Sensibilisation relative aux mots de passe

La sous-estimation des risques liés aux mots de passe

En règle générale, les utilisateurs tendent à sous-estimer la faiblesse de leurs mots de passe, le plus souvent en raison de la perception erronée selon laquelle les attaques seraient menées manuellement par les attaquants.

En pratique, qu'il s'agisse d'attaques menées par des spécialistes (APT — groupes étatiques, indépendants...) ou des amateurs (individus isolés), les attaques sont inéluctablement automatisées. Les mécanismes de sécurité (lorsqu'ils existent) sont souvent contournés par les attaquants en usant de méthodes telles que le « Password Spraying » (cf. Mitre — T1110.003, APT28...). D'autres attaques plus ou moins dommageables existent, les attaquants usent par ailleurs généralement de plusieurs méthodes d’attaque simultanément (cf. Kill Chain).

Typiquement, pour augmenter leurs chances de déceler un premier point d’entrée sur les Systèmes d’Information, un attaquant pourrait, couplé à du « Password Spraying », aisément effectuer une attaque de type « AiTM (Adversary-in-the-Middle) » (cf. Mitre — T15578), en usurpant une source faisant autorité pour la résolution de noms sur un réseau en répondant au trafic LLMNR/NBT-NS (cf. Mitre — T1557.0019), pensant joindre un serveur légitime, le nom d'utilisateur et le hash du mot de passe seront alors envoyés au système contrôlé par l'attaquant.

Cependant, une étude de Hirak Ray tend à démontrer que les mauvaises pratiques des utilisateurs seraient davantage la conséquence d'un manque de sensibilisation et d'une incompréhension profonde de leur part, que d'un véritable manque de volonté et d'une certaine nonchalance. Notamment de la part des individus plus âgés, qui expriment étonnamment de vives préoccupations en matière de sécurité et de respect de la vie privée, mais qui éprouvent de nombreuses difficultés à évaluer, comprendre et manier les nombreux éléments, termes et procédés techniques qui leur permettraient de tendre vers un niveau de sécurité satisfaisant.

Une connaissance limitée de ce que constitue un mot de passe solide amène inévitablement les utilisateurs à rejeter les conseils de sécurité. De plus, la compréhension des risques est également difficile à appréhender pour les utilisateurs. La sensibilisation doit par conséquent amener l'utilisateur vers une compréhension, non seulement des bonnes pratiques à adopter, mais également une compréhension des risques effectifs liés au non-respect de celles-ci.

Il est bon de noter qu'il faut certes sensibiliser et réaliser des audits régulièrement, mais ne pas blâmer abruptement pour autant l'utilisateur pour ses choix. Il est important de responsabiliser l'utilisateur et lui faire comprendre que ses actions ont des conséquences, mais les responsabilités doivent être partagées avec le reste de l'équipe (notamment les administrateurs ainsi que les décisionnaires).

Pour l’anecdote, une grande institution pour laquelle j’ai eu l’occasion de travailler auparavant s’est vue infectée une partie de son réseau, à la suite de l'interaction d'un utilisateur, n’ayant jamais été formé, ni même sensibilisé, avec une technique de hameçonnage, pourtant non ciblé et plus que banale... Ce qui peut sembler relever du bon sens pour certains, ne le sera pas nécessairement pour un ensemble d'utilisateurs non formés et sensibilisés.

Des mécanismes de sécurité doivent être implémentés en tenant compte de l’aspect humain et en se basant sur des conclusions découlant d'analyses de risques organisés à intervalles prédéfinis temporellement. Par exemple, il a été prouvé que l'ajout d'un système de blacklist (de mots génériques et personnalisés en fonction de la structure) de taille modérée permettait une amélioration notable et visible de la sécurité. Encore une fois, la sécurité d'une infrastructure ne doit pas être réduite à des valeurs purement techniques et en se basant uniquement sur des référentiels, l'aspect humain doit être pris en compte, et des analyses de risques doivent être réalisés pour s'adapter aux besoins et aux contraintes d'une structure.

Il est important de ne pas être trop permissif, sans pour autant tomber dans un fanatisme austère irraisonné. D'où l'importance de la réalisation d'analyses des risques pour mesurer correctement ses besoins. Une rigidité trop importante (sans véritable raison valable) pourrait être contre-productive. Typiquement, de plus en plus d’études démontrent que les politiques qui forcent un utilisateur à changer son mot de passe à une fréquence trop régulière ne sont pas efficaces puisqu'ils se retrouvent à prendre de mauvaises pratiques en réactance ou en conséquence d'une politique trop stricte.

Avez-vous les moyens de vos objectifs ? Pour en finir avec l'aspect de la sensibilisation, les moyens doivent être fournis à l'utilisateur pour qu'il puisse être en mesure d'appliquer les bonnes pratiques de sécurité qui lui auront été préalablement fournit et expliquées.

Par exemple, un gestionnaire de mots de passe devrait être installé par défaut sur l'ensemble des ordinateurs des utilisateurs du parc informatique. En général, il convient de simplifier autant que possible les procédures pour l'utilisateur final. De plus, afin de tenter d’approcher les utilisateurs les moins déterminés, il faut non seulement sensibiliser, mais également inciter, deux aspects à première vue similaires, mais qui en pratique font une différence notable.

Pour donner un autre type d'exemple, un document informationnel permettant d'apprendre aux utilisateurs : idéalement, pourquoi ; a minima, comment choisir ; et enfin, comment retenir un mot de passe suffisamment robuste, devrait également être fourni à l'utilisateur.

• Bibliographie et définitions.

APT : Un groupe APT est une organisation criminelle qui cible des systèmes informatiques pour des raisons financières, politiques ou militaires. Ces groupes sont généralement très organisés et peuvent compter sur des ressources importantes. Ils utilisent des techniques de hacking très diversifiées, pour infiltrer leurs. Les APT sont souvent associés à des pays tels que la Chine, la Corée du Nord et l'Iran.

Password Spraying : Le « Password Spraying » est un type d'attaque par force brute utilisant une liste de mots de passe communs pour essayer de deviner le mot de passe d'un compte utilisateur. Cette technique est souvent utilisée par les pirates informatiques pour contourner les mesures de sécurité, telles que les politiques de mot de passe fortes, qui limitent le nombre d'essais de mot de passe par compte.

Mitre : Mitre, notamment « Mitre ATT&CK™ » est un cadre de référence pour la description de la dynamique, des indicateurs et des outils des menaces informatiques avancées. ATT&CK est initialement une abréviation pour Adversarial Tactics, Techniques, and Common Knowledge.

T1110.003 : https://attack.mitre.org/techniques/T1110/003/

APT28 : https://attack.mitre.org/groups/G0007/

Kill Chain : La « Kill Chain » en sécurité informatique est un modèle qui décrit les différentes étapes d'une attaque informatique. Ce modèle permet aux défenseurs de mieux comprendre les différentes phases d'une attaque et de mieux cibler leurs efforts de défense.

AiTM (Adversary-in-the-Middle) : Une attaque de type Adversary-in-the-Middle consiste à s'interposer entre deux entités pour écouter et/ou manipuler leur communication.

T1557 : https://attack.mitre.org/techniques/T1557/

T1557.001 : https://attack.mitre.org/techniques/T1557/001/

Une étude de Hirak Ray : https://www.usenix.org/system/files/sec21-ray.pdf