Par Roger Grimes, évangéliste de la défense fondée sur les données, KnowBe4

Un mot de passe parfaitement aléatoire de 12 caractères ou plus est imperméable à toutes les attaques connues de devinette et de craquage de mots de passe. Un mot de passe créé par un humain doit comporter 20 caractères ou plus pour bénéficier de la même protection. Les humains n’aiment pas créer ou utiliser des mots de passe très longs (et parfois aussi complexes), je recommande donc d’utiliser plutôt un programme de gestionnaire de mots de passe de confiance.

Une question fréquente est de savoir si les gestionnaires de mots de passe valent le risque de les utiliser.

La réponse, à mon avis, est oui. Je crois que l’augmentation des risques qu’une personne encourra en utilisant un gestionnaire de mots de passe est compensée par tous les avantages, qui réduisent et compensent largement les risques des inconvénients.

Examinons les risques et les avantages de l’utilisation d’un gestionnaire de mots de passe. On peut les résumer ainsi :

Inconvénients

• L’utilisateur doit obtenir et installer un gestionnaire de mots de passe

• L’utilisateur doit apprendre à utiliser un gestionnaire de mots de passe

• Il peut falloir plus de temps à un utilisateur pour créer ou saisir un mot de passe à l’aide d’un gestionnaire de mots de passe (mais ce n’est pas toujours vrai)

• Susceptible d’être attaqué

• Les gestionnaires de mots de passe ne fonctionnent pas avec tous les programmes ou appareils

• Si l’accès au gestionnaire de mots de passe ne peut pas être effectué (par exemple, corruption, perte d’accès à la connexion, etc.), l’utilisateur perd d’un coup tout accès à toutes les informations de connexion qu’il contient

• Si un attaquant compromet le gestionnaire de mots de passe, il peut éventuellement accéder à tous les mots de passe de l’utilisateur (et aux sites auxquels ils appartiennent) d’un coup

C’est le dernier problème qui représente, dans l’esprit de la plupart des utilisateurs concernés, le plus grand risque — un point de défaillance unique.

Avantages

• Crée et permet l’utilisation de mots de passe parfaitement aléatoires

• Crée et permet l’utilisation beaucoup plus simple de mots de passe différents pour chaque site et service

• Peut être utilisé pour empêcher le hameçonnage de mots de passe

• Peut être utilisé pour simuler certaines solutions MFA, de sorte que les utilisateurs n’aient pas besoin de programmes ou de jetons MFA distincts

• Peut être partagé entre appareils, afin que les mots de passe soient là où l’utilisateur doit les utiliser

• Les mots de passe peuvent être sauvegardés plus facilement et plus sûrement

• Tous les mots de passe peuvent être protégés par une exigence de connexion MFA au gestionnaire de mots de passe

• Peut avertir l’utilisateur de mots de passe compromis dont il n’avait autrement pas connaissance

• Avertira l’utilisateur des mots de passe identiques utilisés entre différents sites et services

• Peut être partagé avec une ou plusieurs personnes de confiance en cas de besoin, lorsque l’utilisateur d’origine est temporairement ou définitivement incapable ou indisponible

C’est un risque bien réel que le gestionnaire de mots de passe de quelqu’un soit compromis et que, de ce fait, tous les mots de passe de l’utilisateur pour tous les sites et services stockés soient volés très rapidement d’un coup. C’est un risque énorme qui doit être évalué et pondéré par les administrateurs ou les utilisateurs qui utilisent des gestionnaires de mots de passe.

Peser les risques

Voici, à mes yeux, les facteurs qui compensent ce risque. D’abord, pour compromettre le programme de gestionnaire de mots de passe d’un utilisateur, la plupart du temps, l’attaquant doit obtenir l’accès à l’appareil de l’utilisateur sur lequel le gestionnaire de mots de passe est en cours d’exécution et y accéder pendant qu’il est ouvert, ou manipuler sa configuration afin de pouvoir voler facilement tous les mots de passe. Si l’attaquant a accès à l’appareil de l’utilisateur, c’est déjà quasiment perdu. Le pirate (ou son programme malveillant) peut obtenir certains ou tous les mots de passe au moyen de diverses autres méthodes, y compris simplement les enregistrer au clavier pendant que l’utilisateur les saisit ou les utilise.

Il existe aussi des attaques qui tentent d’exploiter des vulnérabilités logicielles dans le programme de gestionnaire de mots de passe, mais tant que l’éditeur corrige rapidement les failles connues et que l’utilisateur applique rapidement ces correctifs (la plupart des gestionnaires de mots de passe se mettent à jour automatiquement), il s’agit d’un problème passager et relativement mineur. Parfois, les mots de passe de l’utilisateur sont également stockés dans le cloud du fournisseur du gestionnaire de mots de passe et, en cas de compromission, un attaquant peut accéder à tous les mots de passe qui y sont stockés. Là encore, c’est un risque, mais la plupart des fournisseurs de gestionnaires de mots de passe essaient de garder les « coffres-forts de mots de passe » de leurs clients dans une partie très sécurisée de leur réseau.

Donc, pour moi, le principal risque est qu’un attaquant accède à l’appareil d’un utilisateur, obtienne l’accès au gestionnaire de mots de passe, puis vole tous les mots de passe. C’est un risque réel. J’ai entendu parler de cas où cela s’est produit, mais pour l’instant, ce n’est pas une attaque très populaire. À l’avenir, si les gestionnaires de mots de passe deviennent très populaires et que tout le monde les utilise, cela pourrait devenir une attaque populaire. Mais même si c’était le cas, je pense que dès qu’un attaquant ou son malware a accès à l’ordinateur d’un utilisateur, c’est pratiquement déjà terminé. Il peut tout faire. Le fait qu’il ait décidé d’attaquer votre gestionnaire de mots de passe et de voler vos mots de passe n’est qu’un de vos gros problèmes.

Note : L’utilisation d’une MFA distincte résistante au phishing peut aider à éviter cette situation, ou l’utilisation de « clés séparées », où l’utilisateur doit saisir un secret fondé sur des connaissances qui n’est pas stocké dans le gestionnaire de mots de passe, peut être une solution possible.

Pourquoi tout le monde devrait utiliser un gestionnaire de mots de passe pour ses mots de passe

Malgré ce grand risque, je pense que tout le monde devrait utiliser un gestionnaire de mots de passe pour ses mots de passe (si une MFA résistante au phishing ne peut pas être utilisée). En effet, les deux plus grands risques pour les mots de passe (après le vol par ingénierie sociale) proviennent des mots de passe volés sur un site ou un service que l’utilisateur utilise et des mots de passe faibles qui peuvent être devinés et piratés. Selon le National Institute of Standards and Technology (NIST) et d’autres autorités en matière de mots de passe, le plus grand risque des mots de passe est leur réutilisation sur des sites Web et services sans lien entre eux et le fait que les utilisateurs créent des « modèles de mots de passe », que les pirates peuvent prévoir.

L’utilisateur moyen a quatre à sept mots de passe qu’il utilise sur plus de 170 sites et services. Cela fait beaucoup de mots de passe identiques utilisés là où ils ne devraient pas l’être. Le problème, c’est qu’une fois qu’un pirate compromet un ou quelques-uns de vos sites Web (ce dont vous n’êtes souvent même pas conscient), il obtient votre mot de passe et l’utilise ensuite sur vos autres sites et services. Une ou quelques compromissions entraînent très rapidement toute une série d’autres compromissions. C’est considéré comme le principal risque lié aux mots de passe après l’ingénierie sociale visant votre mot de passe. Et les gestionnaires de mots de passe éliminent ce risque.

Les gestionnaires de mots de passe aident les utilisateurs à créer et utiliser plus facilement des mots de passe différents, totalement sans rapport, pour chaque site et service. Lorsque vous utilisez un gestionnaire de mots de passe, vous ne connaissez peut-être même pas le mot de passe utilisé. Cela élimine l’un des plus grands risques liés aux mots de passe, et pour cela seul, les gestionnaires de mots de passe devraient être utilisés. Mais il y a plus.

Les gestionnaires de mots de passe créent des mots de passe parfaitement aléatoires. Un mot de passe parfaitement aléatoire de 12 caractères ou plus ne peut être ni deviné ni cassé par hachage par aucune méthode connue. Et ces mots de passe parfaitement aléatoires et sécurisés peuvent être différents pour chaque site Web et service.

L’ingénierie sociale est le plus grand risque

Le plus grand risque de n’importe quel mot de passe est que l’utilisateur se le fasse soutirer par ingénierie sociale. Le vol de mots de passe par ingénierie sociale intervient dans environ la moitié de toutes les attaques réussies contre les mots de passe. La plupart des gestionnaires de mots de passe vous permettent de vous connecter à votre site ou service depuis le gestionnaire lui-même, et le gestionnaire de mots de passe ne vous conduira qu’au véritable site ou service légitime. Cela empêche le type le plus courant d’attaque d’ingénierie sociale sur les mots de passe, où l’attaquant vous envoie un e-mail d’ingénierie sociale contenant un lien URL frauduleux, qui tente de vous piéger afin que vous révéliez vos identifiants légitimes à un faux site Web trompeur.

Ainsi, pour résumer les avantages des gestionnaires de mots de passe, ils atténuent les plus grandes attaques contre les mots de passe (par exemple, l’ingénierie sociale, la devinette/le craquage et la réutilisation). Tout expert en mots de passe vous dira que ces trois types d’attaques constituent la majorité des risques liés aux mots de passe. Et pour cette raison, tout le monde devrait utiliser un gestionnaire de mots de passe, ou du moins le mettre sérieusement en balance avec le grand risque d’un point de défaillance unique.

C’est à vous de décider si vous placez votre confiance, ou celle de vos utilisateurs, dans un gestionnaire de mots de passe. Essayez d’abord de les faire passer à une MFA résistante au phishing, si vous le pouvez. Mais si le site ou le service ne fonctionne pas avec une MFA résistante au phishing, envisagez d’utiliser un gestionnaire de mots de passe. Ils sont de plus en plus recommandés chaque jour par un nombre croissant d’experts en mots de passe.