Discussion :

[Marc Turbé]

L’ANSSI revoit ses recommandations en matière d’authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020, par Marc Turbé, Marketing Manager, Specops Software

Les nouvelles recommandations de l’ANSSI en matière de mots de passe et d’authentification viennent d’être presentées dans un nouveau document. Il était temps car depuis les dernières datant de 2012, le paysage de la cybersécurité a bien évolué. Les hackers multiplient les attaques depuis 2020 et font preuve d’une imagination sans limite pour tromper les utilisateurs que ce soit par hameçonnage ou ingénierie sociale. Pour les contrer, de nouvelles méthodes pour venir suppléer voire à termes remplacer le mot de passe ont émergé

Marc Turbé, Specops Software

Dans la première partie de son guide, l’ANSSI énonce les principes à prendre en compte pour mettre en place une authentification efficace et sûre.

Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :

• « ce que je sais », le mot de passe ou la phrase de passe
• « ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
• « ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique

Bien évidemment, un niveau de sécurité élevé a un coût et il convient de l’adapter en fonction du contexte. Un système d’administration peut contenir des données très sensibles comme une base de données avec des informations personnelles, il convient de lui donner une protection adéquate mais un système de réservation de salles de sport l’est beaucoup moins et n’a pas forcément besoin du même niveau de sécurité.

Pour les utilisateurs, l’ANSSI note cependant, qu’il convient de prendre en compte leur niveau d’expérience avec les solutions de sécurité. L’exemple bien connu d’un mot de passe complexe noté sur un post-it à côté de l’écran de l’utilisateur est un subterfuge souvent utilisé lorsque l’utilisateur se sent dépassé par la complexité du mot de passe et plus à même de le retenir. Il a pour effet de diminuer le niveau de sécurité global alors que l’idée initiale était de renforcer la complexité des mots de passe donc la sécurité du système informatique.

Un autre point que note l’ANSSI, la phase d’enregistrement (« enrollment » en anglais), est critique. Si le système d’enregistrement est compromis alors l’ensemble des procédés d’identification est à risque. L’ANSSI recommande de générer ces identifiants sur un poste déconnecté et une remise en main propre à l’utilisateur de ses identifiants.

En ce qui concerne l’authentification multifacteur, l’ANSSI déconseille fortement la vérification par SMS qui est facilement contournable et interceptable par l’attaquant et de limiter dans le temps les tentatives d’authentification, ce afin de limiter le potentiel des attaques par force brute.

Tout procédé d’authentification doit également inclure un processus de révocation afin d’empêcher sa réutilisation à des fins d’usurpation d’identité.

Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée

Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :

• catégorie de mots de passe;
  
• longueur des mots de passe;
  
• règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;
  
• délai d’expiration des mots de passe;
  
• mécanismes de limitation d’essais d’authentification;
  
• mécanismes de contrôle de la robustesse des mots de passe;
  
• méthode de conservation des mots de passe;
  
• méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;
  
• mise à disposition d’un coffre-fort de mots de passe.

Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.

Autre point sur lequel les recommandations de l’ANSSI ont évolué, la durée d’expiration des mots de passe doit prendre en compte le fait que les utilisateurs ont tendance à créer des itérations sur leurs mots de passe, de façon incrémentielle ou sous la forme d’itérations, ce qui présente un risque que les attaquants savent parfaitement exploiter. L’ANSSI recommande de plus, de varier la durée d’expiration en fonction du type d’utilisateurs, les comptes à privilèges (administrateurs) doivent être renouvelés régulièrement mais ceux des utilisateurs sans privilège sont moins sensibles et n’ont pas besoin d’un renouvellement si fréquent.

Enfin, l’ANSSI souligne l’importance de contrôler le niveau de robustesse des mots de passe. Voici les critères que l’ANSSI met en avant :

• mettre en place des mécanismes automatiques et systématiques permettant de vérifier que les mots de passe respectent bien les règles définies dans la politique de sécurité des mots de passe ;
  
• comparer les mots de passe lors de leur création à une base de données répertoriant les mots de passe les plus utilisés ou bien ceux qui ont été compromis (par exemple les dictionnaires recensant les mots de passe les plus utilisés ou bien encore les dictionnaires inclus dans les outils de « cassage » de mots de passe comme JohnTheRipper [1]);
  
• repérer les mots de passe contenant des motifs (ou des répétitions de motifs) spécifiques (comme une suite de chiffre telle que « 12345 », la suite des premières lettre des claviers comme « azerty », etc);
  
• repérer les mots de passe contenants des informations personnelles saisies lors de la création du compte, comme les noms et prénoms ou encore les dates de naissance;
  
• lors d’un renouvellement du mot de passe, interdire la réutilisation d’un mot de passe parmi les X derniers mots de passe déjà utilisés. »

Le point 2 est particulièrement important. Bloquer l’utilisation de mots de passe compromis permet de limiter fortement les possibilités d’attaque à force brute tout en empêchant les utilisateurs de définir des mots de passe faibles ou compromis. Enfin bloquer les motifs répétitifs ainsi que la réutilisation d’une partie ou de la totalité d’anciens mots de passe est essentiel pour éviter que les utilisateurs agissant par négligence ne mettent en danger la sécurité du système d’information.

Si l’ANSSI déplore la rareté des solutions à même de suivre ces recommandations, sachez que Specops Password Policy est sans doute l’un des outils les plus à même de correspondre à ces recommandations, notamment grâce à l’extension Breached Password Protection qui bloque plus de deux milliards de mots de passe compromis.

L’ANSSI note le risque de l’envoi vers l’extérieur d’informations sensibles comme des mots de passe sur ce type d’outils. Specops Password Policy n'envoie que les quatre premiers hashes du mot de passe sur son serveur cloud et retourne toutes les correspondances au contrôleur de domaine par l’intermédiaire d’un serveur Arbiter. Aucun mot de passe n’est envoyé en clair, ce qui garantit la sécurité du SI.

Pour terminer sur les politiques de sécurité, l’ANSSI rappelle une principe de base : ne pas stocker les mots de passe en clair mais sous une forme de hachage cryptographique, tout en ajoutant que l’ajout d’une valeur aléatoire unique, un sel, permet de se prémunir des attaquants utilisant des tables précalculées.

Recouvrement des accès, un point à ne pas négliger

Si comme le confirme l’ANSSI, chacune des méthodes de recouvrement d’accès ou de réinitialisation de mot de passe présente des faiblesses, il ne faut pourtant pas mettre de côté les méthodes par réinitialisation de mot de passe en libre-service avec l’utilisation d’une vérification de l’utilisateur (MFA, biométrique etc…) qui permet de décharger les équipes d’assistance technique d’un fardeau important.

Specops uReset est une solution idéale dans ce type de cas.

Sources : ANSSI, Specops Software

Et vous ?

Que pensez-vous de ces recommandations de l'ANSSI ?
Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?

Voir aussi :

Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés, cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles

Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude

Les noms de films les plus populaires utilisés en guise de mots de passe, un classement réalisé par SpecOps Software sur sa base de données de plus de 2 milliards de mots de passe compromis

[marsupial]

A part quelques entreprises, tout le monde est dans le vent. En tant que particulier, je n'aurai jamais une telle authentification. Manque la biométrie.

[ashdawai]

1°) Préférer l'allongement du mot de passe à l'utilisation de caractères étendus est une évidence : un simple calcul montre que l'extension du nombre de caractères éligibles double la complexité du mot de passe alors que l'ajout d'une lettre l'élève au carré.
2°) La génération d'identifiants depuis une station non connectée n'est qu'un idéal, qui n'est absolument pas praticable de manière concrète.
3°) Je suis plus que dubitatif quand à l'utilisation de la biométrie pour des applications non critiques : On peut révoquer un mot de passe éventé mais on ne peut pas changer sa biométrie, or on a déjà vu des systèmes biométriques trompés par des moulages en latex ou autres combines. De plus on ne peut pas exclure que des cas d'amputation de phalanges ou autres mutilations surviennent pour usurper une authentification biométrique.

[Bill Fassinou]

SecNumCloud : l'ANSSI adapte son référentiel au Cloud de confiance, qu'est-ce qui change ?
le nouveau référentiel s'arme contre les lois extracommunautaires

Les travaux sur la mise à jour du référentiel SecNumCloud sont maintenant terminés. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié la semaine passée la nouvelle version (3.2.a) de son référentiel d’exigences applicables aux fournisseurs d’informatique en nuage pour la certification SecNumCloud. Elle le fait dans le cadre d’un appel à commentaires, avec la possibilité de répondre jusqu’au 15 novembre 2021. La mise à jour du document vise à renforcer les garanties juridiques du référentiel à cette période et servira de cadre de préparation pour l'arrivée du label "Cloud de confiance".

L'ANSSI durcit les critères de la qualification SecNumCloud

SecNumCloud est une qualification de sécurité mise en place par l’ANSSI à destination des opérateurs cloud, qui proposent des services PaaS (Platform as a Service), IaaS (Infrastructure as a Service) ou Saas (Software as a service). L'ANSSI explique que l’objectif est de proposer une « approche centralisée » plutôt que de laisser les entreprises clientes négocier leurs exigences de sécurité avec chaque prestataire. Pour être qualifié SecNumCloud, un prestataire doit prouver que son service respecte les bonnes pratiques listées dans le référentiel. Sa conformité est vérifiée par des prestataires d’audit également approuvés par l’ANSSI.

OVHcloud, le fournisseur français de services d'informatique en nuage, a obtenu la qualification SecNumCloud en janvier pour son offre "Hosted Private Cloud". Suivant les recommandations de l'ANSSI, OVHcloud a mis en place pour cette nouvelle offre des procédures de sécurité physique, organisationnelle et contractuelle renforcées qui garantissent pour le client final. Les garanties de souveraineté des données de l'offre Hosted Private Cloud auxquelles s’ajoute désormais le Visa de Sécurité pour SecNumCloud la rendent adaptée à l’hébergement des données sensibles des organisations, telles que les données de santé, les données financières, etc.

La première version officielle du SecNumCloud remonte à 2016. SecNumCloud est une évolution du label Secure Cloud présenté par l’ANSSI en 2014. Le label s’appuie sur la norme ISO 27001, qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Cependant, il ajoute de nouvelles exigences additionnelles spécifiques aux acteurs cloud. SecNumCloud a été ensuite révisé en 2018 pour aboutir à sa version 3.1. Ce processus a également permis à l'ANSSI de la rendre compatible avec RGPD (Règlement général sur la protection des données). C'est la version qui est actuellement utilisée.

La version 3.2 du référentiel est maintenant disponible en ligne et apporte plusieurs modifications, notamment des orientations sur la façon dont une entreprise peut s'organiser pour se placer hors d'atteinte des lois extraterritoriales, telles que le Cloud Act américain, le FISA ou l’Executive Order 12333. La nouvelle version est un document de 53 pages (plus 3 pages d'annexes) qui prend également en compte le CaaS (Container-as-a-Service). Elle est soumise à un appel jusqu'au 15 novembre 2021 et les commentaires et propositions seront transmis par courriel à l’adresse "qualification@ssi.gouv.fr".

Les critères de l'immunité aux lois extracommunautaires

Dans les modifications apportées au référentiel, de nombreuses sections (principalement le nouvel alinéa 19.6) précisent les protections juridiques que doivent garantir les entreprises souhaitant bénéficier de l'éligibilité à SecNumCloud. Une nouvelle section intitulée "Immunité au droit non communautaire" précise que le siège social du prestataire de services doit être établi dans un État membre de l'UE. De même, le texte précise que les actionnaires de l'entreprise doivent respecter certaines règles, afin d'éviter que les entreprises situées en dehors de l'UE ne disposent de trop de voix au conseil d'administration.

« Le siège statutaire, administration centrale ou principal établissement du prestataire doit être établi au sein d'un État membre de l'UE. Le capital social et les droits de vote dans la société du prestataire ne doivent pas être, directement ou indirectement : individuellement détenus à plus de 24 % et collectivement détenus à plus de 39 % par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’UE », indique le document. En outre, les fournisseurs de services qui ne sont pas dans l'UE n'ont pas le droit d'accéder aux données pilotées par le service.

Les données sont entendues ici au sens large en incluant toutes les données techniques (journaux de l’infrastructure, annuaire, certificats, configuration des accès…). « Le service fourni par le prestataire doit respecter la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit », rappelle le document. En outre, l'ANSSI a également ajouté une nouvelle section au référentiel portant sur l’appréciation des risques. Elle impose désormais deux obligations au prestataire.

Premièrement, il doit « lister, dans un document spécifique, les risques résiduels liés à l’existence de lois extraterritoriales ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable ». Et deuxièmement, il doit « mettre à la disposition du commanditaire, sur demande de celui-ci, les éléments d’appréciation des risques liés à la soumission des données du commanditaire au droit d’un état non membre de l’Union européenne ».

La version 3.2 contient d'autres modifications majeures

SecNumCloud sera en fait le lieu de travail pour la labellisation du "Cloud de confiance", qui vise à fournir aux opérateurs français les services d'acteurs américains tels que les infrastructures gérées par l'UE et les entreprises de droit européen, comme Google ou Microsoft. La question du droit anti-communautaire n'est pas une préoccupation nouvelle pour les responsables, mais elle est revenue sur le devant de la scène avec l'arrivée du label "Cloud de confiance" et l'émergence de programmes européens de certification du cloud.

Derrière cette période, on voit des dispositifs législatifs comme le Cloud Act, qui permettent à l'administration américaine d'accéder aux données fournies par des acteurs américains ou sur le sol américain. En sus, les changements apportés au référentiel tiennent également compte de nouveaux usages, et principalement des services CaaS (Container as a service).

Ces services concernent la mise à disposition d’environnements d’exécution permettant le déploiement et l’orchestration de conteneurs. Celles-ci viennent s’ajouter aux services Saas, PaaS, et IaaS. Plus loin, le nouveau document apporte des modifications concernant la sécurité des ressources humaines. Il renforce la vérification des informations relatives au personnel.

Un programme de certification européen

SecNumCloud étend ses règles pour prendre en compte ce nouveau scénario et éviter de mettre en danger les données des utilisateurs, afin de permettre aux sociétés françaises de proposer des offres de "cloud de confiance" qui associent des acteurs américains comme Google ou Microsoft. Si l'évolution du front français se fait en douceur, cette matière n'a pas encore été pleinement vérifiée au niveau européen. Au sein de l'UE, l'adoption de la loi sur la cybersécurité a ouvert la voie à la mise en place d'un programme de certification européen demandé par de nombreux acteurs.

Cependant, les États de l'Union ne se sont pas encore conformés aux règles de l'équivalent européen de SecNumCloud. Pour l'ANSSI, il ne s'agit pas d'un signe pour autant. « Pour les services et les données importants, seul le droit européen s'applique, pas le droit européen du cloud ou autre. Si nous ne pouvons pas faire cela, il serait tout à fait inutile de parler de souveraineté européenne », a déclaré le directeur général de l'ANSSI, Guillaume Poupard.

Source : SecNumCloud version 3.2.a (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des modifications apportées au référentiel SecNumCloud ?

Voir aussi

L'ANSSI revoit ses recommandations en matière d'authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020

Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés. Cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles

OVHcloud obtient le Visa de sécurité ANSSI pour sa qualification SecNumCloud, une reconnaissance de sécurité renforcée pour l'hébergement de données sensibles et stratégiques dans le cloud

Cybersécurité : le degré de compétence de la génération Y laisse à désirer, d'après une étude

[Invité]

Bonjour

L’ANSSI revoit ses recommandations en matière d’authentification et de mots de passe, alors que les hackers multiplient les attaques depuis 2020, par Marc Turbé, Marketing Manager, Specops Software

Que pensez-vous de ces recommandations de l'ANSSI ?

Plutôt d'accord sur le fait d'orienter vers "la passe phrase".

Les recommandations de l’ANSSI prônent les principes de l’authentification en mettant en avant l’utilisation de l’authentification multi-facteur pour venir renforcer la sécurité des mots de passe selon trois facteurs :

« ce que je sais », le mot de passe ou la phrase de passe
« ce que je possède », le téléphone qui contient le token d’identification ou une carte à puce
« ce que je suis », une caractéristique physique de l’utilisateur, souvent un facteur biométrique

C'est cool , on dirait que l'ANSSI à lu la tribune-débat que j'avais fait fin 2019 : https://tanaka.developpez.com/gestion-mots-de-passe/

Quel est votre avis sur les phrases de passe, en remplacement des mots de passe trop difficiles à mémoriser ?

Contrairement à ce qui a longtemps été enseigné aux utilisateurs, l’ANSSI recommande maintenant d’allonger un mot de passe plutôt que de chercher à le complexifier pour augmenter l’entropie. L’agence recommande désormais l’utilisation de phrases de passe car plus longues mais aussi plus simples à mémoriser pour l’utilisateur.

L'idée de fond est de faire "exploser" le temps de décryptage d'un mdp , en cas de tentative de désanonymisation de la bdd piraté ... Plus c'est long, plus cela mettre du temps a être "cassé". On ralentit donc le process frauduleux.

Dans la deuxième partie du guide, l’ANSSI énonce une politique de stratégie de mots de passe idéale et comment elle est structurée

Selon l’ANSSI, une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe (liste non exhaustive) :

catégorie de mots de passe;

Une astuce simple > utiliser des mots de passes en langues étrangères ou en phonétique ... On se choisit une thématique et il devient difficile pour un pirate de tenter la moindre désanonymisation .

longueur des mots de passe;

Clairement, comme dit plus haut , tendre vers une passe phrase, facile à retenir ... longue

règles de complexité des mots de passe (c.-à-d. les types de caractères utilisables) ;

C'est un peu le B A BA, cependant, cela est une bonne piqure de rappel . "Casser la logique de départ d'une chaine". Ainsi cela augmente encore le score de "sécurité" pour contrer toute désanonymisation .

mécanismes de limitation d’essais d’authentification;

Contrer le force brute, pour jarter un malveillant est essentiel. Au delà de X tentative , c'est simplement bloquer pour X heures toute connexion.

méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe;

Avoir une adresse alternative en cas de problème, ou alors un numéro de gsm/fixe .