En matière de gestion des mots de passe, les bonnes pratiques stériles et les «conseils avisés » stupides sont légion. Et le plus dangereux d’entre eux consiste à interdire aux utilisateurs d’écrire leurs mots de passe sur un morceau de papier. Cet interdit entraîne deux conséquences. Dans un cas, les administrés respectent cette consigne et utilisent systématiquement le même sésame pour toutes les applications ou demandes d’accès, professionnelles comme privées. Il suffit qu’un seul de ces secrets soit percé pour que l’intégralité des droits de l’usager soient compromis, et avec lui, le contenu des ressources sur lesquelles l’intéressé avait un droit de regard. Dans l’autre cas, l’utilisateur écrit quand même son mot de passe sur un morceau de papier, en intégralité, et le conserve le plus souvent dans un endroit facile d’accès : sur le bord d’un écran, l’intérieur d’un tiroir, sous ou sur le clavier, noyé parmi les milles et une notes d’un sous-main en papier, sur un tapis de souris… chaque Ciso ou RSSI peut, à ce sujet, raconter des heures durant les histoires fabuleuses du mot de passe baladeur.
F-Secure, cette semaine, offre aux lecteurs de son blog un conseil judicieux. Conseil qui n’est jamais que l’adaptation d’une pratique déjà prônée par Bruce Schneier depuis plus de 10 ans (dans un numéro de Crypto-gram datant d’avant la création de Counterpane… c’est dire !). La méthode est simple, puisqu’elle consiste à attribuer un préfixe différent au mot de passe à chaque type d’accès et caractéristique de l’accès en question : AMA pour Amazon, ORA pour Oracle, MSN pour Messenger, TEC pour Technet et ainsi de suite, l’usager pouvant bien entendu combiner lettres majuscules et minuscules à sa convenance.
A la suite de ce préfixe, il suffit d’ajouter un numéro unique. Un chiffre au hasard ou une suite connue mais variée. Même les plus amnésiques n’auront cure de le retenir, puisque le but est de voir ce mot de passe écrit sur un papier collé en évidence près de l’ordinateur de travail ou conservé dans un fichier. Et là s’arrête la fabrication de la « partie publique » du mot de passe. Car la véritable clef devra être complétée par un « code PIN » secret, toujours identique, jamais écrit et connu du seul utilisateur. N3rD+ ! par exemple. Ou g33k**… bref, quelque chose de mnémotechnique, d’absent de tout bon dictionnaire d’attaque en brute force et de légèrement « complexe ». Ajouté en fin ou au milieu du mot de passe, cette sorte de « clef privée » achèvera la fabrication du mot de passe final.
Schneier, pour sa part, et dans des cas précis, ouvre une boîte de messagerie spécifique à chaque nouvelle création de crédence publique, dont l’adresse respecte plus ou moins la même logique. Ama.cnis-mag@gmail. Com pour un compte Amazon, par exemple. Cette précaution supplémentaire permet de détecter immédiatement, en cas de spam massif, l’origine de la fuite d’identité.
Cette méthode est très loin d’être parfaite. Le « cassage » du code PIN –surtout si la « partie publique » du mot de passe est affichée de manière évidente- est d’autant plus rapide que ledit PIN est court. Ce risque s’affaiblit considérablement si les mots de passe partiels sont stockés sur une clef USB attachée à un trousseau de clefs ou inscrits sur une feuille contenue dans un porte-carte. Instinctivement, l’on préserve en permanence des biens matériels tels que les clefs d’une automobile ou une série de carte de crédit.
Même si cette technique est loin d’arriver à la cheville des générateurs de mots de passe aléatoires « certifiés DoD », elle s’avère considérablement plus robuste que l’éternel nom d’un membre de la famille, d’un club de football ou de l’éternel « aaa », « AZERTYUIOP » ou « 123456 ». Rappelons également que Bruce Schneier –encore lui- est l’auteur de Password Safe (http://passwordsafe.sourceforge.net/)n, un utilitaire Open Source et gratuit, inviolable dans l’état actuel des connaissances en cryptologie et dont le rôle est précisément de stocker les mots de passe classés par application. Une dernière solution consiste à « faire confiance » à ces coffres forts de crédence que sont les composants TPM, à condition de savoir très exactement comment sauvegarder les éléments nécessaires à la récupération des secrets en cas de panne matérielle.