DÉVERROUILLEZ LE MONDE DE L'IT

Apprentissage Sans Frontières

Accédez gratuitement à nos supports de cours et élargissez vos horizons en IT

Vulnérabilités de mot de passe

Vulnérabilités de mot de passe

Damien.SO Damien.SO
7 minutes de lecture

Vulnérabilités de mot de passe

La plupart des systèmes d'un réseau d'entreprise utilisent un type d’authentification pour accepter ou refuser l'accès des utilisateurs.

Lorsque les utilisateurs accèdent à un système, on leur demande généralement un nom d'utilisateur et un mot de passe.

Un nom d’utilisateur est assez facile à deviner, par rapport à son nom.

C’est pourquoi il faut bien faire attention à ne pas utiliser un mot de passe par défaut, ou bien une chaîne de texte facile à deviner.

Sinon ce serait très simple pour une personne malveillante d’accéder au système de l’utilisateur.

L’idéal est de se placer à la place de la personne malintentionnée, pour voir si le mot de passe que l’on choisit est facile à deviner.

Par exemple, il faut fortement éviter ces types de password comme :

  • Motdepasse
  • Ou bien : motdepasse123
  • Ou encore 123456

Et bien sûr, éviter aussi le couple utilisateur/mot de passe en : Admin/admin

Un hacker peut soit tenter de trouver le mot de passe manuellement, c’est-à-dire en les essayant 1par1, ou bien à l’aide d’un logiciel qui va utiliser un dictionnaire de mot de passe les plus courants, pour tenter de deviner celui de l’utilisateur.

Ce type de méthode risque tout de même de prendre un certain temps, et peut même être consommatrice en ressource informatique…

Pour atténuer le risque des attaques par mot de passe, une entreprise doit implémenter des stratégies sur l’ensemble de ces utilisateurs.

Par exemple, elle pourrait imposer de longs mots de passe composés d'une combinaison de caractères majuscules et minuscules ainsi que des chiffres et même de certains caractères spéciaux.

L'objectif est de rendre le mot de passe très complexe, pour qu’il soit difficile à trouver par une attaque de mot de passe.

De plus, l’idéal serait même d’exiger qu’ils soient modifiés régulièrement pour que les longues attaques de mot de passe n’aient pas le temps de le trouver.

ALTERNATIVES DE MOT DE PASSE

Une entreprise peut également envisager d'utiliser des informations d'identification alternatives qui apportent plus de complexité et plus de sécurité.

C’est ce qu’on appelle l’identification à 2 facteurs.

Ce qui permet ainsi de garantir que vous êtes la seule personne pouvant accéder à votre compte, même si quelqu’un d’autre connaît votre mot de passe.

Le deuxième facteur d’identification pourrait être :

  • Une clé à changement dynamique
  • Un message contenant un code à durée limitée
  • Un Certificat numérique
  • Ou bien même une identification biométrique

Ce qui pousse le système encore plus loin, en demandant comme facteur « quelque chose que vous êtes ».

L’idée est d'utiliser un attribut physique du corps d'un utilisateur pour identifier cette personne.

Les attributs physiques sont généralement uniques à la structure corporelle de chaque individu et ne peuvent donc pas être facilement volés ou dupliqués.

Par exemple, l'empreinte digitale d'un utilisateur peut être analysée et utilisée comme facteur d'authentification.

D'autres exemples de ce deuxième facteur d’identification seraient :

  • La reconnaissance faciale
  • Les empreintes palmaires
  • La reconnaissance vocale
  • La reconnaissance de l'iris
  • Et même les scans rétiniens.

Alors bien sûr, certaines méthodes sont plus fiables que d'autres.

Par exemple, les systèmes de reconnaissance faciale peuvent être trompés lorsqu'ils sont présentés avec des photographies.

Et même les empreintes ainsi que l’iris peuvent être altérés, par des blessures ou alors, simplement par le vieillissement de la personne.

Pour contrer ces faiblesses, il est possible de combiner plusieurs identifications biométriques pour authentifier les utilisateurs.

Caractéristique

Juste le mot de passe

2 facteurs d’identification

Certificat numérique

Biométrique

Quelque chose que vous savez

Oui

Oui

 

 

Quelque chose que vous avez

 

Oui

Oui

 

Quelque chose que vous êtes

 

 

 

Oui

Le tableau répertorie les idées clés de chaque alternative à l'authentification par mot de passe.

FORMER LES UTILISATEURS A LA SÉCURITÉ

Une bonne approche que pourrait avoir une entreprise pour améliorer la sécurité serait d’éduquer ses utilisateurs par le biais d'un programme de sécurité d'entreprise.

La plupart des utilisateurs n’ont pas forcément de notions d’informatique, ce qui les rend vulnérables aux attaques extérieures.

Par exemple, si les utilisateurs de l'entreprise reçoivent un e-mail contenant une menace dissimulée, eh bien ils pourraient être tentés de suivre un lien du mail pointant vers un site malveillant.

Ce qui aurait comme effet d’infecter l'ordinateur de l’utilisateur, en ouvrant une porte, c’est-à-dire un accès qui introduirait un logiciel malveillant ou un ver

C’est pourquoi il est important de sensibiliser ses utilisateurs à l’informatique, afin d’en améliorer la sécurité.

Pour une sécurité efficace, ce programme d’accompagnement devra porter sur plusieurs éléments de base :

  • Il faut commencer par sensibiliser les utilisateurs :

C’est-à-dire qu’ils doivent être informés sur la nécessité de protéger les données de l’entreprise, ainsi même, que de leurs informations personnelles.

Il faut aussi les informer des différentes menaces qui existent, et de mettre à leur disposition une procédure pour signaler les incidents de sécurité.

  • Dans le programme, il faut aussi inclure une Formation des utilisateurs, ou ils seront tenus d’y participer régulièrement, dans le but, de se familiariser avec toutes les politiques de sécurité de l'entreprise.
  • Et pour finir, il faut équiper l’entreprise d’un contrôle d'accès physique.

C’est-à-dire que toutes les pièces contenant des armoires réseaux ou les endroits où sont stockées les données de l’entreprise doivent rester verrouillés en toute sécurité.

L’idéal est même d’avoir un accès par badges aux locaux sensibles, ce qui représente une solution évolutive et permet de garder une trace avec un horodatage, des différentes personnes qui ont eu accès.

De plus, avec ce genre de système, il est très facile pour les admin réseau de contrôler les accès et de les supprimer rapidement, par exemple, quand un employé quitte l’entreprise.

Retrouver de nombreuses vidéos de cours sur la chaîne Youtube Formip :

« Retour au blog