PICSI

    La sécurité de la plupart des systèmes informatiques repose sur un login et un mot de passe. Les attaques les plus fréquentes sur ce type de mécanisme de sécurité sont les attaques par dictionnaire ou par force brute. Une attaque par dictionnaire prend à peine quelques heures alors qu'un mot de passe bien choisi selon les règles de l'art pourrait tenir bien plus longtemps. Dès lors une bonne politique de mise en oeuvre, de gestion, d'audit de mot de passe doit être impérative pour tout responsable d'entreprise et d'administrateurs réseaux afin d'assurer la sécurité des infrastructures et logicielles. Une politique de création de mots de passe n'émane pas d'une stratégie ex nihilo, elle fait partie de la politique générale de sécurité de l'entreprise. Le contenu d'une telle politique définit notamment quelle est la typologie de mots de passe autorisés, la longueur des mots de passe, les délais d'expiration, la technique de génération, l'occurrence d'utilisation des mots de passe, etc.. . La mise en oeuvre de cette politique passe d'abord par une phase de sensibilisation et d'explication de la stratégie choisie. Même si une telle polique est souvent initiée par le responsable réseau, pour réussir, elle doit avoir l'adhésion totale et la validation expresse des responsables de haut niveau de la structure concernée.


    Typiquement, un bon mot de passe consiste en une suite d'au moins 8 caractères. Composés d'au moins une lettre majuscule [A-Z], de lettres minuscules [a-z], d'au moins un caractère numérique[0-9], d'au moins un caractère spécial [@#$% ^&*;;?...]. L'usage de mots émanant du dictionnaire est à proscrire ansi que la répétition de login ou une partie du login dans le mot de passe. Sont aussi à proscrire l'usage de prenoms, noms de famille, dates d'anniversaire etc. Une bonne politique de sécurisation des accès par mot de passe consiste également en la définition d'un délais d'expiration du mot de passe. Il est par exemple possible de définir le renouvellement des mots de passe par période de 15, 30 ou 45 jours. Il est nécessaire d'associer à cela une règle qui permette si possible de ne pas rejouer le même mot de passe. L'idéal serait de pouvoir générer aléatoirement ces mots de passe. Une telle statégie cependant butte à la difficulté pour la mémoire humaine de retenir des élements alpha numériques générés aléatoirement sans moyen mnémotechnique. En effet, un tel scénario de génération de mots de passe peut produire un effet contraire à la politique de sécurité que l'on souhaite mettre en place dans l'enterprise: note du mot de passe sur un papier post it collé à un coin de table, écriture dans un carnet d'adresses etc., ce qui concoure à mener à bien des attaques par ingénierie sociale.


    Pour éviter ce type de bévue dans la mise en oeuvre d'une politique de sécurité de mot de passe, la technique mnémotechnique la plus couramment utilisée consiste à utiliser une phase dont on en extrait la suite alphanumérique qui servira de mot de passe.. A titre d'exemple la phrase ma Porche & ma Cadillac sont de 1974 permet de créer le mot de passe mP&mCsd74. Dans cet exemple, on utilise la première lettre de chaque mot pour constituer un mot de passe. D'autres méthodes plus élaborées peuvent être utilisées. Dans tous les cas elles doivent avoir pour objectif de générer un grand seuil de complexité par rapport à une attaque par force brute et l'impossiblité d'une attaque par dictionnaire.


    Une fois la politique de mot de passe adoptée, il s'agira ensuite de la décliner sous une forme opérationnelle à l'aide des outils appropriés pour chaque système. Par exemple, sous Linux, l'utilitaire courant passwd peut être remplacé par Npasswd afin de définir une granularité plus fine qui sied à la politique souhaitée. Des briques logicielles tels que les modules  PAM (Pluggable Authentication Modules) sur les systèmes Linux et Unix permettent de renforcer et de mener à bien des politiques de création de mot de passe . Il existe aussi sur les systèmes Windows des outils et des librairies permettant d'introduire des contraintes dans le choix des mots de passe. Un des derniers aspects de la mise en oeuvre de la politique de sécurité des mots de passe consiste à définir la fréquence des audits afin de s'assurer que la politique est bien respectée. Des outils tels que L0phtCrack , John the Ripperou Crack permettent de contrôler régulièrement la robustesse des mots de passe.