à répétition. Mais selon Gerard Peliks, "lorsque l'ont sait que certains administrateurs se contentent du mot de passe par défaut de leurs serveurs, ce même mot de passe très simple qui figure dans la notice du logiciel, on peut douter que les firewalls bien configurés et les sondes de détection soient systématiquement utilisés. D'ailleurs, les firewalls sont à mon sens souvent inutiles, car la plupart des attaques réussies viennent de l'intérieur, ou bénéficient d'une complicité interne".

Conséquences graves
Si un pirate parvient à rentrer dans le compte administrateur du serveur central, tout le réseau lui appartient : "Tous les mots de passe du réseau sont stockés sur une machine, et il est relativement facile de les décrypter une fois qu'on y est entré. A partir de ce moment là, le pirate peut donc se connecter sur n'importe quel poste, et récupérer ou détruire les informations qui l'intéressent". Ce qui est arrivé à quelques fournisseurs de services internet dont les mots de passe ont été récupérés par dizaines de milliers par des pirates, et qui n'ont pas demandé à leurs abonnés de changer leurs comptes.