Mots de passe : la rotation est-elle encore une solution ?

« La question n’est pas de savoir s’il faut les faire tourner. Il faut les supprimer ! »
Réponse catégorique d’Alain Bouillé, délégué général du Cesin (Club des experts de la sécurité de l’information et du numérique). Nous venions de l’interroger à propos de la rotation des mots de passe. En toile de fond, l’actualisation, à l’automne 2022, des recommandations de la CNIL.

Parmi elles : « Les responsables de traitement ne devraient plus imposer une modification périodique des mots de passe à l’ensemble de leurs utilisateurs », exception faite des comptes d’administration.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) ne fait, au contraire, pas d’exception dans ses recommandations relatives à l’authentification multifacteur et aux mots de passe (dernière mise à jour : octobre 2021). Non sans reconnaître qu’un renouvellement trop fréquent « pourrait inciter les utilisateurs à noter leurs mots de passe sur une feuille, qui ne sera pas nécessairement conservée en lieu sûr. »

Aux États-Unis, le NIST (National Institute of Standards and Technology) ne donne pas les mêmes consignes. Depuis 2017, ses lignes directrices sur les identités numériques conseillent de ne pas imposer de renouvellement périodique. Et de se concentrer plutôt sur des éléments tels que la résistance aux attaques par dictionnaire. Washington les a reprises l’an dernier dans sa stratégie zero trust fédérale, en plus de déconseiller l’usage obligatoire de caractères spéciaux.

Penser d’abord au MFA…

Vétéran de la maison ESET, Benoît Grunemwald voit d’un bon œil la position de la CNIL. Son constat : les renouvellements engendrent, au fil du temps, des mots de passe plus faibles, en tout cas si l’utilisateur en a la charge. Il établit un parallèle avec le phénomène de la « fatigue MFA », exploitée dans le cadre d’attaques : à force de recevoir des SMS de validation, « vous cédez et vous cliquez ».

Même perplexité chez Stéphane Gilliers, de Barracuda Networks : « Souvent, les gens ne changent qu’un caractère. » Sans opposer un non ferme à la pratique, il invite à la rendre non nécessaire en privilégiant la robustesse des mots de passe et l’activation de la vérification en deux étapes.

Cette dernière est au cœur du discours d’Alain Bouillé. « Il y a dix ans, l’authentification forte [était] coûteuse à déployer et à entretenir », admet-il en évoquant sa propre expérience sur SecurID à la Caisse des dépôts. Aujourd’hui, on a des solutions extrêmement peu onéreuses ». Et de donner l’exemple des banques : « Quand elles ont mis en place leur système, ça leur a coûté en développement, mais pas en matériel, puisque cela repose sur votre téléphone. »

Les parcs applicatifs, du temps où on les développait en interne, auraient pu être architecturés afin qu’un seul mot de passe – par exemple celui de l’Active Directory – soit nécessaire, analyse le délégué général du Cesin. Il n’en a pas forcément été ainsi « et on a inventé les LastPass, les KeePass… ». Des gestionnaires de mots de passe que l’intéressé qualifie de cache-misère, au même titre que le SSO.

Benoît Grunemwald est moins affirmatif à ce sujet – notons qu’ESET propose un tel outil. Mais dans son raisonnement, il ne s’agit pas tant de renouveler tous les mots de passe que ceux qui ont filtré. « Tout gestionnaire de mots de passe qui se respecte a un connecteur et/ou une recherche de comptes leakés », déclare-t-il en donnant l’exemple de l’implémentation que Mozilla en a faite, à partir de la base Have I Been Pwned?, dans son navigateur Firefox.

… puis envisager le « sans mot de passe »

Reflet de l’activité de son entreprise, Thomas Manierre, Regional Sales Director de BeyondTrust Europe du Sud, intègre une autre technologie dans l’équation : le PAM (gestion des accès à privilèges).

« Un des principes est de cacher les authentifiants à l’utilisateur. Même un admin ne connaîtra pas son login ni son mot de passe : on les injecte à sa place. » Et la rotation peut se faire automatiquement, tout en évitant le syndrome de la « feuille Excel » confiée au help desk – ou le stockage de mots de passe stockés dans des lieux inappropriés tels que les dépôts de code ou les canaux de discussion.

Pour les accès à moindres privilèges, il y a les annuaires, poursuit Thomas Manierre. Et d’ajouter que « sur les OS Microsoft et Mac, il existe des outils pour vous forcer à changer vos mots de passe régulièrement. » Tant qu’à faire, on optera plutôt pour des phrases de passe, « avec des subtilités, en fonction d’un contexte qui vous est propre »… et sans les réutiliser entre services.

Ce dernier élément fait partie des mesures d’hygiène de base en sécurité informatique. L’ANSSI l’applique aussi à l’exercice de la rotation : elle recommande d’« interdire la réutilisation d’un mot de passe parmi les x derniers […] déjà utilisés ». L’agence ne fait, en revanche, pas de distinction de traitement pour les comptes de service. Ni pour les technologies d’exploitation (Operational Technology), où le renouvellement des mots de passe et plus globalement des secrets peut s’avérer plus complexe, voire impossible.

Quant à envisager un monde sans mots de passe, l’horizon est lointain, laisse entendre Benoît Grunemwald : « Ce sont autant d’applications dont il va falloir modifier le code. On est sur une pyramide. Google, SAP, Salesforce, Microsoft, etc. donnent l’impulsion. Par capillarité, des éditeurs plus modestes suivront. »

En attendant, le MFA est-il la meilleure piste ? Alain Bouillé s’en fait décidément l’avocat. Dans son argumentaire, il y a le cloud. « Hier, les applications étaient bien au chaud dans le SI de l’entreprise. Si vous mettiez en place de l’authentification forte, c’était vraiment parce qu’il y avait une valeur. Aujourd’hui, 80 % des systèmes utilisés dans les entreprises sont sur le web. Laisser des utilisateurs y accéder avec un mot de passe statique, même renouvelé tous les deux jours, c’est un crime contre la sécurité. » Et de conclure : « Il y a une règle simple : quand on le lui demande gentiment, en général, l’utilisateur vous donne son mot de passe. Alors qu’il ne va pas vous envoyer son smartphone par la poste… »