Après le guide d’hygiène informatique, ceux qui s’intéressent à la cybersécurité devront avoir dans leur bibliothèque le dernier guide sur l’authentification et les mots de passe de l’Anssi. Elle vient en effet d’actualiser ce document dont la v1 datait de 2012. Il faut dire qu’en la matière les choses ont un peu changé (renforcement du chiffrement, adoption du multifacteur, …).

Le guide s’adresse à une population variée (DSI, développeurs, RSSI et utilisateurs) et fait œuvre de pédagogie. Une chose est sûre, l’ANSSI rappelle que l’authentification joue un rôle important dans la gestion de la sécurité d’un système d’information. Le document traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc. Il se focalise sur l’authentification des personnes sur les machines, en raison de leur plus grande exposition aux attaques et le risque d’erreur humaine.

Quelques nuances sur les authentifications

Comme dans d’autres approches de la cybersécurité, l’agence prône en préambule de réaliser une analyse de risque sur la mise en place des moyens d’authentification. Dans ce cadre, elle dresse un ensemble des menaces liées à ce sujet comme les attaques par force brute, par dictionnaire, par recherche exhaustive, par tables pré-calculées (rainbow table) et l’ingénierie sociale. Face à ces risques, des contre-mesures sont disponibles comme l’authentification forte ou multifacteur.

Et là encore tout est question de nuance selon l’Anssi. Ainsi l’authentification multifacteur est à privilégier, mais un facteur basé sur la géolocalisation (via adresse IP ou GPS) est considéré comme moins mature et peut être contourné. De même, les envois de code temporaire par SMS sont à proscrire au regard des vulnérabilités présentes dans les protocoles de communication mobile (type SS7) et les exploits de type SIM swapping (transfert de SIM). L’autre élément est l’authentification forte, distincte de son homologue multifacteur, reposant souvent sur des protocoles de chiffrement. Ces derniers doivent être capables de résister à différentes attaques : écoutes clandestines, homme du milieu, rejeu (récupérer des informations d’authentification et les rejouer) ou par non-forgeabilité (observation d’un attaquant de plusieurs échanges d’authentification).

Une protection des mots de passe à peaufiner

Le guide se termine sur la problématique des mots de passe avec des conseils sur plusieurs points. Par exemple, sur la longueur, l’agence reste pragmatique et recommande selon les systèmes de ne pas fixer de limite à la longueur maximale d’un mot de passe afin de permettre aux utilisateurs d’avoir recours à des phrases de passe ou longs mots de passe. Par contre, sur la complexité, elle considère que plus la taille du jeu de caractères est grande plus le nombre de mots de passe possibles est grand.

Enfin, le guide s’attarde sur les questions de révocation, de recouvrement et de coffre-fort. L’agence incite les entreprises à mettre à disposition auprès des collaborateurs un coffre-fort de mots de passe et les former à son utilisation. Cependant, elle alerte sur l’utilisation un fichier bureautique protégé par un mot de passe qui est à proscrire.