Les limites de l'authentification par mot de passe

Si la première des failles révélées par l'OWASP concerne les paramètres non validés lors des requêtes "HTTP", le rapport met ensuite l'accent sur les problèmes de vulnérabilité générés par l'authentification des utilisateurs. La vulnérabilité du système peut ainsi naître bien souvent d'abord du contrôle des accès puis de la gestion des comptes et des sessions d'utilisateurs. Or c'est bien souvent au niveau de la gestion des mots de passe, élément central des dispositifs d'authentification, que se présentent les failles.

Trois catégories de risques sont liées à la gestion des mots de passe :

Le vol technique :
De nombreux outils sont à la disposition d'un individu qui souhaite récupérer un mot de passe. Il faut ainsi se méfier :

· Des fichiers de configuration stockés sur le web et accessibles trop facilement par les internautes ;
· De certaines fonctionnalités facilement détournées comme l'envoi de mot de passe oublié ou l'actualisation de ce dernier ;
· Des créations de sessions non protégées ;
· Des e-mails dissimulant un cheval de Troie donnant accès à l'ordinateur et aux mots de passe se trouvant sur le réseau ;
· Des outils comme les "renifleurs de mots de passe" qui peuvent infiltrer le système d'exploitation puis capturer et envoyer le mot de passe demandé par l'application.

Les habitudes humaines :
Au-delà de la technologie, les comportements de chaque individu peuvent également mettre en danger le système d'information.

· Mémorisation du mot de passe : lorsque le mot de passe est choisi aléatoirement, les utilisateurs ont souvent du mal à le mémoriser. Ils présentent alors le risque de noter cette information pour la retenir sur un carnet ou sur leur ordinateur. Ils peuvent aussi le modifier (s'ils en ont le droit) mais choisissent alors généralement des mots de passe faciles à deviner (date de naissance, prénom de la famille etc.).

· Echange d'information : les mots de passe sont des données aisées à échanger. L'utilisateur peut par exemple "prêter" son accès pour une période à un collaborateur. Par ailleurs, les failles humaines sont également exploitées par les hackers selon des procédés rassemblés sous la notion "d'ingénierie sociale". Ces procédés consistent à utiliser par exemple la crédulité humaine en se faisant passer pour une personne du service informatique etc.

Les risques internes :

La majorité des entreprises continuent de se pencher essentiellement sur les risques extérieurs à l'entreprise. Les menaces externes sont pourtant largement plus faibles que les risques internes. Ceux-ci représentent en effet 70 % des "attaques", selon l'enquête d'Evidian* menée sur la sécurité des systèmes d'information auprès de 250 grandes entreprises dans 7 régions ou pays d'Europe. Il faut cependant noter que d'après cette même enquête, ces attaques internes sont jugées plus ou moins délibérées. Ainsi en France, les risques seraient plutôt accidentels (65%) que délibérés (15%) (au Royaume-Uni, le rapport est à l'opposé avec 70 % d'attaques délibérées pour 20 % accidentelles).