Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les mots de passe ont encore de beaux jours devant eux

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Les mots de passe ont encore de beaux jours devant eux

Le sixième petit-déjeuner organisé par SecurityVibes était l’occasion de faire le point sur les nombreuses techniques d’authentification forte disponibles aujourd’hui : outre les inévitables certificats ou jetons OTP, des approches un peu plus exotiques telles que la bataille navale, l’OTP dit « soft » ou les jetons SMS envahissent en effet le marché. Et l’on se dit alors fort naïvement qu’avec une telle offre à leur portée, les responsables de la sécurité vont certainement faire table rase de leurs vieux mots de passe faibles !

Et bien non ! Entre budgets raccourcis, solutions exotiques pas toujours satisfaisantes et contraintes métiers, le « mauvais vieux » mot de passe semble avoir encore de beaux jours devant lui !

C’est Cyril Haziza, RSSI au ministère de l’Économie, des Finances et de l’Industrie qui lançait le débat avec une solide présentation : onze solutions d’authentification forte passées au crible dans le cadre d’un projet interne. Dans son cas c’est le certificat cryptographique logiciel qui sera retenu, mais ses réflexions au sujet des solutions écartées sont tout aussi précieuses, sinon plus, que son choix final !

Sur onze solutions, huit sont recalées d’emblée :

 

  • Parce que leur support Linux pose un souci (il est inexistant ou trop lourd, ou bien la version Linux manque de cohérence avec celle pour Windows)
  • Parce que la solution n’est maintenue que par un petit éditeur jugé peu pérenne (dépendance trop forte à un seul gros client par exemple)
  • Parce que la solution est trop contraignante (trop adhérente au poste de travail, trop gourmande en ressources – par exemple une grille de bataille navale à faire imprimer par plusieurs milliers d’utilisateurs, au prix d’une surcharge des imprimantes locales)
  • Parce que le coût de remplacement des supports perdus est jugé trop élevé (la perte pouvant représenter jusqu’à 10% par an du coût initial de la solution)
  • Parce qu’il s’agit d’une solution sur téléphone mobile : il n’est pas réaliste d’obliger plusieurs dizaines de milliers de collaborateurs à avoir un téléphone mobile personnel et / ou de l’utiliser dans ce cadre professionnel

Dans la salle, les membres de SecurityVibes semblent approuver : trop de petites solutions sur le marché, trop de contraintes au déploiement, trop d’applications métier ancestrales non supportées. D’ailleurs la majorité de leurs applications métiers reposent encore sur le couple login / mot de passe. Changer tout ça ? Ils aimeraient bien, mais outre les contraintes techniques, le support de la Direction fait souvent défaut : « Il n’y a déjà pas de budget pour le reste, alors il ne faut pas espérer remplacer les mots de passe par autre chose tant qu’il n’y aura pas un incident« , avoue un participant.

Face à ce problème le salut du RSSI pourra toutefois peut-être venir de l’analyse de risque : « cela permet de répondre à la Direction et aux métiers avec de vrais arguments chiffrés« , explique Cyril Haziza. Attention cependant à ne pas considérer l’analyse de risque comme la solution miracle : pour certains membres qui sont pourtant passés par là, rien n’a changé… « c’est devenu un risque subit, plutôt qu’accepté« , confie ainsi un participant.

Et puis l’analyse de risque, si elle convaincra peut-être la Direction, ne sera pas toujours suffisante : comme souvent l’implication des métiers est un facteur-clé de la réussite du projet. Certains ont alors adopté une stratégie originale et payante – dans tous les sens du terme ! « Nous louons à notre force commerciale un outil de SSO avec de l’authentification forte. Nous leur avons demandé combien ils étaient prêts à payer pour être débarrassés de leurs mots de passe. Avec ce chiffrage nous avons cherché une solution qui réponde, pour ce tarif, à leur besoin de simplification des mots de passe tout en renforçant la sécurité. Cela nous permet d’emporter de facto l’adhésion des métiers« , explique un autre participant.

Mais au delà du risque et de l’humain, sur le front technique aussi les choses peuvent présenter des difficultés. C’est le cas par exemple des applications métier ancestrales : comment renforcer l’authentification d’une solution conçue il y a vingt ans et qui n’a jamais été prévue pour ouvrir son mécanisme d’authentification ? « Citrix permet de faire bien des choses dans ce domaine sans tout casser ! » suggère un participant. D’autres, quant à eux, ne jurent que par les services d’un portail primaire d’authentification : associé à un bon cloisonnement des VLANs un tel portail (développé en interne ou adapté d’une solution commerciale) peut « webifier » bien des vieilles applications et leur ouvrir de manière transparente les méthodes d’authentification modernes.

Une autre difficulté techniques soulevée par les participants tient à une spécificité des grands groupes : chaque entité (une filiale, une business unit) dispose souvent de son propre eSSO ou de sa propre solution d’authentification forte, et elle refuse souvent de s’en séparer. Cela transforme alors rapidement un simple projet d’authentification forte en un projet de fédération des SSO… ce qui est une autre paire de manches !

Pas de solution idéale

Une fois n’est pas coutume (c’était déjà le cas lors de notre dernier petit-déjeuner consacré à la sécurisation d’une flotte de smartphones), aucune solution miracle n’a été trouvée. Mais des solutions bancales auront au moins été écartées du paysage. C’est par exemple le cas de toutes celles jugées trop adhérentes aux postes de travail : à l’heure de la mobilité et du Cloud Computing, une solution d’authentification liée au poste de travail et non à l’utilisateur est effectivement une incongruité difficile à justifier. De même pour ces solutions qui relèvent du bricolage (du sans-contact dont le badge doit être alimenté par une pile individuelle, par exemple !), ou encore même la biométrie (coûteuse et adhérente).

A l’issu de ce petit déjeuner l’authentification forte apparaît donc plutôt comme un vrai projet sécurité à part entière, et non un simple « projet-solution » comme on pourrait parfois l’imaginer. C’est un problème tout à la fois humain (rassurer l’utilisateur, garantir une solution ergonomique), technique (intégrer les anciennes applications), business (emporter l’adhésion des métiers) et organisationnel (s’appuyer sur une analyse de risque pour convaincre la direction). Le tout dans un marché qui, finalement, ne propose pas tant de solutions aussi variées ni géniales qu’il n’y parait (*). Bref, c’est un petit concentré de SSI, finalement !

Nous publierons très prochainement les slides de la présentation de Cyril Haziza.

(*) pour avoir participé au jury de plusieurs prix de l’innovation, et avoir notamment jugé plusieurs projets de start-ups rêvant toutes de révolutionner l’authentification forte, votre serviteur a trouvé franchement déprimant de constater que beaucoup d’entre elles pensaient encore qu’un lecteur à installer et à maintenir sur le poste de travail (avec des drivers spécifiques s’il vous plaît) n’était pas un problème, ou bien qu’ignorer la notion d’identité, d’annuaire et de Cloud Computing était une bonne idée.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.