Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    NCSC : « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr »
    « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr »,
    le NCSC britannique assure aux concepteurs de sites Web qu'il s'agit d'une bonne pratique de sécurité

    Il y a des chances que vous soyez déjà tombé sur un site Web qui vous empêche de coller un mot de passe. La raison qui motive cette décision a déjà fait l’objet de plusieurs débats.

    Interrogée à ce sujet, le National Cyber Security Center, une organisation du gouvernement du Royaume-Uni qui fournit des conseils et une assistance aux secteurs public et privé pour éviter les menaces de sécurité informatique, estime que lorsque la raison évoquée est « la sécurité », cela ne contribue pas à l’améliorer. Au contraire même, l’organisation indique : « nous pensons qu’empêcher le collage de mot de passe est une mauvaise chose qui réduit la sécurité. Nous pensons que les utilisateurs doivent être autorisés à coller leurs mots de passe dans des formulaires, ce qui contribuerait à améliorer la sécurité ».

    Dans un billet de blog, elle note que cela relève du domaine de la légende urbaine que de penser qu’empêcher de coller un mot de passe améliore la sécurité : « personne n'a produit un document, une règle, un RFC (un document de normes techniques pour planifier le fonctionnement d'Internet) ou quoi que ce soit d'autre qui ait permis de commencer cette pratique. Si vous en connaissez un, faites-le-nous savoir en utilisant le formulaire de commentaires ci-dessous. Nous pensons que c'est l'une de ces idées de ‘meilleures pratiques’ qui a un attrait instantané de bon sens. Compte tenu de la situation dans son ensemble aujourd'hui, cela n'a vraiment aucun sens ».

    Alors pourquoi permettre de coller son mot de passe est une bonne chose ?

    La principale raison évoquée par l’organisation est qu'il contribue à réduire la surcharge de mots de passe : « autoriser le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe ».

    Et de rappeler par la suite que les gestionnaires de mots de passe sont très utiles, car ils :
    • rendent beaucoup plus facile la possibilité d'avoir des mots de passe différents pour chaque site Web que vous utilisez
    • améliorent votre productivité et réduisent la frustration en évitant les erreurs de frappe lors des connexions
    • simplifient l'utilisation de mots de passe longs et complexes.

    Bien sûr, ils ont rappelé que les gestionnaires de mots de passe ne sont pas une solution miracle : « bien que les gestionnaires de mots de passe puissent offrir une meilleure protection que, par exemple, le fait de conserver vos mots de passe dans un document normal (et donc non protégé) sur votre ordinateur, ils ne sont pas une solution miracle pour résoudre tous les problèmes de mot de passe d'une organisation ».

    Néanmoins, il propose un scénario pour souligner encore plus l’utilité d’admettre le collage de mot de passe : imaginez si vous n'aviez pas de gestionnaire de mots de passe, ou même ce document non protégé sur votre ordinateur avec vos mots de passe. Sans gestionnaire de mots de passe, il serait pratiquement impossible de se souvenir de tous vos mots de passe. Pour y faire face, vous devez faire certaines de ces mauvaises choses :
    • réutiliser les mêmes mots de passe sur différents sites Web ;
    • choisir des mots de passe très simples (et si faciles à deviner) ;
    • écrire des mots de passe dans des endroits faciles à trouver (comme des Post-It à côté de l'écran).



    Quelles sont les raisons évoquées pour justifier cette pratique ?

    Le NCSC en a évoqué trois et a noté qu’elles comportent ce petit grain de vérité trompeur qui peut sembler très convaincant.

    Le collage de mots de passe permet des attaques par force brute

    Les défenseurs de ce système expliquent que si le collage de mot de passe est autorisé, cela représente une vulnérabilité où des logiciels malveillants ou des pages Web pourraient coller à plusieurs reprises des suppositions de mot de passe dans la zone de mot de passe jusqu'à ce qu'ils parviennent à la bonne combinaison.

    Selon le NCSC, c'est une vérité, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à configurer pour les attaquants, mais qui sont beaucoup plus rapides pour ce jeu de devinettes. Le risque d'attaques par force brute utilisant le copier-coller est très faible.

    Coller des mots de passe les rend plus faciles à oublier, car vous avez moins de chances de les composer sur votre clavier

    Le NCSC reconnaît que le principe est vrai.

    Cependant, il précise que dans le monde réel, les gens ont des mots de passe pour des choses qu'ils n'utilisent presque jamais. Cela signifie qu'il n'y a pas assez de temps pour pratiquer et donc peu de chances de s’en souvenir. Toute cette justification ne fonctionne que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe - et ce n'est pas toujours vrai.

    Les gens sont également obligés d'avoir des mots de passe pour les choses qu'ils utilisent si souvent qu'ils ne pourraient pas oublier le mot de passe même s'ils le voulaient (ce qui est assez gênant si vous êtes obligé de changer le mot de passe régulièrement), et en taper l’ancien mot de passe encore et encore est quelque qui peut entamer leur journée. Les gestionnaires de mots de passe sont un bâton sur lequel ces personnes s'appuient et la pratique consistant à interdire le collage de mot de passe les en empêche.

    Les mots de passe vont traîner dans le presse-papiers

    Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » où il peut être collé autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne l'utilisant) a accès au presse-papiers et peut voir ce qu'il contient. Copier n'importe quoi écrase généralement ce qui était déjà dans le presse-papiers et le détruit.

    De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin de pouvoir le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou malware) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

    Les mots de passe restants dans le presse-papiers peuvent être plus problématiques si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur. Vous pourriez oublier de vider le presse-papiers. Cependant, ce n'est pas vraiment un risque, car :
    • la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site Web, et certains évitent complètement le presse-papiers en tapant le mot de passe avec un clavier virtuel à la place ;
    • le navigateur Web Internet Explorer 6 permet aux pages Web malveillantes de copier le presse-papiers; mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
    • les virus installés sur votre ordinateur peuvent contenir des copieurs de presse-papiers et récupérer vos mots de passe collés. Ce n'est pas encore une bonne raison pour interdire de coller des mots de passe ; lorsque votre ordinateur est infecté, vous ne pouvez pas lui faire confiance du tout. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours également chaque lettre, chiffre et symbole tapé sur votre ordinateur, y compris vos mots de passe. Ils voleraient votre mot de passe, qu'il soit ou non dans le presse-papiers, donc vous ne gagnez pas vraiment beaucoup avec cette pratique.

    Conclusion

    En définitive, l’organisation pense qu’interdire le collage de mot de passe est une mauvaise pratique et que l’autoriser est la bonne chose à faire, notant que « les avantages l'emportent sur les inconvénients, et par beaucoup ».

    « Plutôt que d'empêcher le collage de mots de passe, aidez vos ordinateurs à éviter d'attraper des virus en premier lieu en suivant nos conseils sur la sécurisation informatique de l'entreprise. Et installez les mises à jour logicielles - la version informatique de manger cinq fruits et légumes par jour. C'est l'un des meilleurs moyens de sécuriser votre ordinateur ».

    Source : NCSC

    Et vous ?

    Êtes-vous déjà tombé sur un site qui vous empêche de coller votre mot de passe ?
    Qu'est-ce qui pourrait, selon vous, expliquer cette pratique ?
    Que pensez-vous des arguments avancés par la NCSC pour déconseiller cette pratique ?
    Comment protégez-vous vos mots de passe ?
    Êtes-vous pour ou contre le fait d'empêcher de coller un mot de passe ?
    Êtes-vous pour ou contre l'utilisation d'un gestionnaire de mots de passe ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Les virus installés sur votre ordinateur peuvent contenir des copieurs de presse-papiers et récupérer vos mots de passe collés. Ce n'est pas encore une bonne raison pour interdire de coller des mots de passe ; lorsque votre ordinateur est infecté, vous ne pouvez pas lui faire confiance du tout. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours également chaque lettre, chiffre et symbole tapé sur votre ordinateur, y compris vos mots de passe. Ils voleraient votre mot de passe, qu'il soit ou non dans le presse-papiers, donc vous ne gagnez pas vraiment beaucoup avec cette pratique.
    Sans doute la partie la plus pertinente pour pouvoir juger de la qualité des propos, qui pour moi sans très bon.

    Pour moi l'histoire de prévenir de coller pour améliorer la sécurité vient sans doute plus de l'équation "plus chiant" = "plus sure" surtout sur des cas récent.

    On peut imaginer qu'a l'époque des années fin 90 début 2000, les virus étaient sans doute moins évolué et pouvaient se limiter à détecter un mot de passe dans le presse papier plutôt que d'analyser chaque frappe, mais c'est sans doute beaucoup moins le cas aujourd'hui.

  3. #3
    Membre extrêmement actif
    Je suis d’accord avec l'avis de l'article : les sites qui empêchent les collage de MP ça m'agace au plus haut point, c'est stupide et inutile.
    C'est pas parce qu'on colle un MP qu'on utilise le même pour tous les sites, on peu générer un mot de passer sécure, le coller sur le site et le coller dans une base de mpd, et donc utiliser un mot de passe unique pour chaque site, mais par collage.
    On peux décider de gérer sois même sa base de MDP sans forcément utiliser un gestionnaire de mpd, car beaucoup se sont révélés avoir des failles de sécurité.
    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

  4. #4
    Membre chevronné
    Pour résoudre ce problème j'ai fait ce que tout le monde sait faire ici pour coder un petit programme capable de tromper cette n-ième itération du grand projet "Une idée de merde pour l'Humanité" qui vise à compliquer chaque instant de la vie des utilisateurs sans aucune plus-value.

  5. #5
    Rédacteur

    disons plutôt : « Autorisez votre site Web à accepter le collage de mots de passe, cela ne le rendra pas moins sûr »
    ce qui n'a pas tout à fait le même sens...
    nomen omen, nemo non omen - Consultez la FAQ VBScript et les cours et tutoriels VBScript
    le plus terrible lorsqu'une voiture renverse un piéton, c'est que ce sont les freins qui hurlent. (ramón)
    pas de questions techniques par mp

  6. #6
    Membre émérite
    Bonsoir

    Êtes-vous déjà tombé sur un site qui vous empêche de coller votre mot de passe ?
    Oui

    Qu'est-ce qui pourrait, selon vous, expliquer cette pratique ?
    Eviter les inscriptions de "boots" sur certains forum. Car ils postent des conneries.

    Que pensez-vous des arguments avancés par la NCSC pour déconseiller cette pratique ?
    C'est que beaucoup d'argument sont bâtis sur des "dogmes" ou "obsolètes"

    Comment protégez-vous vos mots de passe ?
    J'ai mon propre système de sécurité.

    Êtes-vous pour ou contre le fait d'empêcher de coller un mot de passe ?
    Pour coller le mot de passe ... suffit de devoir recopier une longue chaine et c'est de suite rengaine et source d'erreur à tout recopier à la mano.

    Êtes-vous pour ou contre l'utilisation d'un gestionnaire de mots de passe ?
    Contre