Les politiques de sécurité ne sont pas écrites dans le marbre. Elles évoluent en fonction des pratiques des utilisateurs, des technologies disponibles et des nouvelles menaces.

Dans les années 2000, lorsque Internet commençait à être populaire, les sites n’étaient, par exemple, que très peu sécurisés, car les attaques n’étaient pas courantes, probablement parce que les équipements informatiques n’étaient pas aussi abordables qu’aujourd’hui et les connaissances techniques pas aussi accessibles. Il n’était alors pas anomal de se connecter sur un site non sécurisé par HTTPS avec un mot de passe quelconque.

Le monde d’aujourd’hui est bien différent. Les menaces sont omniprésentes et proviennent aussi bien d’organismes d’État que d’entreprises privées, ou d’individus à des milliers de kilomètres de distance. Le fait que la grande majorité des services et des informations soit numérisée attire la convoitise de certains qui se donnent les moyens pour nuire ou s’enrichir.

Il faut donc s’adapter et faire évoluer ses pratiques. Cela veut dire plus de sécurité et une meilleure sécurité. Pour les sites Internet, il est désormais inconscient de ne pas doter son site de HTTPS, tellement l’interception des communications est devenue un jeu d’enfants, et il est tout aussi inconscient de laisser ses utilisateurs se munir d’un mot de passe quelconque, vu la professionnalisation des attaques.

Faut-il demander à ses utilisateurs de changer de mot de passe ?

On a déjà mentionné dans un article précédent1 qu’un mot de passe robuste comportait trois caractéristiques : long, composé de caractères différents et peu prédictible.

Pour améliorer davantage la sécurité, certains considèrent qu’il est nécessaire de changer de mot de passe à intervalles réguliers, par exemple, tous les mois.

Pour plus de sécurité, pensez à changer régulièrement le mot de passe de votre compte ameli.
E-mail envoyé par l’Assurance Maladie le 08/06/2021 recommandant aux assurés de changer régulièrement leur mot de passe.

Deux raisons semblent être mises en avant pour justifier cette pratique :

  • la première consiste à penser que, si l’intervalle de temps pendant lequel le mot de passe est valide est relativement court, disons 30 jours, cela ne laisserait pas assez de temps à un attaquant pour décrypter les mots de passe2, qui aurait préalablement été discrètement dérobés.
  • la seconde consiste à penser que, si un attaquant dérobait le mot de passe d’un utilisateur à son insu, son pouvoir de nuisance serait limité à la période de validité du mot de passe.

S’il est vrai que la puissance était limitée dans les années 2000, ce n’est plus du tout le cas aujourd’hui. Nous sommes tous équipés de terminaux d’une puissance disproportionnée par rapport à nos besoins réels, et des serveurs avec une puissance de calcul démesurée peuvent être loués pendant une heure, une journée, ou un mois, en quelques clics. Il est donc possible de déchiffrer la plupart des mots de passe en une poignée de secondes. Des services proposent même de le faire pour vous en échange de quelques centimes. Cette raison était donc peut-être valide à l’époque, mais n’est plus du tout d’actualité aujourd’hui.

La deuxième raison, qui consiste à penser que cela limiterait la nuisance, n’est pas totalement fausse. Il est vrai que si un attaquant prend connaissance du mot de passe d’un utilisateur, il peut accéder à ses données, et que le fait de changer ce mot de passe l’empêcherait de se reconnecter avec les mêmes identifiants, mais cela importe peu, car l’ensemble des données présentes auront été dérobées dans les minutes qui suivent le vol du mot de passe. L’attaquant n’attend pas des jours, des semaines ou des mois pour réaliser ses méfaits. L’utilisateur peut donc changer son mot de passe après la période d’expiration, c’est-à-dire 30, 60 ou 90 jours selon l’humeur de l’administrateur, mais cela ne changera pas le fait que l’intégralité de ses données a été lue, copiée ou détruite.

Dans un monde idéal où les internautes utiliseraient uniquement des mots de passe longs, composés de caractères différents et peu prédictibles, le fait de changer de mot de passe améliorerait la sécurité.

La réalité, comme certaines études3 l’ont confirmé, c’est que les internautes n’utilisent pas d’outils pour stocker leurs mots de passe, mais les mémorisent. Lorsqu’il leur est demandé de modifier leur mot de passe, les capacités humaines étant limitées, il est très probable qu’ils ne fassent pas l’effort de générer et mémoriser un nouveau mot de passe robuste, mais qu’ils ne modifient que très légèrement leur mot de passe en faisant appel à des moyens mnémotechniques, souvent basiques et très prédictibles. Ce tour de passe-passe est totalement contre-productif et enlève tous les bienfaits du changement du mot de passe, car un attaquant qui connaîtrait le mot de passe d’un utilisateur à un moment n’aurait probablement pas de mal à déduire le nouveau mot de passe de l’utilisateur.

Concrètement, cela veut dire que si l’on demande à un internaute de modifier son mot de passe chaque année et que son mot de passe est @lbatR0s2020, il y a une forte probabilité que le nouveau mot de passe soit @lbatR0s2021. De même, si on demande à un internaute de modifier son mot de passe chaque mois, l’utilisateur sera tenté d’utiliser R0binMai20 et il changera probablement son mot de passe pour R0binJuin20. Les études ont aussi montré que les utilisateurs ont tendance à substituer un caractère par un autre lorsqu’il est leur est demandé de changer de mot de passe. Le mot de passe BaTmAn1990 a donc une forte probabilité de devenir B4Tm4n1990 et le mot de passe Bast1lle54 de devenir Ba$t1lle54.

En demandant aux utilisateurs de changer de mots de passe régulièrement, leur sécurité a donc une forte probabilité d’être affaiblie, car l’utilisateur fera appel à des systèmes mnémotechniques peu fiables qu’il n’aurait peut-être pas utilisés dans le cas contraire. De même, plus on demande aux utilisateurs de changer de mot de passe, plus cette probabilité augmente.

Les pratiques ont du mal à évoluer

Les pratiques du passé ont malheureusement du mal à évoluer. L’entreprise Doctolib, spécialiste de la prise de rendez-vous médicaux, a, par exemple, envoyé à ses utilisateurs l’e-mail suivant :

« Depuis sa création, Doctolib assure la confidentialité de vos données personnelles. C’est pour nous une priorité absolue.
Afin de garantir la sécurité de votre compte Doctolib, nous vous rappelons qu’il est important de modifier régulièrement votre mot de passe. »

— E-mail de Doctolib envoyé à ses utilisateurs le 27/04/2021

Au passage, lorsqu’une société se sent obligée de préciser que la confidentialité est « une priorité absolue » en commençant un message, c’est souvent signe qu’un événement regrettable est arrivé, comme une brèche ou une perte de données. Ce n’est, semble-t-il, pas le cas ici d’après la réponse qui m’a été communiquée. Il n’en demeure pas moins que de demander aux utilisateurs de changer leur mot de passe sans raison est un très mauvais conseil.

On ne peut cependant pas trop blâmer Doctolib, car cette pratique ne fait toujours pas consensus. Les autorités françaises sont, par exemple, étrangement favorables. L’ANSSI4, autorité française en charge de la sécurité des systèmes d’information, recommande, par exemple, de renouveler les mots de passe régulièrement :

« Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ; »

La CNIL5 a publié une recommandation similaire et demande même aux éditeurs de l’imposer aux utilisateurs :

« Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé. »

Heureusement, des entreprises privées ou des organismes d’état étrangers proposent un discours différent, plus rationnel. C’est le cas de Microsoft qui l’indique dans une recommandation :

« La pratique qui consiste à faire expirer les mots de passe fait plus de mal que de bien, parce qu’elle pousse les utilisateurs à utiliser des mots de passe très prédictibles. […] L’obligation de changement des mots de passe est une vieille pratique de sécurité, mais les recherches actuelles indiquent que cela à un effet négatif. »

Microsoft a même choisi de retirer la fonctionnalité de ses produits phares, Windows et Windows Server, pour éviter que les administrateurs ne soient tentés de l’utiliser :

« L’expiration périodique des mots de passe est une pratique ancienne et obsolète qui ne réduit que très peu les risques […]. En retirant la fonctionnalité plutôt qu’en la laissant et en recommandant de ne pas l’utiliser, les organisations peuvent [utiliser nos produits] comme ils le souhaitent sans être en contradiction avec nos recommandations. »

Le National Cyber Security Centre, organisme national de cybersécurité anglais équivalent à l’ANSSI, affiche aussi publiquement son opposition à cette pratique :

« L’expiration régulière des mots de passe est une exigence courante dans de nombreuses politiques de sécurité. Cependant, […] nous la déconseillons explicitement. […] plus les utilisateurs sont forcés à changer leur mot de passe, plus la vulnérabilité aux attaques est importante.
La NCSC recommande aux organisations de ne pas forcer régulièrement l’expiration des mots de passe. »

La Federal Trade Comission, équivalent américain de notre DGCCRF9, a également étudié la question et est arrivé à la même conclusion :

« De nombreux éléments montrent que les utilisateurs qui sont obligés de changer fréquemment leurs mots de passe choisissent un mot de passe plus faible et utilisent des méthodes prédictibles permettant aux attaquants de les deviner facilement.
Sauf s’il y a une raison de penser qu’un mot de passe a été compris ou partagé, exiger un changement régulier des mots de passe peut faire plus de mal que de bien dans certains cas. »

L’expert en sécurité informatique, Troy Hunt, auteur du désormais célèbre Have I Been Pwned11, qui permet aux utilisateurs de savoir si leurs mots de passe ont été révélés, s’est aussi déjà opposé publiquement à cette pratique :

« N’exigez pas un changement régulier des mots de passe »

Des études académiques ont aussi été réalisées sur le sujet et les mêmes conclusions en ressortent. Une première de l’Université de Caroline du Nord :

« Nous pensons que notre étude remet en question le bien-fondé de la pratique de l’expiration des mots de passe. »

— The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis, Y. Zhang, F. Monrose, et M.K. Reiter de l’Université de Caroline du Nord, USA, traduit13 de l’anglais.

Et une seconde de l’Université de Carleton au Canada :

« Plusieurs politiques de sécurité forcent les utilisateurs à changer leurs mots de passe à intervalles réguliers avec la justification que cela améliore la sécurité de façon globale. […] nous avons constaté que le bénéfice est, au mieux, relativement mineur, et discutable au vu des coûts globaux. »

— Quantifying the Security Advantage of Password Expiration Policies, S. Chiasson et P.C. van Oorschot, Université de Carleton, Ottawa, Canada, traduit14 de l’anglais.

Il est très difficile pour les entreprises et les éditeurs de sites Internet de savoir à qui se fier en termes de sécurité, car des messages opposés circulent constamment, soit parce que les pratiques évoluent et que certains acteurs ne se mettent pas à jour, soit parce que l’analyse ou les solutions adaptées ne font pas consensus.

Dans le cas de l’expiration des mots de passe, les professionnels de l’informatique semblent être globalement d’accord sur le fait que la pratique doit être proscrite, car susceptible d’affaiblir la sécurité des utilisateurs.

Quand faut-il changer de mot de passe ?

Il est donc déconseillé de demander aux utilisateurs de changer de mot de passe, juste sous prétexte de sécurité. Certaines raisons justifient néanmoins de changer son mot de passe.

Pour les organisations ou les éditeurs de sites Internet, si le moindre doute existe sur le fait que les mots de passe des utilisateurs ont été compromis, il faut, par précaution, forcer les utilisateurs à changer de mot de passe. Il est aussi important d’expliquer la situation aux utilisateurs, qui doivent être conscients que le mot de passe qu’ils utilisent a potentiellement été dérobé et que tous ses comptes qui utilisent ce mot de passe doivent être modifiés.

Pour les internautes, plein de raisons sont aussi valables pour justifier un changement de son mot de passe, comme l’écrit très bien la FTC dans son analyse :

« Si vous avez une raison de croire que votre mot de passe a été volé, vous devriez le changer, et assurez-vous de le changer sur tous les comptes qui utilisent un mot de passe identique ou similaire.
Si vous avez partagé votre mot de passe avec un ami, changez-le.
Si vous avez remarqué que quelqu’un a regardé au-dessus de votre épaule lorsque vous avez tapé votre mot de passe, changez-le.
Si vous pensez que vous avez communiqué votre mot de passe à un site de phishing, changez-le.
Si vous pensez que votre mot de passe est faible, changez-le.
Si cela vous fait vous sentir mieux ou que vous pensez qu’il est venu le temps de le changer, alors n’hésitez pas et changez-le.
Peu importe la raison pour laquelle vous changez votre mot de passe, choisissez un nouveau mot de passe sans lien avec votre ancien mot de passe et ne réutilisez pas un mot de passe d’un autre compte. »

Il est aussi important de rappeler que les mots de passe ne sont pas le seul moyen d’authentification. D’autres mécanismes16 peuvent être utilisés en complément des mots de passe pour améliorer la sécurité d’un accès, comme les applications d’authentification17 ou les clés d’authentification.

Pour les éditeurs, plusieurs mesures peuvent être mises en place pour améliorer la sécurité de ses utilisateurs comme l’utilisation d’un deuxième facteur d’authentification, la détection de connexions frauduleuses, l’interdiction de certains mots communs et de certains mots de passe déjà identifiés comme compromis, etc. Certaines méthodes peuvent être plus contraignantes pour l’utilisateur que d’autres, mais dans l’ensemble, elles sont bien plus efficaces que l’expiration régulière des mots de passe.

Automatiser le changement des mots de passe

Les internautes utilisent des dizaines de comptes au quotidien, pour leurs e-mails, leurs achats, leurs réseaux sociaux, leurs loisirs, etc. Il est humainement impossible de tous les mémoriser, surtout si on part du principe que chaque mot de passe est relativement long, peu prédictible et composé de plein de caractères différents. La seule solution est d’utiliser un gestionnaire de mots de passe. Ces outils permettent de générer des mots de passe relativement aléatoires et les stockent pour que l’internaute n’ait plus à les mémoriser.

En utilisant un gestionnaire de mot de passe et en générant de nouveaux mots de passe robustes, il serait alors bénéfique de changer régulièrement son mot de passe. On peut même espérer qu’un jour un standard18 soit instauré pour permettre aux gestionnaires de mots de passe d’automatiser ce processus. On pourrait alors imaginer changer ses mots de passe entièrement automatiquement, à des intervalles très courts, comme tous les jours ou même toutes les heures. Une proposition de standard19, rédigée par les ingénieurs d’Apple en 2018, va dans cette direction, même si elle permet uniquement, pour le moment, de connaître l’adresse de la page permettant de changer son mot de passe.

La route est encore longue avant d’en arriver à un stade d’automatisation avancé. En attendant, le mieux est de ne pas obliger les utilisateurs à changer leur mot de passe et de les inciter à se munir d’un gestionnaire de mots de passe.

Note : Doctolib a été choisi pour illustrer cet article, mais nul doute que d’autres entreprises utilisent les mêmes pratiques. L’objectif n’est pas de dénigrer leur travail, mais de faire comprendre les problèmes d’une telle démarche pour inciter les organisateurs et les éditeurs à ne pas la reproduire.

MAJ du 08/06/2021 : ajout de l’exemple de l’Assurance Maladie.

Notes et références

  1. La robustesse des mots de passe est détaillée dans l’article « Tous les mots de passe ne se valent pas ».
  2. Pour des raisons de sécurité expliquées dans la vidéo « Comment stocker les mots de passe pour éviter que les hackers ne les volent », les mots de passe sont chiffrés avant d’être stockés. Cela permet théoriquement d’empêcher une personne malintentionnée de retrouver les mots de passe des utilisateurs, dans l’éventualité où la base de données contenant les mots de passe serait dérobée.
  3. Études sur l’impact du renouvellement périodique des mots de passe : « The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis » par Y. Zhang, F. Monrose, et M.K. Reiter de l’Université de Caroline du Nord, USA, « Quantifying the Security Advantage of Password Expiration Policies » par S. Chiasson et P.C. van Oorschot de l’Université de Carleton, Ottawa, Canada.
  4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information.
  5. CNIL : Commission Nationale de l’Informatique et des Libertés.
  6. Les conseils de Microsoft sur le renouvellement périodique des mots de passe : « Password expiration policies do more harm than good, because these policies drive users to very predictable passwords. […] Mandated password changes are a long-standing security practice, but current research strongly indicates that password expiration has a negative effect. » (source).
  7. Microsoft retire la fonctionnalité permettant d’imposer le renouvellement périodique des mots de passe : « Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance. » (source).
  8. Les conseils de la NCSC sur le renouvellement périodique des mots de passe : « Regular password expiry is a common requirement in many security policies. However, […] we explicitly advised against it. […] the more often users are forced to change passwords, the greater the overall vulnerability to attack […]. The NCSC now recommend organisations do not force regular password expiry. » (source).
  9. DGCCRG : Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes.
  10. Les conseils de la FTC sur le renouvellement périodique des mots de passe : « there is a lot of evidence to suggest that users who are required to change their passwords frequently select weaker passwords to begin with, and then change them in predictable ways that attackers can guess easily. Unless there is reason to believe a password has been compromised or shared, requiring regular password changes may actually do more harm than good in some cases. » (source).
  11. Le site Have I Been Pwned créé par Troy Hunt permet de vérifier son compte ou son mot de passe a fait partie d’une fuite de données.
  12. Les conseils de Troy Hunt sur le renouvellement périodique des mots de passe : « Do Not Mandate Regular Password Changes » (source).
  13. Le résume de l’étude « The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis » par Y. Zhang, F. Monrose, et M.K. Reiter de l’Université de Caroline du Nord, USA : « We believe our study calls into question the merit of continuing the practice of password expiration. ».
  14. Le résumé de l’étude « Quantifying the Security Advantage of Password Expiration Policies » par S. Chiasson et P.C. van Oorschot de l’Université de Carleton, Ottawa, Canada : « Many security policies force users to change passwords within fixed intervals, with the apparent justification that this improves overall security. However, the implied security benefit has never been explicitly quantified. In this note, we quantify the security advantage of a password expiration policy, finding that the optimal benefit is relatively minor at best, and questionable in light of overall costs. »
  15. Les conseils de la FTC sur le changement des mots de passe : « If you have reason to believe your password has been stolen, you should change it, and make sure you change it on all of your accounts where you use the same or a similar password. If you shared your password with a friend, change it. If you saw someone looking over your shoulder as you were typing your password, change it. If you think you might have just given your password to a phishing website, change it. If your current password is weak, change it. If it will make you feel better or if you just feel like it’s time for a change, then by all means go ahead and change your password. Regardless of why you are changing your password, choose a new password unrelated to the old one and don’t reuse a password from another account. » (source).
  16. Les mécanismes d’authentification sont présentés dans la vidéo « Comment renforcer la sécurité de vos accès et être mieux protégé face aux attaques ».
  17. Les applications d’authentification sont présentées dans l’article « Les applications d’authentification pour améliorer la sécurité de vos comptes ».
  18. Un standard est un référentiel qui contient un certain nombre de règles et qui permet d’uniformiser les pratiques des différents acteurs. L’organisme en charge de standardiser les sujets liés à Internet est le World Wide Web Consortium (W3C).
  19. Une proposition de standard est à l’étude pour permettre aux sites Internet de déclarer l’adresse l’adresse de la page permettant de modifier son mot de passe : w3c.github.io/webappsec-change-password-url