S'abonner :  Newsletters    Magazines

Le guide des mauvaises pratiques de sécurité (et leurs solutions)

[ LE GUIDE DES MAUVAISES PRATIQUES DE SÉCURITÉ ]
Le mot de passe, coupable tout désigné
La gestion des mots de passe, ou plutôt leur non-gestion, est la première cause d'incidents de sécurité. Mal choisis ou même laissés par défaut, les mots de passe sont le point faible d'un grand nombre d'entreprises.

Jérôme Saiz , Décision Informatique (n° 592), le 14/06/2004 à 07h00

Lorsqu'on leur demande comment ils réussissent le plus souvent leurs tests d'intrusion, la plupart des consultants en sécurité citent immédiatement la faiblesse des mots de passe. « C'est énorme » , s'exclament collectivement les consultants du cabinet HSC. « Rien qu'avec les mots de passe laissés par défaut, on arrive souvent à nos fins. Face à un équipement réseau, nous avons 90 % de chances que le mot de passe soit toujours celui défini par défaut », poursuit Nicolas Jombart, chez HSC.

Des mots de passe passe-partout

Le fait est que les mots de passe des applicatifs les plus utilisés dans les entreprises (Alcatel, Oracle, SQL Server et bien d'autres) sont rarement changés une fois l'installation terminée. Et lorsqu'ils le sont, ce sont pour des valeurs très simples à deviner, telle une variation du nom de l'entreprise ou les incontournables « test » , « admin » ou « essai » . « Cela en devient frustrant : nos consultants sont souvent déçus de la manière dont ils réussissent leurs tests d'intrusion, car c'est souvent grâce à des mots de passe faibles », confirme Thomas Lebouc, directeur de mission pour l'activité conseil en sécurité de Thales Security Systems.

Et il n'y a pas que les consultants en sécurité ou les pirates qui tirent profit de cette faiblesse : en 2003, les vers SQLsnake et Voyager Alpha Force, par exemple, exploraient Internet à la recherche de serveurs Microsoft SQL Server 7, une version autorisant une installation sans mot de passe pour le compte administrateur (SA). Et des serveurs configurés sans mot de passe, il y en avait à la pelle !

Bilan : plusieurs milliers de machines ont été infectées dans le monde, et autant de bases de données dérobées. Et, même quand ils ne sont pas laissés par défaut, les mots de passe sont rarement bien choisis : ils sont ordinairement dérivés du nom de l'entreprise, jamais changés et parfois partagés par tout le monde, pour plus de facilité.

« admin », le mieux partagé

« Nous avons rencontré le cas d'une direction financière où tout le monde avait le même mot de passe d'accès aux applicatifs métier ! Le client nous a expliqué que cela était plus simple pour intervenir même si un collaborateur était absent » , se souvient Thomas Lebouc. De même, il n'est pas rare dans de petites entreprises que tous les postes de travail fonctionnent avec les privilèges administrateurs et un mot de passe identique, d'ailleurs souvent le très simple « admin » .

Enfin, les utilisateurs ne sont pas en reste lorsqu'il s'agit d'affaiblir la sécurité du réseau de leur entreprise, même s'ils ont eux-mêmes choisi leur sésame. « Les mots de passe écrits sur des notes collées sur l'écran ou sous le clavier ne sont pas un mythe. Nous en trouvons tous les jours ! », se désole Thomas Lebouc. Et le consultant de préciser que même lorsqu'ils sont contraints de changer régulièrement leurs mots de passe pour davantage de sécurité, les utilisateurs se contentent bien souvent d'alterner entre plusieurs choix, ou tout simplement d'en faire la liste... qui est toujours placée bien en évidence à côté du clavier !

La solution

Avant d'envisager un renforcement des mots de passe par des technologies telles que le Single Sign-On [lire ci-dessous, NDLR] ou l'authentification forte, il convient de prendre deux mesures essentielles : la traque aux mots de passe par défaut et la sensibilisation des collaborateurs. Dans le premier cas, le service informatique doit faire l'inventaire des équipements réseau et des applications qui exploitent des mots de passe (utilisateurs et administratifs) et s'assurer que ces derniers sont réellement personnalisés ou désactivés (dans le cas de comptes inutilisés).

Enfin, en ce qui concerne les utilisateurs, il est dangereux de vouloir trop renforcer la politique de sécurité des mots de passe : trop stricte, elle ne fera que les pousser à la contourner davantage. Mieux vaut leur demander d'utiliser au moins des chiffres et des majuscules, par exemple, et d'en changer tous les trimestres.



Une solution de SSO (Single Sign-On) évite la multiplication des mots de passe pour chaque utilisateur : il suffit de s'authentifier auprès du client SSO pour avoir accès à l'ensemble des applications de l'entreprise. Le SSO ne se justifie cependant que dans un environnement multiapplicatif fort (applications Web, métier et accès aux systèmes).

PC portable
Asus G50V-AK043K. Portable 15,4 pouces. Comparez les prix !

publicité
> NOUVEAU: Norton Antivirus 2010
Essayez l'antivirus le plus léger du marché.

classement FAI
Retrouvez chaque semaine le classement des fournisseurs d'accès avec ip-label 1 Orange 2 Free 3 Bouygues Telecom > Plus de détails
offres d'emploi
plus d'offres d'emploi
> Jeu en ligne :
Titan Poker
Une des salles les plus populaires d'Europe...

Service 01net
Newsletters 01net
abonnez vous gratuitement !
Actus
Voir le dernier numéro
Entreprise
Voir le dernier numéro
  
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.