Discussion :

[Olivier Famien]

18 % des professionnels IT utilisent du papier pour gérer l’accès aux comptes privilégiés dont ils sont responsables,
indique un rapport de One Identity

Lorsque vous êtes chargé de la gestion de l’accès aux comptes administratifs ou privilégiés au sein d’une entreprise, plusieurs méthodes sont offertes pour mener à bien cette mission. One Identity qui est une entreprise qui propose aux particuliers et aux entreprises un ensemble de solutions pour gérer efficacement les mots de passe de divers types de comptes au sein d’un réseau a souhaité savoir quelles sont les difficultés rencontrées dans la gestion de l’accès d’identité et des comptes privilégiés.

Pour ce faire One Identity a ordonné un sondage qui a été mené par l’entreprise Dimensional Research auprès de 913 professionnels IT ayant des responsabilités dans la sécurité ainsi que dans la gestion de bases de données. Après avoir analysé les différentes réponses fournies par les personnes interrogées, One Identity rapporte que 36 % des professionnels IT interrogés utilisent le tableur Excel pour gérer les comptes d’administrateur et d’autres comptes privilégiés. Si cela vous étonne, alors sachez que vous êtes encore loin du compte, car environ 18 % des personnes interrogées avouent qu’elles utilisent des notes écrites sur du papier pour gérer ces mêmes types de comptes dotés de privilèges élevés.

Parmi les personnes qui utilisent du papier pour assurer le suivi des comptes privilégiés, nous avons 26 % des professionnels provenant de l’Allemagne, 23 % proviennent du Royaume-Uni, 22 % sont de Singapour, 18 % de Hong Kong, 18 % de la France et 17 % d’Australie.

Pour ce qui concerne l’usage d’Excel et des feuilles de calcul pour gérer ces comptes, nous avons 40 % des professionnels venant des États-Unis qui utilisent ce moyen pour gérer les comptes privilégiés dans les entreprises. 40 % proviennent de l’Allemagne et 38 % de la France. 34 % des professionnels faisant usage de cette pratique proviennent de l’Australie et de Singapour.

Une chose rassurante au moins, c’est que ce même sondage révèle que plus de la moitié des professionnels (54 %) utilise des coffres-forts numériques pour gérer l’accès à ces comptes privilégiés.

En dehors de ce problème, le rapport révèle que 35 % des personnes interrogées utilisent deux outils pour gérer les comptes administratifs et d’autres comptes privilégiés, là où 19 % en utilisent trois et 13 % font usage de quatre ou plus d’outils. À l’opposé des personnes utilisant plusieurs outils pour gérer les comptes privilégiés, nous avons 30 % des professionnels interrogés qui utilisent un seul outil et 3 % qui n’utilisent aucun outil.

À côté de ce volet, One Identity indique également que 95 % des professionnels surveillent l’accès à ces comptes administratifs et privilégiés tandis que 5 % des professionnels ne surveillent pas du tout les accès à ces comptes.

Pour ce qui concerne la fréquence de changement des mots de passe liés à des privilèges élevés, 14 % des personnes interrogées affirment qu’elles le font après chaque utilisation du mot de passe sur le compte en question. 53 % des personnes interrogées procèdent au changement de mots de passe tous les 30 à 60 jours et 22 % le font moins fréquemment. 9 % ne changent les mots de passe qu’en cas de problème de sécurité rapporté et 2 % ne changent jamais les mots de passe.

Selon John Milburn, président directeur général de One Identity, « lorsqu’une entreprise n’implémente pas les processus de base de sécurité et de gestion des comptes privilégiés, elle s’expose à un risque important. De plus, les failles liées à des comptes privilégiés piratés ont conduit à des coûts d’atténuation astronomiques, ainsi qu’à un vol de données et des marques ternies ». Il ajoute que « ces résultats d’enquête indiquent qu’il y a un pourcentage d’entreprises qui n’ont pas de procédures appropriées en place. Il est crucial pour les organisations de mettre en œuvre les meilleures pratiques en matière de gestion des accès privilégiés sans créer de nouveaux obstacles au travail à accomplir. »

Source: Rapport One Identity (PDF), Market Wired

Et vous ?

Gérez-vous des comptes administratifs ou des comptes privilégiés ?

Comment faites-vous pour gérer l’accès à ces comptes privilégiés ? Utilisez-vous du papier ou des outils dédiés ? Combien d’outils utilisez-vous ?

À quelle fréquence changez-vous les mots de passe des comptes privilégiés que vous utilisez ?

Voir aussi

40 % des entreprises sauvegardent les mots de passe administrateur dans un document Word, d'après une étude
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
59 % des consommateurs américains réutilisent leurs mots de passe sur la toile, selon Password Boss, et 43 % préfèrent les noter sur du papier

[Chauve souris]

Surtout pas "d'outils dédiés" qui communiqueraient tout ça à la NSA. Non, j'utilise un bête petit cahier spirale où tout est noté, pas seulement le password et qui est juste sous le moniteur. Comme il ne quitte jamais cette place je suis sûr de le retrouver.
Sinon j'ai un password passe-partout que j'utilise sur des sites marchands car il n'y a rien de confidentiel dans les commandes que j'ai passées et ma carte VISA m'est demandée à chaque fois.

[koyosama]

Vous savez, j'ai dans ma ville une des meilleurs universités du monde et le truc c'est qu'aucun étudiant ne sait que c'est un gestionnaire de mot de passe. Ils savent par contre faire des AI, du deep learning, des algos de fous et des maths de fous, sauf protéger son PC. Quand je vois des professionnels utiliser des utilisés des word comme gestionnaire de tâche à faire, ils ont tous appris sauf la bureautique. Je pensais que j'avais l'air con avec reminder (surtout qu'il y a mieux) à utiliser le système de notification et tout, mais en fait non.

Alors je ne suis pas supris du tout, le moins du monde. Et je trouve que c'est pas mal.

[RyzenOC]

Surtout pas "d'outils dédiés" qui communiqueraient tout ça à la NSA. Non, j'utilise un bête petit cahier spirale où tout est noté, pas seulement le password et qui est juste sous le moniteur. Comme il ne quitte jamais cette place je suis sûr de le retrouver.
Sinon j'ai un password passe-partout que j'utilise sur des sites marchands car il n'y a rien de confidentiel dans les commandes que j'ai passées et ma carte VISA m'est demandée à chaque fois.

je fais pareil, je note tous dans un cahier.
J'ai plus confiance dans mes collègues que dans un gestionnaire de mots de passe.

La papier n'a aucune faille de sécurité (si ce n'est un collaborateur mal intentionné qui le vole mais je doute que cela arrive la ou je suis). Cela fais des années que les pc portables ou des smartphones haut de gamme sont posé sur le bureau pendant la pose déjeuner y'a jamais eu de vol de la part d'un salarié.

[forthx]

C'est bien le papier, ça résiste a toutes les attaques numériques !

[fenkys]

Le cahier n'est pas piratable à distance, ni effaçable. Une consultation indésirée est facile à vérifier. On peut même chiffrer son contenu. Et il n'y aucun bug dans son fonctionnement. Le seul problème qui peut se poser à son utilisation se situe entre la chaise et le clavier.
En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?

[droper]

Personnellement, je n'ai pas confiance, ni dans les gestionnaires de mots de passe ni dans l'humain (mon cerveau inclus). Du coup, j'ai développé une méthode hybride.
Je ne connais que 5 ou 6 mots de passe plus ou moins forts par eux même, et je les concatène plus ou moins uniquement selon le degré de sensibilité du système sur le quelle je me log. Évidemment, si j'ai le moindre doute sur un mdp, je le change.

[altga]

Même chose, j'ai plus confiance dans le papier .. au moins j'ai plus de chances d'être au courant en cas de vol.
En revanche je note qu'une partie du mot de passe, le reste est composé d'un "mot de passe maître" commun à tous. Ce qui limite la casse en théorie si je me fais voler.

Exemple :
pattern : [motDePasseMaitre][nomDeDomaine][motsRandom]

[motDePasseMaitre] : il est le même pour tous les mots de passe.
[nomDeDomaine] : permet d'être sûr de ne pas avoir la même signature dans les bases de données lors du hash du mot de passe.
[motsRandom] : histoire de rajouter de la longueur en cas de brut force ..

[nomDeDomaine] et [motsRandom] sont notées
[motDePasseMaitre] est à retenir

Site Developpez.com :
[friteKetchup][Developpez][arbresucrechat]
(pas la peine d'essayer, ce n'est pas ça le miens :p)


EDIT :
Le [motDePasseMaitre] sert à se protéger physiquement du vol
Le [nomDeDomaine] + [motsRandom] sert à se protéger virtuellement

[Neckara]

J'ai plus confiance dans mes collègues que dans un gestionnaire de mots de passe.

Et le jour où tu as un collègue malhonnête... tu es fichu.

Les personnes malhonnêtes ne se baladent pas avec un post-it "je suis malhonnête" sur la tête. Et c'est justement parce que les personnes malhonnêtes paraissent honnêtes qu'elles peuvent abuser de la confiance qu'on place en eux.

La papier n'a aucune faille de sécurité

Difficile d'avoir des failles de sécurités quand on n'a aucune sécurité.

Cela fais des années que les pc portables ou des smartphones haut de gamme sont posé sur le bureau pendant la pose déjeuner y'a jamais eu de vol de la part d'un salarié.

Les vols de données sont peut-être plus intéressantes et plus discrètes...

Une consultation indésirée est facile à vérifier.

Ah ? Ton cahier conserve un historique de ses accès ?

On peut même chiffrer son contenu.

Bon courage pour faire les calculs à la main avec une clé de 128bits

En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?

Et ton mot de passe, tu ne le saisis jamais sur l'ordinateur ?

En revanche je note qu'une partie du mot de passe, le reste est composé d'un "mot de passe maître" commun à tous. Ce qui limite la casse en théorie si je me fais voler.

Il suffit de connaître un de tes mots de passes, e.g. via fishing, ou un site malhonnête et l'astuce se dévoile très facilement. Les mots de passes ne semblent d'ailleurs ne pas être très solides, casser les autres mots de passes à partir d'un mot de passe connu ne semble pas difficile.

De même, même sans connaître de mots de passes, juste avec le cahier, on peut avec un peu de chance en casser quelques uns par brute force.



Vous êtes tous sérieux ou certains d'entre vous sont en train de troller ? Vous avez un jour d'avance.

[altga]

Il suffit de connaître un de tes mots de passes, e.g. via fishing, ou un site malhonnête et l'astuce se dévoile très facilement. Les mots de passes ne semblent d'ailleurs ne pas être très solides, casser les autres mots de passes à partir d'un mot de passe connu ne semble pas difficile.

De même, même sans connaître de mots de passes, juste avec le cahier, on peut avec un peu de chance en casser quelques uns par brute force.



Vous êtes tous sérieux ou certains d'entre vous sont en train de troller ? Vous avez un jour d'avance.

Grâce au fishing tu vas connaitre mon mot de passe maître mais tu ne sera toujours pas en possession du carnet de note ... et donc du reste des mots de passe.
Le [motDePasseMaitre] sert à se protéger physiquement du vol
Le [nomDeDomaine] + [motsRandom] sert à se protéger virtuellement
Pour la question de solidité, j'ai donné un exemple.. à toi de complexifier à ta guise..

L'avantage de cette technique c'est que Madame Michu peut l'appliquer assez facilement. Là où un gestionnaire de mot de passe est l'étape de trop. Ce sera toujours plus efficace qu'une grande quantité de personnes saisissant le même mot de passe pour tous leurs comptes (pour question de facilité).

Concernant l'argument de l'historique. C'est là la faille du papier .. Mais tu n'as pas non plus l'historique des intrusions sur ton gestionnaire de mot de passe ou même ton pc.. Tu as plus de chance de voir la tentative de vol de carnet en revanche (ou son "emprunt").

Je pense que le papier est une vrai question à se poser .. même si ça parait d'un autre temps. Je ne dis pas que c'est la meilleure solution, mais je suis loin de dire que c'est la pire. Un tableur Excel est pour moi la pire des méthodes.. contrairement à l'article qui semble classer la papier après.

[Neckara]

Grâce au fishing tu vas connaitre mon mot de passe maître mais tu ne sera toujours pas en possession du carnet de note ... et donc du reste des mots de passe.

Pas besoin de connaître le reste des mots de passes.

La partie "nom de domaine" se déduit presque instantanément. La partie "mots random" s'attaque par simple brute force.
Le mot de passe entier ne devant pas être trop long (sinon trop enquiquinant à taper), la partie "mots random" sera très certainement faible.

Une fois qu'on connaît la méthode de construction du mot de passe, ou qu'on a quelques à priori sur sa construction, on peut utiliser des heuristiques pour la brute force. En ce rien ne vaut un vrai mot de passe généré aléatoirement, et donc utiliser un gestionnaire de mot de passe.

Là où un gestionnaire de mot de passe est l'étape de trop.

Il ne faut pas exagérer, au pire du pire, on peut choisir "se rappeler du mot de passe" dans le navigateur et lui donner un mot de passe maître.
C'est toujours mieux que de laisser son carnet de mot de passes à côté de l'ordinateur...

Mais tu n'as pas non plus l'historique des intrusions sur ton gestionnaire de mot de passe ou même ton pc..

Ce n'est pas impossible à mettre en place.
Sachant que contrairement à un carnet, le gestionnaire est protégé contre l'intrusion via un mot de passe maître (ou une clé).

Un tableur Excel est pour moi la pire des méthodes.. contrairement à l'article qui semble classer la papier après.

Je ne sais pas si c'est pire ou non, mais en effet utiliser un tableur Excel est ridicule, quitte à stocker les mots de passes sur ordinateur, autant utiliser un outil adapté.

[MikeRowSoft]

Une version papier imprimé depuis un fichier texte et le fichiers texte dans une clé USB. Les deux sont pas au même endroit et je ne les portes jamais sur moi.
Avant la clé USB, j'utilisais un CD-RW.
Reste plus que la vidéo du testament...

[Namica]

C'est bien le papier, ça résiste a toutes les attaques numériques !

Il peut être photographié avec n'importe quel smartphone...

[Namica]

...
Exemple :
pattern : [motDePasseMaitre][nomDeDomaine][motsRandom]

[motDePasseMaitre] : il est le même pour tous les mots de passe.
[nomDeDomaine] : permet d'être sûr de ne pas avoir la même signature dans les bases de données lors du hash du mot de passe.
[motsRandom] : histoire de rajouter de la longueur en cas de brut force ...

Neckara a tout à fait raison.
[nomDeDomaine] ne participe pas à la solidité de ton mot de passe, vu qu'il est facilement déductible.
Il ne reste donc que [motDePasseMaitre][motsRandom]
Or [motDePasseMaitre] est identique partout. Cela diminue donc l'entropie de ton mdp.
C'est comme cela que la machine Enigma des Allemands en 40/45 a été cassée : les messages en clair se terminaient toujours par les mêmes mots.
Ici c'est ton mdp qui commence toujours par [motDePasseMaitre], c'est une faiblesse.

[Chauve souris]

Il peut être photographié avec n'importe quel smartphone...

On part du principe est que le hacker est extérieur et accède juste au système. Si on est dans un environnement physique où des espions peuvent être infiltrés on a
- un 9mm chargé dans son tiroir
- son carnet de mots de passe dans sa veste et non sous le moniteur.

[Chauve souris]

Une version papier imprimé depuis un fichier texte et le fichiers texte dans une clé USB. Les deux sont pas au même endroit et je ne les portes jamais sur moi.
Avant la clé USB, j'utilisais un CD-RW.
Reste plus que la vidéo du testament...

La clé USB est le genre de truc sur lequel des virus spécialisés se jettent dessus (ils sont à l'affut dans les cybers, en particulier)
La clé USB s'introduit sur un PC et c'est là où c'est le cheval de Troie inverse.
Le password sur un papier n'est transmis que par tes doigts (certes il y a des virus scruteurs de frappes clavier mais c'est un cas limite et un bon antivirus à jour les aura éliminé)

Nota : j'appelle un "bon antivirus" quelque chose qui ne pousse pas des cris parce qu'il a vu un keygen ou un patch de crack parfaitement innocent tout en ne voyant pas les vrais virus, DarkComet RAT, par exemple. C'est le cas d'Avira qui passe son temps à me bloquer mon PC avec des scans incessants. Le seul à la hauteur et qui n'est pas aussi invasif est Malewarebytes antimalwares.

[Neckara]

Si on est dans un environnement physique où des espions peuvent être infiltrés on a
- un 9mm chargé dans son tiroir
- son carnet de mots de passe dans sa veste et non sous le moniteur.

Eh bien, il va en falloir des 9mm pour tous les bureaux qui ont des femmes de ménages, des stagiaires, des visiteurs externes, etc.

La clé USB est le genre de truc sur lequel des virus spécialisés se jettent dessus (ils sont à l'affut dans les cybers, en particulier)
La clé USB s'introduit sur un PC et c'est là où c'est le cheval de Troie inverse.

Les virus, ce n'est pas magique. Une clé USB ne sera infectée qui si elle est au contact d'un ordinateur infecté, et à partir du moment où l'ordinateur est infecté, c'est un peu fichu pour les mots de passes, avec ou sans clé USB.

Le password sur un papier n'est transmis que par tes doigts (certes il y a des virus scruteurs de frappes clavier mais c'est un cas limite et un bon antivirus à jour les aura éliminé)

Oui, ça passe directement des doigts au serveur, pas d'OS, pas de navigateur, pas de réseau WiFi ou de câble ?