Nous avions déjà survolé quelques outils dans cet article, mais nous avons trouvé opportun de revenir sur le sujet, car peut-être est-ce pour vous le moment parfait de faire un grand nettoyage de printemps pour en finir une fois pour toute avec les fléaux que sont la réutilisation de mots de passe et le choix de mots de passe prédictibles.
Qu'est-ce qu'un bon mot de passe ?
Un mot de passe, c'est ce que l'on considère comme un secret. La base d'un secret, c'est qu'on ne doit pas le partager, et qu'un tiers ne puisse le deviner. Or, en pratique, pour les besoins d'une organisation, on peut avoir besoin de partager certains mots de passe.
Rappelons que si un mot de passe est un secret, ce dernier ne peut être porté au milieu de la figure ou déposé sur tout ce que l'on touche, ça, c'est ce que l'on appelle communément la biométrie. La biométrie n'est pas un secret qui est ce que l'on sait, mais un attribut de la personne, ici une empreinte digitale ou rétinienne. Hors un secret bien gardé offre de meilleures garanties que la biométrie.
Size matters
En effet, principalement la taille compte ! Mieux vaut choisir des phrases relativement longues, idéalement pas des citations exactes ou faciles à deviner... Vous seriez étonnés de savoir tout ce que l'on arrive à déduire en aspirant la page Facebook d'une cible et en constituant un dictionnaire à partir de cette page.
Pour prévenir ce type de désagrément (et globalement des attaques par force brute ou des attaques plus ciblées), on estime actuellement qu'il faut 11 caractères pour atteindre un niveau de confidentialité satisfaisant.
Ça, c'est la théorie. Dans les faits, la menace ne vient pas que de nos mauvaises pratiques, elle peut aussi venir des services qui stockent nos mots de passe. Et vous pouvez avoir le meilleur mot de passe du monde, si le service sur lequel il est utilisé est faillible (comme Lastpass) et qu'il a la mauvaise idée de stocker vos informations personnelles et vos secrets en clair, ils feront tôt ou tard le bonheur de tiers mal intentionnés.
La bonne pratique est donc de chiffrer. Et en matière de chiffrement, il y a des algorithmes et des suites de chiffres considérées comme plus ou moins fiables.
Si vous en avez la possibilité, il est même recommandé d'en utiliser plusieurs en cascade pour éviter de placer toute vos oeufs dans le même panier. C'est l'approche que propose Veracrypt (feu TrueCrypt), qui a le bon goût de pouvoir vous éviter aussi le fameux exploit par bruteforcing à la batte de baseball (par cloaking de volumes chiffrés avec des chiffrements différents).
Passwords are the go-to way for providing authentication in many applications.
— Seasoned Cyber Security Professionals (@scspcommunity) January 1, 2020
Assess how strong your password is by looking at the chart below.#SCSPCommunity #InfoSec #CyberSecurity #cyberthreats #dataprivacy #protection #passwords #bruteforcing #security #informationsecurity pic.twitter.com/fXsHJqMhje
Partager un secret
Evidemment, il est assez impensable d'utiliser plusieurs fois le même mot de passe pour différents services, et à chaque fois que vous écrivez un mot de passe sur post-it, un ours polaire meurt. De plus, on voudra souvent partager certains de ses mots de passe (équipe de travail, association, famille, amis, ...).
On va le répéter : le partage d'un secret est une hérésie, si vous pouvez faire autrement, faites autrement. Si ce n'est pas déjà fait, nous vous invitons à vous pencher sur le ZeroTrust. Avec une approche One device / One secret / One user, on aura de fait un respect de la notion de confidentialité persistante, et c'est globalement ce que l'on souhaite.
Enfin, on ne rappellera jamais assez que la sécurité de vos terminaux est un prérequis, car même si votre passphrase est aussi longue que le bottin téléphonique, elle ne servira pas à grand chose si votre machine embarque un keylogger.
Dans le cas qui nous anime aujourd'hui, nous souhaitons donc :
- un moyen de générer/centraliser/chiffrer ses mots de passe
- un moyen de partager ses mots de passe, ce qui va nous amener à ajouter une couche de secret (un vrai, non partagé) pour accéder à un "secret" que l'on souhaite, lui, partagé.
Sécuriser ses mots de passe
L'idée est plutôt simple : le post-it, c'est mal, mais quid d'un post-it chiffré ?
Et tous les problèmes sont résolus :
on choisit une passphrase unique et répondant aux critères de sécurité que l'on s'est fixé
on génère automatiquement des mots de passe et l'on ajoute un tuple Id / Password / URL à notre post-it chiffré.
on a le choix pour le partage : partage de la passphrase, partage de la clef de chiffrement, utilisation de la clef publique du destinataire.
Quel(s) outil(s) ?
Plusieurs outils répondraient à ces prérequis. Du simple script faisant appel à PGP aux services en ligne demandant un acte de foi assez monumental (Un tiers de confiance pour vos mots de passe, c'est ... osé), le choix est large. Par ailleurs, ce qui nous anime aujourd'hui, c'est de faire la même chose de manière plus sécurisée et sans avoir à faire confiance à un tiers de confiance, souvent américain et soumis au Cloud Act.
KeePassXC est une réponse simple que nous allons agrémenter d'une pincée de PGP pour le rendre parfait dans notre exercice de partage de secret. Son utilisation est simple (on créé une DB, choisi un mot de passe ou un fichier clef, on y ajoute des entrées), il est disponible sur votre distribution GNU/Linux préférée (https://packages.debian.org/buster/keepassxc), Mac et l'autre truc. Cerise sur le gâteau, vous trouverez une extension pour l'intégrer à votre navigateur favori (https://addons.mozilla.org/en-US/firefox/addon/keepassxc-browser/).
La base de mots de passe étant vouée à évoluer (ajouts, retraits, MISES À JOUR DE SES MOTS DE PASSES ! …), on partage le fichier .kdbx avec l'équipe : nous utilisons Seafile (https://www.seafile.com), mais le fichier étant chiffré, vous pouvez tout autant le mettre sur Google Drive et dormir tranquillement le soir.
Enfin, on transmet le mot de passe ou le fichier clef, chiffré via PGP ou via un canal sécurisé. Chaque personne y ayant ainsi accès peut maintenant accéder aux mots de passe et les modifier si besoin (politique de renouvellement, accès frauduleux à un compte, ...). C'est hérétique, mais ça marche avec un niveau de sécurité très acceptable.
