HaveIBeenPwned

Cachez-moi ce leak que je ne saurais voir.

Le site « HaveIBeenPwned » a fait pas mal de buzz ces derniers jours. Le principe est simple : renseignez votre adresse email, il vous dira si vous êtes présent parmi une des (nombreuses) fuites d’informations identifiantes que l’on a eues ces derniers temps (Adobe, Gawker, Sony…).

Je trouve ce genre d’outil très bon pour faire un peu de sensibilisation, s’il s’avère que le site trouve un compte à votre nom. Et même les plus paranoïaques peuvent se faire avoir!

Il semblerait qu’un compte m’appartenant a leaké chez Adobe. Je n’ai aucun souvenir de ce compte et il est tellement vieux que mon gestionnaire de mot de passe ne le connait pas. Je suis allé sur le site d’Adobe, ai tenté de me loguer en entrant un vieux pass que j’utilisais par défaut sur tous les sites que j’estimais peu sensibles : Bingo…
Par chance Adobe a eu la bonne idée de forcer un reset du mot de passe sur l’ensemble des comptes leakés, le mien en faisant partie, j’ai donc pu utiliser mon password manager pour générer quelque chose d’un tant soit peu solide.
Quitte à enfoncer une porte ouverte, ne faites pas comme j’ai pu faire dans le passer et éviter à tout prix d’utiliser un même mot de passe à différents endroits. Le site que vous estimez peu sensible aujourd’hui ne le sera peut-être plus demain.
Je suis également assez peu partisan des « méthodes maison pour générer un mot de passe » consistant à mélanger par exemple un noyau commun avec le nom du site (ou un dérivé). Ce genre d’astuces ont longtemps été conseillées pour faire des mots de passe à la fois uniques et faciles à retenir… du moins facile à retrouver. Voici quelques exemples en prenant gmail, facebook, et twitter :
— le très naïf : passwordgmail / passwordfacebook/passwordtwitter
— le presque malin : passwordgml / passwordfcbk/passwordtwttr
— le faux difficile : password714mg/ passwordk00b3c4f/ password53tt1wt

Le problème avec cette méthode est que, bien qu’elle soit efficace pour empêcher une tentative de réutilisation bête et méchante ou automatisée, elle ne devrait pas tenir bien longtemps face à un être humain prêt à passer 30 secondes pour décrypter votre précieux algorithme maison. Je suis sûr d’ailleurs que vous avez très vite trouvé les algorithmes sous-jacents à mes exemples. On peut bien sûr continuer de corser les choses, utiliser la position dans l’alphabet à la place de la lettre, ne prendre que quelques lettres à des positions bien précises, mais de manière générale je trouve que ces méthodes sont une illusion de sécurité.
En attendant un monde où nous pourrons enfin nous authentifier sans utiliser ces maudits mots de passe, j’ai deux conseils à donner :

1) Utilisez un gestionnaire de mot de passe, et utilisez-le pour absolument tout ce sur quoi vous vous connectez.

J’utilise personnellement Dashlane (un lien de parrainage, ça ne mange pas de pain :https://www.dashlane.com/fr/cs/3ba2769c), parce qu’ils sont français et donc soumis aux lois européennes. Mais dans l’absolu il y en a plein d’autres, connus et reconnus, qui feront parfaitement leur affaire, pêle-mêle je vous laisse googler lastpass, onepassword, keepass… J’ai tendance à préférer les versions synchronisées en ligne pour des raisons de confort. Les plus paranoïaques se limiteront au local avec keepass, de préférence en se limitant à la version auditée par l’ANSSI (c’est-à-dire la version 2.10 portable : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html).
Je reste confiant avec les produits en ligne, car ils avancent tous le même mécanisme de confidentialité : la clé de chiffrement, dérivée de votre mot de passe maître, n’est jamais stockée ni même envoyée sur leurs serveurs. Tout le travail de chiffrement et de déchiffrement se fait en local par l’intermédiaire de leur plug-in ou, sur la version web, de JavaScript. Maintenant, il est vrai que je ne me suis pas amusé à auditer les fameux outils pour vérifier leurs dires.
L’avantage de ce type d’outils et qu’il permet de générer très rapidement des mots de passe complexes à « craquer » (à savoir, aléatoire, avec des majuscules, chiffres et caractères spéciaux, et plus de 12 caractères) sans avoir ne jamais à les retenir ni même les taper, l’add-on se chargera de ça pour vous.

2) Pour les sites vraiment sensible, complétez si cela est possible par un deuxième facteur d’authentification

L’authentification « forte » (2 facteurs), autrefois réservée aux banques en ligne, commence à se généraliser sur les sites sensibles (Twitter, Gmail, même Facebook s’y met!). Vous avez beau avoir choisi un mot de passe impossible à retrouver (en un temps raisonnable) par une attaque par recherche exhaustive ou par dictionnaire, vous n’êtes pas à l’abri de le taper sur une machine infectée contenant un keylogger (outil malveillant « écoutant » tout ce qui est tapé sur le clavier dans l’espoir de reconnaitre des saisies de mot de passe pour ensuite les envoyer à son commanditaire)., ou sur un navigateur configuré pour retenir (en clair…) l’ensemble des mots de passe utilisés! C’est là que le token entre en jeu, votre mot de passe a beau être révélé, il est inutilisable sans l’ajout du mot de passe temporaire/à usage unique généré par votre précieux second facteur.

Le biométrique est quasi inexistant en dehors du passage de frontière et du monde de l’entreprise, ce que l’on retrouve le plus souvent est un token, qui prend la forme soit d’un petit porte-clé (type RSA SecureID), soit d’un logiciel (type Google Authenticator). Le premier est bien entendu le plus « inviolable », mais on à tendance à préférer, mois le premier, le pendant logiciel pour éviter d’avoir un trousseau de clés qui ne rentre plus dans la poche…

Ah oui, une dernière chose, tout gestionnaire de mot de passe digne de ce nom gère l’authentification forte, de la même manière, la quasi totalité des sites vous permettent de réinitialiser un mot de passe par le simple envoi d’un email. Si l’utilisation d’un token vous fait soupirer et que vous souhaitez le mettre sur le moins de comptes possible, mettez-les à minima sur ces deux-là.