AVIS D’EXPERT – Matthieu Jouzel, Solutions Engineer chez BeyondTrust, propose aux lecteur de Solutions-Numériques une série d’avis d’expert sur les attaques de mots de passe. Voici la quatrième* d’entre elles.
Un mot de passe est une chaîne de caractères, un secret permettant d’authentifier l’utilisateur autorisé d’une ressource. Généralement, les mots de passe sont combinés à un nom d’utilisateur ou tout autre mécanisme d’identification. Ces identifiants sont le vecteur de la plupart des compromissions. Forrester Research estime d’ailleurs qu’environ 80% des compromissions procèdent de la compromission d’identifiants privilégiés. Ainsi, le hacker qui prend le contrôle d’un compte donnant accès à des privilèges peut aisément contourner d’autres contrôles de sécurité, progresser de façon latérale et obtenir d’autres mots de passe. D’où l’importance toute particulière de protéger les identifiants hautement privilégiés.
Alors quelles sont les stratégies de défense recommandées pour se protéger du piratage de mots de passe ?
-
Lire aussi...L'article de la semaine
Préférer des gestionnaires et des coffres-forts de mots de passe aux humains
Il est recommandé d’automatiser la gestion des mots de passe à chaque fois que possible. Il faut éviter d’embarquer des mots de passe dans du code et de les conserver dans des tableurs, documents Word, ou sur papier. Les gestionnaires de mots de passe appliquent systématiquement les meilleures pratiques de sécurité. Ils peuvent injecter automatiquement les identifiants en vault au démarrage d’une session. Pour plus de sécurité, l’utilisateur, un sous-traitant par exemple, ne peut alors pas lire le mot de passe. Il existe des gestionnaires de mots de passe personnels et privilégiés (également appelés solutions Enterprise Password Management). Ces solutions d’entreprise sont intégrées aux plateformes PAM (Privileged Access Management) et elles sont hautement préconisées pour adopter une posture de sécurité zéro trust. Elles permettent aussi d’automatiser des workflows de sécurité, comme la rotation automatique de mot de passe dès qu’un risque de compromission est suspecté.
-
Découvrir et intégrer tous les mots de passe
Avant de pouvoir centraliser la gestion des mots de passe, tous doivent être découverts et intégrés (mots de passe humains, machines, applications, employés, sous-traitants, etc.).
-
Créer des mots de passe aléatoires et longs
Plus les mots de passe sont robustes, plus ils résistent aux tentatives de piratage. Idéalement, un mot de passe se compose d’au moins huit caractères avec des majuscules et des minuscules, des chiffres et des symboles. Mieux vaut éviter les mots du dictionnaire, les noms/prénoms et les expressions lisibles. Plus un compte est sensible, plus le mot de passe doit être long et robuste. La publication 800-63 du US National Institute of Standards and Technology (NIST), Digital Identity Guidelines, recommande de générer des mots de passe de 64 caractères maximum, espaces compris.
-
Chiffrer les mots de passe
Le chiffrement apporte une couche de protection supplémentaire en cas de vol de mots de passe. Mieux vaut appliquer un chiffrement de bout en bout irréversible. Ainsi les mots de passe transitant par le réseau sont sécurisés.
-
N’utiliser que des mots de passe uniques
Cette pratique simple fait que si l’un des comptes est piraté, les autres comptes restent protégés.
-
Appliquer l’usage à durée limitée et la rotation des mots de passe
Les pratiques divergent selon que les mots de passe sont personnels ou standards ou qu’il s’agit de comptes privilégiés. Le NIST recommande de ne pas changer les mots de passe personnels sauf en cas de compromission possible. Par contre, il convient de changer régulièrement (faire tourner) les mots de passe privilégiés. Et pour les comptes privilégiés les plus sensibles, mieux vaut opter pour les mots de passe à usage unique ou les secrets dynamiques, qui expirent après usage.
-
Instaurer l’authentification multifactorielle
L’authentification simple (identifiant/mot de passe) ne suffit pas pour les comptes sensibles et les accès à distance/de fournisseurs. Pour plus de protection et la garantie que l’utilisateur est bien qui il prétend être, l’authentification multifactorielle ou MFA (Multi-Factor Authentication), biométrique ou autre, empêche l’utilisation de mots de passe piratés ou devinés.
-
Supprimer les mots de passe après le départ d’un salarié ou d’un prestataire
Il n’est pas rare que d’anciens salariés essayent de se connecter aux systèmes de leur ancienne entreprise. Pour que cela soit impossible, il est essentiel de penser à désactiver les autorisations d’accès et à changer les mots de passe à chaque départ. L’entreprise se protège ainsi de possibles attaques d’anciens salariés mais aussi de hackers qui pourraient vouloir se servir de comptes et identifiants orphelins.
La sécurité des identités en entreprise dépend du respect systématique des meilleures pratiques de sécurité des mots de passe. Pour une approche de gestion des risques, les entreprises doivent donner la priorité aux identités les plus stratégiques d’abord, ce qui suppose de connaître l’ensemble des identités et des identifiants privilégiés. En scannant régulièrement l’environnement à la recherche des comptes privilégiés, on peut identifier les risques, prendre des mesures, éliminer les vulnérabilités liées aux privilèges et renforcer la sécurité des identités dans l’entreprise pour mieux protéger l’environnement des attaques de détournement de compte, des tentatives d’élévation de privilèges, du risque de progression latérale et d’autres types de menaces.
*Lire les trois premières tribunes
Les 5 méthodes courantes d’attaque de mot de passe
Décryptage : les attaques ciblées par ingénierie sociale
Les attaques de hachage, explications (solutions-numeriques.com)
