mercredi 7 octobre 2009

Pourquoi la sécurité ne va pas s'améliorer

Il n'a échappé à personne que 10,000 mots de passe Hotmail ont été "aperçus" sur le site pastebin.com. Pour ceux qui ne connaissent pas, PasteBin est un site gratuit et anonyme permettant d'échanger rapidement des données textuelles entre amis et avec le monde entier par la même occasion. Ce qui est l'occasion de voir parfois à quel point les gens sont confiants ...

L'origine de cette divulgation est probablement liée à une campagne de phishing.
Comme à chaque fois qu'une base importante de mots de passe est perdue, c'est l'occasion d'enrichir ses connaissances sur les pratiques des utilisateurs confrontés au problème crucial du choix d'un mot de passe.

Malheureusement, dans le cas de Hotmail comme dans tous les cas antérieurs (ex. phpbb.com), le mot de passe le plus courant est ... "123456".

Qu'est-ce que cela m'inspire ? Qu'après avoir lutté pendant des années pour mettre en place des politiques de robustesse sur les mots de passe dans les entreprises (c'est même une recommandation forte ou une exigence dans la plupart des normes et standards comme PCI/DSS ou ISO 2700x), le Web 2.0 nous fait revenir 20 ans en arrière.

La différence, c'est que le Web 2.0 a des clients là où les entreprises ont des utilisateurs. Et même si les utilisateurs sont (parfois) pénibles, on peut les contraindre à obéir. Alors que le client est roi ...

La situation est même pire que cela, puisque les clients du Web 2.0 sont les annonceurs. L'utilisateur, lui, ne paie rien et ne s'engage à rien (les contrats transnationaux signés par un simple clic sur "oui, j'accepte" n'ayant probablement aucune valeur légale). Il est donc essentiel de choyer l'utilisateur pour qu'il n'aille pas voir ailleurs. Et dans ce domaine, imposer des mots de passe complexes est tout sauf user-friendly.

Dans le Web 2.0, c'est le marketing qui arbitre sur les exigences de sécurité. Les informaticiens ayant une activité professionnelle à forte composante technique, qui se sont retrouvés rattachés du jour au lendemain à une direction marketing (j'en connais beaucoup), apprécieront l'impact potentiel ...

Quelques-uns, comme MySpace, imposent une relative complexité sur le mot de passe (lettres ET chiffres). Résultat: le mot de passe le plus commun sur ce site est ... "password1" (on notera au passage que les "gens normaux" commencent à compter à partir de 1, et non 0 comme tout informaticien qui se respecte :).

Est-ce que cela impacte les entreprises d'une manière ou d'une autre ? Je ne vais pas me lancer dans des débats sur l'informatique nébuleuse (Cloud Computing) ou la dépendance cachée à GMail ...

Mais quand on voit le nombre de sites institutionnels qui utilisent Google Analytics, sans que la politique sécurité de l'entreprise ne soit applicable au mot de passe choisi ... le fait que la majorité des gens réutilisent le même mot de passe partout ... et la dépendance chainée entre les différents services 2.0 par le biais de la réinitialisation de mot de passe (comme dans le cas emblématique de Twitter) ... je suis quand même vaguement inquiet, et pas du tout confiant dans le fait que les choses vont s'améliorer !

17 commentaires:

Guillaume a dit…

Tout à fait d'accord, rien d'autre à dire !

Geoffrey a dit…

J'ai une autre explication pour le 1 du mot de passe, c'est aussi le premier chiffre sur la ligne des touches de chiffres sur un clavier...

flashpoint a dit…

Est-ce que le fait que le mot de passe le plus utilisé soit "123456" signifie que les gens "normaux" (ie pas ceux qui lisent ce blog) l'utilise pour protéger leur boite mail officielle ? Je pense que non.
Combien de fois m'est-il arrivé de créer une boite mail avec un password bidon, pour ne l'utiliser qu'une seule fois ? "Tiens, j'ai bien envie de poster un truc à la con sur ce forum, mais pas question de donner ma vraie adresse". Hop ! une boite poubelle (en plus, ça prend de la place sur les serveurs de M$, ça leur fera la b*te). Qui donne sa vraie adresse pour télécharger un boulard sur un site qui la demande ?

Attention, je ne dis pas que c'est le cas pour toutes les boites mail dont le passwd a été révélé sur pastebin. Je dis seulement que parfois, même des gens qui pensent sécurité ont des mots de passe débiles (moi y compris), parcequ'ils s'en tapent de se faire latter ladite boite mail.

Après, que la sécurité ne va pas s'améliorer, je suis complètement d'accord... mais pas forcément pour la raison évoquée :-)

Anonyme a dit…

Top 20 most common passwords:

1. 123456 - 64
2. 123456789 - 18

64 c'est le pourcentage ou le nombre d'occurence? A priori ca a pas l'air d'etre le pourcentage.

newsoft a dit…

@Anonyme: nombre d'occurences.

Si 64% des mots de passe dans le monde étaient "123456", le "Big One" se serait déjà produit :)

Anonyme a dit…

vive la sécurité informatique!

SiLiUS a dit…

encore pire que le rattachement au marketing : parmi mes clients, j'ai deux entreprises où c'est le directeur artistique qui impose ses volontés au DSI. Ok c'est dans un domaine artistique voir "mode" mais quand le directeur artistique ne veut plus de proxy avec antivirus/analyse protocolaire/... "parce que ca le fait chier" ou qu'il ne veut pas de filtrage entre les boutiques à travers le monde "parce que ca sert à rien et ca va rendre tout compliqué"... bah moi je pleure, le laisse le DSI ne rien faire et j'attends qu'ils se fassent déchirer leur SI. Mais là, ce sera de notre faute puisque nous sommes censé sécuriser son bignou.
Et après, toi le prestataire, fournisseur, auditeur, ... vas faire chier ton client avec de la sécurité et perd ton contrat. Donc on en vient à faire de la sécu sans le dire ;-), en se cachant (comme du piratage en fait ;) ) mais c'est chiant :-/ (Bon la majorité des clients on arrive à bien les dresser et ils comprennent quand même !)

Yann C. a dit…

Pour citer un big boss de ma boite : "La sécurité nous coute plus chère que notre cotisation annuelle d'assurance, alors à choisir, comme la seconde est obligatoire..."

...je ne fais que citer...

Anonyme a dit…

L'échantillon choisi n'est pas représentatif. Si les gens se sont fait avoir par phishing on peut légitimement penser qu'ils font majoritairement partie des utilisateurs non sensibilisés à la sécurité. Et donc qu'ils utilisent un mot de passe faible est cohérent mais n'est pas représentatif de l'ensemble des utilisateurs.

Julien

Anonyme a dit…

Les mots de passes sont un échec, de toute façon.

Je me souviens avoir lu le compte rendu d'un certain N.R. au sstic (vous le connaissez peut-être?) qui signalait bien que la force des mots de passe, c'est secondaire. La majorité des attaques ne se basent pas sur du bruteforce, mais sur l'envoi soit du hash, soit de l'info souhaitée, soit de la connexion de la victime.

C'est un peu la même chose avec le https. C'est du solide, on peut même mettre des algos comme AES avec pleins de bits, mais au final, le gugus, il va cliquer sur http://mabanque.fr.ailleurs.tw/ au lieu de https://mabanque.fr/ alors bah, la force du mot de passe, hein, c'est vraiment secondaire.

D'ailleurs j'utilise 123456 de partout, ça m'évite de m'encombrer la mémoire.

(faut prendre ce message au second degré, hein, l'ironie passe mal par écrit ;) )

playjudoboy a dit…

Je pense que le vrai problème est que bcp d'utilisateur:
- s'en foutent de protéger leur boîte mel car ils "n'ont à cacher"
- ne se rendent pas compte du risque de mettre des mots de passe faible...

=> la première chose à faire est de sensibiliser l'utilisateur.

+++

Sid a dit…

@playjudoby: yapuka...

Anonyme a dit…

HAHA! PDFail once again!
http://www.adobe.com/support/security/bulletins/apsb09-15.html

"Adobe categorizes this as a critical update."

Usagi a dit…

Ce qui m'interpèle quelque part c'est l'état d'esprit que ça laisse entrevoir de la part des utilisateurs / webparticipateurs / mets-ici-le-qualificatif-dépréciatif-que-tu-préfères.

Anéfé, choisir des mots de passe à ce point faibles (nous sommes plutôt ici en présence de null MdP si vous me passez l'expression) traduit une attitude vis-à-vis d'Internet parfaitement aberrante.

On dit que quatre foyers sur cinq sont aujourd'hui connectés au net. C'est un truisme que d'annoncer qu'Internet n'est pas un élément annexe de la vie de nos concitoyens ; c'est une part substantielle de cette dernière. Le comportement que nous observons de la part de nos utilisateurs, transposé dans le monde "réel" équivaudrait à avoir une porte en carton pour fermer leur baraque ou laisser pendouiller sa CB à l'extérieur de sa poche, de gueuler ce qu'on a à dire à son voisin (sa maîtresse, son maître-chanteur favori) histoire que tous le voisinage en profite, etc. Comportement assez peu fréquent dans la vie "réelle", n'est-ce pas?

Quelqu'un pourrait m'expliquer ce décalage, je n'y comprends rien. C'est du "ça n'arrive qu'aux autres" ? du "chu-un-honnête-citoyen-qu'a-rien-à-cacher" dixit playjudoboy ?

Qu'on ne me sorte pas l'excuse générationnelle, les djeuns sont pas plus affutés que les autres (même s'ils s'énervent autours d'HADOPI et consorts)?

A quand la convergence des comportements entre le "réel" et le "virtuel" ?

Peck a dit…

La sécurité est un échec, mais faut-il s'en prendre à l'utilisateur lambda ?

Qu'est-ce que j'en ai a b*** que mon frigo soit sécurisé par un mot de passe à 20 caractères si je ne suis pas capable de l'ouvrir par la suite. On ne parle que de la sensibilisation des utilisateurs, mais l'échec n'est-il pas de n'avoir pas su sensibiliser les acteurs de la sécurité aux problèmes d'accessibilité, aux limites de l'être humain ?

newsoft a dit…

@Peck: je suis bien d'accord que les systèmes grand public devraient être "secure by design" et "idiot proof".

Malheureusement ça n'est pas la direction que l'informatique a prise il y a 30 ans ... rappelons que l'informatique personnelle est née dans un garage, de père geek et de mère inconnue.

Anonyme a dit…

J'ai bossé sur le site web d'un client (avec des données sensibles derrière, hein)
Sur la page d'accueil :
- champ e-mail (pour le login)
- champ password
- sous le champ password, la phrase : "votre mot de passe correspond aux 4 premières lettres de votre nom"...

Et bien sûr, l'utilisateur ne peut pas changer de mot de passe, dans la base il n'y a même pas le champ password...

Je ne peux pas donner l'URL, mais je viens de vérifier et c'est toujours comme ça, ça doit faire 4/5ans déjà.