Content uploaded by Gilles Favier
Author content
All content in this area was uploaded by Gilles Favier on May 18, 2021
Content may be subject to copyright.
Gill es FAVIE R – 05/01 /2021
Connaissance, intention, action
Comment le contre-productif se maintient en
« best practice » de sécurité ?
Introduction
2020, 2021… – Le mot de passe, principal moyen d’authentification en milieu professionnel
n’obtient pas toujours l’adhésion des utilisateurs, pour autant sa disparition n’est pas
annoncée, loin s’en faut.
Si le mot de passe est considéré comme un mécanisme pertinent de protection du système
d’information, alors la responsabilité d’assurer son efficacité incombe au domaine de la
cybersécurité.
Après 20 années d’utilisation, d’audits, d’analyses quantitatives qui mettent en évidence
l’inefficacité des trois principaux critères de la politique de mots de passe : longueur minimale,
complexité et renouvellement (ou « LCR »), comment expliquer le statu quo ?
À qui la faute ? À l’utilisateur qui ne comprend ni n’applique correctement les règles de la
politique de mots de passe ? Au système d’information qui contrôle sans aucune
« intelligence » le respect mécanique des règles de la politique ? Aux personnes qui ont défini
la politique de mots de passe ? À ceux qui n’ont pas fait évoluer ces politiques ?
Dans cette étude, nous rappelons dans un premier temps le contexte : nous revenons sur les
constats de cette inefficacité, leurs conséquences et nous cherchons à identifier leurs causes.
Dans un second temps nous proposons des solutions. Dans une troisième partie, nous
explorons les motivations qui contribuent au « statu quo » des acteurs chargés de
promouvoir la prise en compte de ces constats. Dans une dernière partie nous proposerons
un éclairage des sciences comportementales sur les écarts entre l’intention et l’action et les
limites de l’analyse par les biais cognitifs.
A la lueur de ces constats, est-il envisageable de faire évoluer l’approche méthodologique en
cybersécurité ?
Gill es FAVIE R – 05/01 /2021 Page 2 of 31
Contents
Introduction ..................................................................................................................................................................... 1
1 Quel est le constat .................................................................................................................................................. 4
1.1 Uniformité des politiques de mots de passe ................................................................................................. 4
1.2 Qu’est-ce qu’un « bon mot de passe » / « mot de passe fort » ? ................................................................... 4
1.3 Cette politique est-elle efficace ? ................................................................................................................... 5
1.3.1 Rappel technique : le « cassage » de mots de passe .............................................................................. 5
1.3.2 Les mots de passe choisis sont -ils « forts » ? .......................................................................................... 5
1.3.3 Les mots de passe d’un utilisateur évoluent-ils dans le temps ? ........................................................... 6
1.4 Conclusion ...................................................................................................................................................... 7
2 Comment expliquer ce constat ? ........................................................................................................................... 7
2.1 L’influence des référentiels de sécurité ......................................................................................................... 7
2.2 Une politique simple et intuitive.................................................................................................................... 8
2.3 La charge mentale de l’utilisateur.................................................................................................................. 9
2.4 La dilution de la responsabilité.................................................................................................................... 12
2.5 Le (faux) « problème » .................................................................................................................................. 12
2.6 Le tout est-il la somme des parties ? ........................................................................................................... 13
2.7 Conclusion .................................................................................................................................................... 14
3 Les solutions ......................................................................................................................................................... 15
3.1 Le Single Sign On .......................................................................................................................................... 15
3.2 Désactiver le renouvellement régulier ........................................................................................................ 15
3.3 La passphrase .............................................................................................................................................. 16
3.4 « Casser » régulièrement la base de mots de passe ................................................................................... 17
3.5 Communiquer .............................................................................................................................................. 17
3.6 Une solution plus coûteuse ......................................................................................................................... 18
3.7 Conclusion .................................................................................................................................................... 18
4 Les contraintes ..................................................................................................................................................... 19
4.1 Les raisons déjà écartées ............................................................................................................................. 19
4.1.1 Le coût des mesures ............................................................................................................................... 19
4.1.2 La crainte d’un échec .............................................................................................................................. 19
4.2 Une perception limitée de la situation ........................................................................................................ 19
4.2.1 Nos ressources cognitives limitées ........................................................................................................ 19
4.2.2 Les limites de la démarche scientifique en sécurité informatique ...................................................... 20
4.3 Les raisons évoquées par les RSSI ............................................................................................................... 20
4.3.1 Quelques raisons .................................................................................................................................... 20
4.3.2 Quelques réponses ................................................................................................................................. 21
4.4 Conclusion .................................................................................................................................................... 21
5 Comment expliquer le « statu quo » ? ................................................................................................................. 23
5.1 Connaissance Croyance Intention ............................................................................................................... 23
5.1.1 Information - Connaissance .................................................................................................................... 24
5.1.2 Connaissance - Croyance ........................................................................................................................ 24
5.1.3 Croyance - Intention ................................................................................................................................ 24
5.2 Le « fossé intention – action » - « Intention to action gap » ........................................................................ 25
5.2.1 L’intention ne suffit pas. .......................................................................................................................... 25
5.2.2 Le « fossé intention - action » .................................................................................................................. 25
5.2.3 Combler le « fossé intention - action » .................................................................................................... 26
5.3 Conclusion .................................................................................................................................................... 26
6 Conclusion de l’étude ........................................................................................................................................... 28
7 Références et sources .......................................................................................................................................... 29
7.1 Sources citées .............................................................................................................................................. 29
7.2 Ouvrages ...................................................................................................................................................... 30
8 Acronymes ............................................................................................................................................................ 30
Gill es FAVIE R – 05/01 /2021 Page 3 of 31
9 Tableaux et figures ................................................................................................................................................ 31
9.1 Tableaux ....................................................................................................................................................... 31
9.2 Figures .......................................................................................................................................................... 31
Gill es FAVIE R – 05/01 /2021 Page 4 of 31
1 Quel est le constat
Nous faisons dans un premier temps trois constats :
1. Une uniformité des politiques de mots de passe au sein des organisations
2. Des politiques elles-mêmes conformes aux recommandations de l’ANSSI [1]
3. Une approche qui ne semble pas donner les résultats attendus (cf. 1.3)
1.1 Uniformité des politiques de mots de passe
Les jeux de données des universités et institutions auxquelles nous faisons référence dans
cet article, autant que les données auxquelles nous avons eu accès, sont le résultat de
politiques de mots de passe simples et très fréquemment rencontrées, quel que soit le
secteur d’activité. Ces politiques de mots de passe sont régies par trois critères principaux :
1. Longueur minimale du mot de passe : 8 caractères
2. Complexité : le mot de passe généré par l’utilisateur doit contenir a minima 3 types
de caractères parmi 4 (lettre minuscule, lettre majuscule, chiffre, caractère spécial)
3. Renouvellement obligatoire du mot de passe tous les 3 mois (~90 jours)
Politique « Longueur, Complexité, Renouvellement » ou Politique LCR, que l’on peut
schématiser de la façon suivante :
Figure 1 : Schéma des trois critères très répandus des politiques de
mots de passe
1.2 Qu’est-ce qu’un « bon mot de passe » / « mot de passe fort » ?
Sachant que de très nombreuses organisations défendent cette politique de mots de passe,
il est intéressant de s’interroger sur ce qu’elles entendent par un bon mot de passe. L’Agence
Nationale pour la Sécurité des Systèmes d’Information (ANSSI) précise dans sa note : « La
force d’un mot de passe dépend de sa longueur et du nombre de possibilité s existantes pour
chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules,
de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de
passe constitué uniquement de minuscules . » [1]
La question que nous sommes en droit de nous poser est : cette équation, longueur –
complexité – renouvellement, est-elle efficace ? Autrement dit, les mots de passes sont-ils
forts, « c’est à dire difficile à ret rouver même à l’aide d’outils automatisés » [1] :
Gill es FAVIE R – 05/01 /2021 Page 5 of 31
• si oui, ils sont robustes ou forts, i.e. difficiles à « casser » par une machine ;
• si non, une machine pourra aisément retrouver les mots de passe.
1.3 Cette politique est-elle efficace ?
1.3.1 Rappel technique : le « cassage » de mots de passe
En résumé, les mots de passe sont stockés sous une forme « codées » : un « hash ».
L’opération de cassage d’un mot de passe se déroule en 3 étapes :
1. Il faut disposer du hash du mot de passe que l’on souhaite déterminer.
2. Un ordinateur est utilisé pour tester tous les mots de passe possibles et calculer leur
hash. Par ex. le hash de « Soleil123 » serait « 8E8E3…EEF », celui de « Soleil124 » sera
« 0A4F0B…AD6 ».
3. Si le hash calculé à partir du mot de passe « Soleil123 » correspond au hash du mot
de passe qui est recherché, alors le mot de passe est « cassé ».
Pour accélérer la démarche, deux mécanismes sont principalement utilisés :
• l’utilisation d’équipements dédiés pour le cassage, peu onéreux (~3000 euros), qui
peuvent calculer plus de 100 milliards de hashs par seconde ;
• réduire le nombre de hashs calculés (i.e. ne pas calculer les combinaisons aaaaaaaa
puis aaaaaaab puis aaaaaaac…) mais se baser sur des dictionnaires de mots de passe
et des algorithmes d’optimisation.
1.3.2 Les mots de passe choisis sont-ils « forts » ?
Pour cette étude, nous avons exploité des jeux de données, non issues des bases de mots
de passe publiques, ces dernières comportant presque exclusivement des mots de passe
d’accès à des comptes sans valeur : forums, média… Nous avons étudié 7 200 comptes
différents, soit 19 000 mots de passe chiffrés et nous avons reproduit des modèles de
cassage connus.
• Après 48h, l’algorithme avait cassé plus de 70% des mots de passe ;
• Après 7 jours le taux était de 89% ;
• Les mots de passe cassés allaient de 8 à 21 caractères.
L’analyse détaillée de nos résultats nous a aussi révélé des comportements récurrents chez
les utilisateurs :
Comportements identifiés sur le mot de passe
% MdP
cassés
1
Commencent par une majuscule
64%
2
Commencent par 5 lettres
74%
3
Les caractères 2 à 5 sont des minuscules
70%
4
Terminent par 2, 3 ou 4 chiffres
60%
5
Répondent aux trois critères (1) et (3) et (4) *
33%
Tableau 1 : % de mots de passe respectant un comportement
donné dans notre jeu de données.
Gill es FAVIE R – 05/01 /2021 Page 6 of 31
Des mots de passe tels que « Soleil123 » ou « Internet1234 » respectent la règle de
complexité et dépassent la règle sur la minimale de longueur. Pourtant un ordinateur n’aura
aucune difficulté à les casser, et ce pour trois raisons :
1. Le processus de cassage inclut l’usage de dictionnaires qui contiennent des mots de
passe triviaux comme ces derniers.
2. « Entreprise2017 », « EntreprIse2018 », « Entreprise2019 », « Entreprise20192019 »,
« Entr3pr1se2019entr3prise2019 », « Pr&nom2019 » ou « Pr@du1t1234 »… sont des
mots de passe qu’un algorithme sait construire et tester sans aucune difficulté. Ces
« méthodes » sont largement documentées dans un article intitulé « J’ai ajouté un ‘!’
pour le sécuriser » [2].
En 2013, Professeure Cranor, spécialiste du sujet, faisait les mêmes constats dans un article
sur les « high value password » des étudiants et chercheurs de son université dans son
étude : « Measuring Password Guessability for an Entire University » [3]. L’Université de
Carnégie Mellon imposait la politique de mots de passe standard : « longueur / complexité /
renouvellement ».
Les mots de passe ne sont donc pas « forts » en dépit de l’exigence sur la complexité.
1.3.3 Les mots de passe d’un utilisateur évoluent-ils dans le temps ?
Le renouvellement régulier des mots de passe a-t-il un effet sur la « force » de ces derniers ?
Rappelons d’abord que la règle sur le renouvellement du mot de passe impose
périodiquement à l’utilisateur, tous les 3 mois par exemple, de changer son mot de passe
sans utiliser un des dix mots de passe précédemment utilisés.
La réponse à la question est donnée dans une étude publiée en 2010 par l’université de
Caroline du Nord [4]. 7700 comptes et leurs 31 000 mots de passe d’historique ont été
analysés afin de déterminer si la connaissance d’un mot de passe permet d’en déduire le
suivant dans l’historique ou le prochain qu’un utilisateur choisira… L’étude montre que :
• Dans 17% des cas, la connaissance d’un mot de passe permet de déterminer le suivant
en moins de 5 essais, ce qui correspond à une attaque en ligne
• Plus un compte est utilisé depuis longtemps, i.e. plus l’utilisateur a été forcé de
changer de mots de passe un grand nombre de fois, plus le nombre de mots de passe
cassés dans son historique est grand.
Notre jeu de données donne des résultats équivalents. Par exemple, mots de passe avec 3
historiques :
• Le mot de passe actuel est cassé dans 93% des cas ;
• L’historique 1 est cassé dans 92% des cas, i.e. le mot de passe utilisé précédemment ;
• L’historique 2 est cassé dans 90% des cas ;
• L’historique 3 est cassé dans 74% des cas.
Dès le premier renouvellement les utilisateurs choisissent un mot de passe moins fort.
La règle sur le renouvellement des mots de passe semble avoir une influence négative sur la
force des mots de passe choisis par les utilisateurs.
Gill es FAVIE R – 05/01 /2021 Page 7 of 31
1.4 Conclusion
Selon les critères précédents, nous pouvons en déduire que la politique de mot s de
passe de type « longueur / complexité / renouvellement » n’est pas efficace dans le
contexte dans lequel elle est utilisée :
• Les mots de passe choisis par les utilisateurs sont prédictibles : 70% des hashs sont
« cassés » en quelques heures ;
• Le critère de complexité peut être très facilement contourné (ex : « Soleil123 ») par
un utilisateur souvent agacé de changer et de mémoriser ses mots de passe ;
• Le renouvellement :
✓ a un effet négatif sur la « force » des mots de passe choisis ;
✓ n’incite pas les utilisateurs à adopter un nouveau mot de passe totalement
différent du précédent mais plus à effectuer des micro variations prédictibles : 1
→ 2 ; e → 3 [2] (phénomène que nous avons aussi pu constater dans nos données).
• Un attaquant qui détermine le mot de passe d’un utilisateur à un instant donné
pourra déterminer les mots de passe futurs les plus probables ce qui rend inefficace
toute contrainte sur le renouvellement.
Comment expliquer ce constat partagé publiquement par des chercheurs, par plusieurs
agences internationales et plus récemment par des acteurs majeurs du marché :
• NIST – 2017 – “Verifiers SHOULD NOT impose other composition rules (e.g., requiring
mixtures of different character types or prohibiting consecutively repeated
characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets
to be changed arbitrarily (e.g., periodically). However, verifi ers SHALL force a change
if there is evidence of compromise of the authenticator.” [5]
• GCHQ – 2015 – [6]
• Microsoft – 2019 – ”Recent scientific research calls into question the value of many
long-standing password-security practices such as password expiration
policies”…/…“Periodic password expiration is an ancient and obsolete mitigation of
very low value” [7]
2 Comment expliquer ce constat ?
Nous pouvons identifier et explorer plusieurs causes à ce constat :
• L’influence des référentiels de sécurité ;
• Une politique simple et intuitive ;
• La charge mentale des utilisateurs ;
• La dilution de la responsabilité ;
• Un (faux) problème ;
• Un tout qui n’est pas la somme des parties.
2.1 L’influence des référentiels de sécurité
Les référentiels de sécurité sont utilisés dans de nombreux contextes en sécurité :
formations, certifications, audits, sensibilisations… Rédigés et relus par de nombreux
experts, quasi exhaustifs, ils sont une manne d’informations pour les auditeurs et les
Gill es FAVIE R – 05/01 /2021 Page 8 of 31
consultants. Ils sont aussi très souvent cités par les responsables de la sécurité pour obtenir
l’application de certaines mesures de sécurité ou justifier les besoins pour des budgets
complémentaires.
La politique de mots de passe, et plus précisément les exigences de « complexité » et de
« renouvellement », sont directement issues de ces référentiels. Elles sont issues des
premières tentatives (dès 1985) de formalisation de guides de sécurité des accès. Elles sont
toujours présentes dans des référentiels encore utilisés (2012) :
• DoD 1985 : « Therefore, passwords should be changed on a periodic basis to counter the
possibility of undetected password compromise. They should be changed often enough so
that there is an acceptably low probability of compromise during a password’s lifetime »,
« Passwords should be machine-generated rather than user-created», « minimum, 6
characters in length » [8]
• FIPS 1985 : « Passwords thus should be changed on a periodic basis », « Length Range: 6-
8 » [9]
• NIST 2004 : « Complex passwords may reduce the likelihood of a successful guessing
attack. By requiring use of long passwords that don’t appear in common dictionari es,
attackers may be forced to try every possible password » [10]
• CERTA 2007 : « Les mots de passe doivent avoir une date de validité maximale » [11]
• CNIL 2012 : « utiliser des caractères de types différents …/… changer de mot de passe
régulièrement (tous les 3 mois par exemple). », « 8 caractères minimum » [12]
• ANSSI 2012 : « Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les
90 jours est un bon compromis pour les systèmes contenant des données sensibles .../…
Un mot de passe, d’une longueur minimale de douze caractères et constitué d’au moins
trois des quatre groupes de caractères » [13]
L’ensemble de ces référentiels de sécurité convergent vers la même structure de politique
de mots de passe : « longueur / complexité / renouvellement ». Notons que les mêmes
organisations (NIST, GCHQ, Microsoft citées précédemment) qui ont reconnu l’inefficacité de
ces exigences font aussi partie de celles qui les ont recommandées par le passé.
Nous voyons au moins deux raisons à cette convergence. D’une part, les premiers
référentiels ont pu influencer les suivants : la version de 1985 proposée par le DoD a sans
doute inspiré les rédacteurs des référentiels ultérieurs. D’autre part, cette politique est
simple et intuitive, ce qui peut faciliter sa compréhension et son adoption par les
responsables sécurité.
Si cette politique n’est pas efficace, en tous les cas elle est très largement présente dans des
référentiels utilisés, notamment en France, et par conséquent très largement adoptée dans
les entreprises.
2.2 Une politique simple et intuitive
Si la « force » du mot de passe est le critère qui permet de le protéger contre le cassage, alors
d’un point de vue purement mathématique, la force d’un mot de passe (i.e. sa résistance aux
algorithmes de cassage) est déterminée par sa longueur et sa complexité théorique.
Exemple 1 : Si un ordinateur calcule l’ensemble des mots de passe de 6 caractères avec
uniquement des lettres minuscules, alors il doit parcourir 266 (309 millions) possibilités.
Gill es FAVIE R – 05/01 /2021 Page 9 of 31
Exemple 2 : Si un ordinateur calcule l’ensemble des mots de passe de 8 caractères avec des
chiffres, des majuscules et des minuscules, alors il doit parcourir (26+26+10) 8 (218 000
milliards) possibilités.
Donc mathématiquement, la longueur et la complexité ont un effet direct sur la force du mot
de passe. Et de façon intuitive, il est aussi raisonnable de considérer que pour un mot de
passe :
• Plus il est long, plus il semble difficile à deviner ;
• Plus il y a de typologies de caractères différents (lettres, chiffres, caractères spéciaux),
plus il semble difficile à deviner ;
• Plus il est changé souvent, plus il semble difficile de déterminer le mot de passe
« actuel » d’une personne ;
• Plus il est changé souvent, moins il sera facile pour une personne ayant deviné un
mot de passe, de revenir 6 mois plus tard en réutilisant le même mot de passe ( elle
devra reprendre sa recherche à zéro).
Ces critères sont scrupuleusement appliqués dans de très nombreuses organisations.
Pourtant avec un effort financier modeste et des délais raisonnables, nous avons réussi à
« casser » 89% d’une base de mots de passe.
Le caractère intuitif des règles de cette politique, au-delà de sa présence dans de nombreux
référentiels, facilite sans doute son adoption et son soutien par les responsables de la
sécurité et les consultants qui la proposent à leurs clients. Le programme « scared straight »,
visant à réduire la délinquance juvénile en faisant visiter les prisons à des adolescents, est
un exemple particulièrement représentatif d’une démarche intuitive et de ses conséquences
à long terme. Bien que démontrée scientifiquement comme « contreproductif » (i.e. les
enfants qui ont suivi ce programme finissent plus souvent en prison), ce programme est
encore actif aujourd’hui. [14][15].
Dans le cas de la politique de mots de passe, notre intuition nous induit aussi en erreur. La
politique « longueur / complexité / renouvellement » n’améliore pas la force des mots de
passe mais bien au contraire, l’abaisse.
2.3 La charge mentale de l’utilisateur
Un système d’authentification centralisé, ou SSO (Single Sign-On), est un service qui permet
aux utilisateurs d’un système d’information de se connecter une fois à leur session Windows
(par ex.) et d’accéder à toutes leurs applications sans avoir à re-saisir un mot de passe. Le
mot de passe de session est reconnu comme preuve pour toutes les autres applications.
Beaucoup d’organisations ne disposent pas d’un SSO et cette situation est la source de
contraintes supplémentaires :
• Un utilisateur doit gérer un mot de passe dans chaque application , car cela fait aussi
partie des recommandations de sécurité décrites dans les référentiels
internationaux ;
• Les politiques de mots de passe peuvent être différentes entre les applications :
minimum 6 ou 8 ou 10 caractères ;
• Certains caractères spéciaux ou des mots de passe de 12 caractères peuvent ne pas
être acceptés par certaines applications ;
Gill es FAVIE R – 05/01 /2021 Page 10 of 31
• Les dates de renouvellement des mots de passe peuvent être asynchrones : le mot
de passe de l’application 1 doit être changé aujourd’hui mais pas celui de l’application
2 ;
• La durée d’une session (le temps autorisé sans activité dans une application avant
que l’on redemande à l’utilisateur de saisir son mot de passe) est souvent « courte »
(30 minutes) au regard d’une journée de travail et des nombreuses interruption s
possibles.
Combinées, ces contraintes produisent un imbroglio dans la gestion des mots de passe par
les utilisateurs.
Sommes-nous réellement en mesure de mémoriser plusieurs mots de passe très différents
et de les changer pour des valeurs complètement différentes plusieurs fois par an ? Ci-
dessous un exemple de ce qu’un utilisateur devrait mémoriser s’il devait accéder à deux
applications en plus de son système d’exploitation :
Système
d'exploitation
Application 1
Application 2
Janvier
g=/}qzx4
HtZ8{Pf%
Février
C[j~:DUx
Mars
j,=tc%,N
Avril
1;F#sjtv
Mai
h},p.?uA
g!Z~#{D$
Juin
Juillet
5?Zyd[-I
.^<,RA)#
Août
TOt|SLMP
Septembre
+ultU5B;
Octobre
Hk=AnwyZ
Novembre
~eD$eYUK
b?FdSz8T
…
Tableau 2 : Exemple de mots de passe aléatoires changés tous les 3 mois pour
un utilisateur accédant à son système d’exploitation et deux applications qui ne
sont pas reliées à un SSO (L’application 1 exige un renouvellement de mot de
passe tous les deux mois)
Cet exemple suppose aussi que tous les caractères spéciaux sont acceptés sans
discrimination par toutes les applications. Ce qui n’est pas toujours le cas. Cela vient s’ajouter
à des dates de renouvellement forcé non simultanées qui ne simplifient pas la démarche. Le
NIST évoque la notion de « Password fatigue » [16] pour décrire la frustration des utilisateurs
devant ces situations qui leur paraissent ubuesques.
Gill es FAVIE R – 05/01 /2021 Page 11 of 31
Les recherches sur le sujet montrent qu’afin de surmonter la difficulté, les utilisateurs vont
adopter des stratégies de simplification [17] qui, après plusieurs mois passés dans
l’organisation, finiront par converger vers une hyper simplification :
Système
d'exploitation
Application 1
Application 2
Janvier
Société1234
AppliSociété1
Février
Prénom198102
Mars
AppliSociété2
Avril
Société1235
Mai
AppliSociété3
Prénom198103
Juin
Juillet
Société1236
AppliSociété4
Août
Société1236
Septembre
Société1236
Octobre
Société1237
Novembre
Société1237
Société1237
…
Tableau 3 : Exemple de stratégie de mots de passe mise en place par les
utilisateurs pour surmonter la difficulté de mémorisation et respecter la
politique
Le jeu de données que nous avons étudié met en évidence la même typologie de
comportements.
Dans le cas où un SSO serait présent, i.e. l’utilisateur a un seul mot de passe à mémoriser, la
problématique reste la même. Un utilisateur aura le choix entre deux stratégies :
Stratégie de
mots de passe
Strictement
aléatoire
Simplification
progressive
Janvier
L9*r3b.W
a.6btR:D
…
Avril
,F(Qoi%S
A.6btR:D
…
Juillet
}~QP1+Rk
A.6btrd07
…
Octobre
-n>l7:n~
A.6btrd08
…
Janvier
RgcD)@ :=
A6btrd09
…
Avril
g%/x1Me&
A6btrd10
Tableau 4 : Exemple de stratégies de mots de passe possibles dans une
organisation bénéficiant d’un SSO
La stratégie de simplification progressive est observée sans ambigüité dans les études citées
[18][3].
Il y a donc un effet contre-productif avéré à forcer les utilisateurs à renouveler leur mot de
passe sans une suspicion de compromission.
Gill es FAVIE R – 05/01 /2021 Page 12 of 31
2.4 La dilution de la responsabilité
Une autre cause envisageable serait notre excès de confiance dans les contrôles superficiels
utilisés par les applications pour valider la conformité des mots de passes saisis.
Les systèmes de contrôle vérifient uniquement la conformité d’un mot de passe par rapport
aux règles minimales de la politique : 3 types de caractères parmi 4, longueur minimale de 8
caractères, différent des 10 derniers mots de passe. Rien d’autre. C’est pour cette raison que
la stratégie de simplification fonctionne et est adoptée par les utilisateurs.
Les responsables sécurité délèguent la responsabilité du contrôle de la « force » des mots
de passe au système d’exploitation ou aux applications qui ne sont ni conçus, ni capables de
réaliser d’autres vérifications. En effet, ils ne vérifient pas si le mot de passe contient : le nom
de la société, des mots reformés « Int3rn3t123 », des prénoms, des dates…
A cela s’ajoute le fait que cette délégation de la responsabilité du contrôle de la « force » des
mots est très indirecte, elle passe par plusieurs étapes :
• Les RSSI définissent la politique de mots de passe ;
• Les équipes techniques implémentent les règles minimales dans les systèmes ;
• Les systèmes acceptent les mots de passe sur la base de contrôles hautement
superficiels (le minimum des critères est atteint) ;
• L’acceptation par le système « plaît », elle écarte le besoin de réaliser des contrôles
supplémentaires ;
• Nous pouvons donc considérer que l’ensemble de la chaîne d’exigences est
correctement compris et appliqué, ce qui malheureusement est inexact.
Cette dernière assertion est le résultat de deux composantes :
1. Une « dilution de la responsabilité » dans la chaîne hiérarchique, jusqu’à la machine.
2. L’absence de contrôle de l’efficacité des mesures mises en place.
2.5 Le (faux) « problème »
Une dernière cause que nous pouvons évoquer et qui a été en partie entretenue par le
secteur informatique lui-même : les équipes techniques ont souvent, peut-être trop
facilement, considéré que le « problème se trouvait entre la chaise et le clavier » :
Figure 2 : Représentation fréquemment utilisée pour décrire les utilisateurs [36].
Gill es FAVIE R – 05/01 /2021 Page 13 of 31
La politique « longueur / complexité / renouvellement » visait à empêcher l’utilisateur de
choisir un mot de passe trop trivial. Mais autant les contrôles en place interdisent de choisir
« toto1234 », ils n’empêchent pas l’utilisateur de choisir « Toto1234 »…
Les utilisateurs qui se sont plaints de cette politique ont reçu une fin de non-recevoir du
type : « c’est ce qui est préconisé dans les référentiels ».
Le problème n’est pas entre la chaise et l’écran. Considérer qu’il incombe aux utilisateurs
d’appliquer la politique coûte que coûte et que tout écart est de son seul fait (flemme,
mauvaise volonté…) est une approche simpliste. Elle permet, à ceux qui la défendent, de
s’affranchir de toute analyse des causes réelles et des constats précités.
2.6 Le tout est-il la somme des parties ?
Dans une autre étude [19], Professeure Cranor met en évidence que la compréhension de ce
qui fait la « force » d’un mot de passe par les participants est cohérente avec les
performances et limites des outils de cassage.
Malgré ce résultat positif, d’importantes incompréhensions persistent. Les utilisateurs
(participants) surestiment très largement le bénéfice d’ajouter des chiffres à la fin d’un mot
de passe « EtienneAlice01062001 ». Et ils sous-estiment la prédictibilité de suites de touches
du clavier « uj,;kiol: » ou de phrases connues « iloveyou ». Ce problème est aussi soulevé par
le GCHQ dans son guide de sécurité : « They …/… often fail to account for the factors that can
make passwords weak (such as using personal information … » [6].
La proposition de l’approche systémique « Le tout est autre que la somme de ses parties »
nous apporte encore une des causes du problème :
• Lors de la création d’un mot de passe, un utilisateur reçoit des indications qui peuvent
être perçues comme une « somme d’informations » mais dont le sens global, le « tout »,
a disparu.
• Les messages d’erreur fournis aux utilisateurs lors des essais de création de mot de
passe fournissent une somme d’informations, dénuées de contexte. Cela réduit la
cohérence globale de l’objectif de mot de passe « fort » recherché :
Figure 3 : Exemples de message d’erreur lors de la création ou du changement
d’un mot de passe
Nous devons replacer l’utilisateur dans son contexte au moment où il choisit son mot de
passe :
• Il souhaite accéder à une application pour effectuer une tâche métier ;
Gill es FAVIE R – 05/01 /2021 Page 14 of 31
• Il sait peut-être qu’il devra à nouveau saisir ce mot de passe pour revenir dans
l’application ou depuis le clavier de son téléphone portable ;
• Il n’a plus en mémoire (vive ou immédiate) toutes les informations de la
sensibilisation et de la charte informatique ;
• Dans tous les cas, il est interrompu dans une tâche productive.
L’utilisateur réalise donc son choix en fonction de toutes ces contraintes saillantes mais pas
des enjeux associés au mot de passe. En cas d’erreur il reçoit une notification peu explicite
par rapport à l’objectif recherché qui, au mieux, lui rappelle les exigences minimales : « les
parties ». Ceci contribue à focaliser l’utilisateur sur ses contraintes personnelles (légitimes)
et à dénaturer le message (« le tout ») porté par les critères de la politique de mots de passe.
2.7 Conclusion
La politique de mots de passe « longueur, complexité, renouvellement » est contre-
productive.
A la date de rédaction de cet article, certaines agences françaises (l’ANSSI et la CNIL
notamment) maintiennent leurs recommandations d’appliquer cette politique. Les autres
agences citées dans cet article (GCHQ, NIST, ISO) ne la recommandent pas (ou plus), elles
recommandent même de ne pas le faire.
Quelles solutions s’offrent aux entreprises et institutions ?
Gill es FAVIE R – 05/01 /2021 Page 15 of 31
3 Les solutions
Devant ce constat, quelle solution est envisageable pour inverser la tendance ? Question
d’autant plus pertinente si la maîtrise des coûts est un critère discriminant au lancement du
projet.
Il ne sera pas possible d’énumérer tous les cas d’usages et toutes les possibilités de
protection dans cet article, les éléments de contexte pouvant être des facteurs importants à
prendre en compte.
Nous n’identifions pas une solution unique mais un ensemble de solutions qui, prises
conjointement, permettent d’atteindre l’objectif : sécuriser l’accès des utilisateurs aux
services informatiques.
3.1 Le Single Sign On
Le Single Sign-On est un dispositif qui permet de ne disposer que d’un seul mot de passe
pour accéder à toutes les applications.
Bien que cette technologie puisse être coûteuse ou techniquement incompatible avec
certaines applications très « anciennes », dans la majorité des applications (cas considéré
dans cette étude), la mise en place d’un SSO est possible. En plus d’améliorer l’expérience
utilisateur et de réduire l’agacement des utilisateurs face aux mots de passe , elle permet de
réduire la charge mentale associée à la gestion de multiples mots de passe.
Le coût d’une telle mesure n’est pas nul mais il permet d’agir sur plusieurs axes :
• Fluidité de l’expérience utilisateur ;
• Sécurité des applications :
✓ Elles délèguent l’authentification et le mot de passe à un annuaire centralisé ;
✓ Les utilisateurs seront moins enclins à partager un mot de passe si celui-ci permet
aussi d’accéder à leur messagerie ;
• Performant : nombre de solutions permettent en plus de mettre en place du RBA
« Risk Based Autentication » afin de détecter des comportements frauduleux ;
• Economique : réduction du nombre d’appels au support.
3.2 Désactiver le renouvellement régulier
Nous avons vu précédemment que le renouvellement régulier abaisse la « force » des mots
de passe dans le temps. Augmente leur prédictibilité et la praticabilité du mot de passe
suivant.
Plusieurs agences internationales proposent de mettre un terme à cette règle et de la
remplacer par une règle plus raisonnable : « imposer le renouvellement du mot de passe en
cas de suspicion de compromission »
Désactiver la règle de renouvellement forcé aura un coût financier limité. Le plus souvent il
s’agit de changer un ou deux paramètres de configuration dans les annuaires et applications.
Gill es FAVIE R – 05/01 /2021 Page 16 of 31
3.3 La passphrase
Ce terme est construit, en anglais, à partir des termes « Password » et « Phrase ». La
PassPhrase décrit une phrase qui serait saisie en lieu et place du mot de passe lors de
l’authentification d’un utilisateur. Dit autrement, l’objectif est d’imposer un rallongement du
mot de passe, au minimum, au-delà de 16 caractères.
Si cela semble difficile à envisager, il est certain que, isolée, cette mesure ne sera pas
acceptée des utilisateurs. Il n’a d’ailleurs pas toujours été facile de faire accepter 8 caractères
d’origine. Pourtant, plusieurs études montrent qu’il faut peut-être douter de cette intuition :
• Les utilisateurs sont prêts à faire des efforts s’ils n’ont plus à renouveler leurs mots
de passe, pour peu qu’ils n’en n’aient plus qu’un seul à mémoriser – NIST – Report :
Authentication Diary [16]
• Le temps de saisie d’un mot de passe de 16 caractères sans complexité imposée est
de 13.7 secondes contre 13.2 secondes pour un mot de passe de 8 caractères avec
complexité [20]. Donc un mot de passe deux fois plus long n’est pas deux fois plus
long à saisir. Uniquement 4% plus long dans cette étude.
• La capacité à mémoriser un mot de passe de 16 caractères a aussi été étudiée . Nous
sommes tout à fait capables de mémoriser par cœur des contenus bien plus longs
que des mots de passe, à condition qu’ils aient un « sens » pour nous, cf. Ars
memoriae – Rhetorica Ad Herennium [21]. Cette capacité a aussi été testée et
confirmée dans une étude du Professeure Cranor [20].
Note 1 : Mémoriser un contenu auquel nous sommes émotionnellement attachés ne
représente aucune difficulté (c’est d’ailleurs une méthode de mémorisation). Les
enfants mémorisent des poèmes entiers ; adultes, une phrase bien choisie
représente moins de complexité intrinsèque qu’un mot de passe issu de la politique
LCR.
Note 2 : il n’est nullement recommandé d’utiliser une citation ou un morceau de
poème connu, même en faisant des variations simples. Ceux-ci seront très
rapidement intégrés aux outils de cassage et rendront les efforts inutiles.
Du point de vue du « cassage » de mots de passe, il est plus efficace de disposer d’un mot de
passe de 16 caractères, même s’il ne contient que des minuscules. L’univers des possibilités
est bien plus grand :
Complexité des mots
de passe
Nombre de
hashs
théoriques
Puissance
de cassage
(hash/sec)
Temps de
cassage
Puissance
de cassage
(hash/sec)
Temps
de
cassage
8 caractères avec
complexité : 26^8
6,63 . 10^15
350 . 10^9
5h15m
350 . 10^12
19s
Avec les algorithmes
prédictifs 11
caractères :
X y y y y y 1 2 3 4 !
9,58 . 10^13
350 . 10^9
04m33s
350 . 10^12
0,27s
16 caractères sans
complexité : 26^16
4,36 . 10^22
350 . 10^9
~40 siècles
350 . 10^12
~ 4 ans
Gill es FAVIE R – 05/01 /2021 Page 17 of 31
Tableau 5 : Comparaison du temps de cassage d’un mot de passe avec la « machine » de Jeremy Gosney en
2012 [22] et une machine théorique 1000 fois plus puissante
Note : La deuxième ligne du tableau fait une hypothèse forte sur la structure du mot de
passe : 1 majuscule, puis 5 minuscules, puis 4 chiffres, puis 1 caractère spécial. Ce mot de
passe de 11 caractères, peut-être cassé en « brute-force » en 4 minutes et 33 secondes.
La recommandation est donc de désactiver totalement la règle de « complexité » et de
compenser par une règle plus contraignante sur la longueur : 16 ou 20 caractères. Le coût
financier sera limité, il s’agit de changer un ou deux paramètres de configuration dans les
annuaires et applications.
La question qui restera à traiter est : jusqu’où peut-on aller ? Les puissances de cassage
évoluant rapidement avec le temps.
3.4 « Casser » régulièrement la base de mots de passe
Mettre en place un cassage régulier de la base de mots de passe répond à plusieurs objectifs :
• Identifier les utilisateurs qui appliquent la règle en contournant son « esprit » et leur
imposer de changer de mot de passe. Afin d’éviter le choix de mots de passe tels que
« aaaa aaaa aaaa aaaa » ou « InternetInternet123 » …
• Vérifier l’efficacité de la nouvelle politique sur les mots de passe. Si le nombre de
mots de passe cassés baisse au fil des tests et des renouvellements ciblés, c’est que
l’objectif est atteint
• Appliquer les recommandations des référentiels de sécurité : « L’organisation doit
établir …/… des objectifs de sécurité de l’information » - ISO 27001:2017 [23] §6.2 et
« Lorsqu’une non-conformité se produit, l’organisation doit: …/… déterminer les
causes de non-conformité …/… mettre en œuvre toutes les actions requises » [23]
§10.1.
Ce cassage régulier aura un coût financier et humain qu’il faut prendre en compte.
L’expérience montre qu’il peut être maîtrisé grâce à une automatisation des processus.
Ce cassage de mots de passe soulève un problème de sécurité qu’il est important d’adresser.
La base des hashs est un élément clef de la sécurité d’une organisation. La faire « sortir » de
sa zone de stockage induit un risque pour l’organisation. Il faut donc peser les coûts bénéfice
de cette démarche.
Note : Seul le cassage permettra de mettre en évidence les bons comportements et les
personnes / environnements techniques à qui il faut demander un effort supplémentaire.
Sans cassage, l’amélioration continue ne semble pas accessible.
3.5 Communiquer
Tout changement dans une mesure de sécurité qui touche de nombreux utilisateurs d’un
système d’information nécessite un minimum de communication.
Maintenir la politique de mots de passe et sensibiliser les utilisateurs à mieux la respecter
aboutiraient aux résultats que nous venons de décrire. Une amélioration temporaire puis
une « fatigue » et un relâchement de l’effort.
Gill es FAVIE R – 05/01 /2021 Page 18 of 31
Il est donc recommandé de faire évoluer la politique de mots de passe et de communiquer
vers les utilisateurs pour les informer :
• des raisons qui motivent les nouvelles règles ;
• que leurs mots de passe vont faire l’objet de cassages réguliers ;
• lorsque leur mot de passe est cassé et qu’il faut le renouveler ;
• éventuellement des statistiques de cassage au sein de l’entreprise, pour engager leur
fierté d’appartenir au groupe dont le mot de passe n’a pas été cassé (l’objectif est
d’utiliser le levier comportemental de la « norme sociale » pour inciter à choisir de
bons mots de passe).
3.6 Une solution plus coûteuse
La mise en place d’une authentification multi-facteurs (MFA) est une solution
particulièrement adaptée à la problématique. Dans ce cas, un simple code PIN peut être
suffisant et la sécurité n’est plus portée par les seuls critères de « force » du mot de passe.
La clef de sécurité donnée à chaque utilisateur ne souffre pas de la prédictibilité des mots
de passe humains.
Cette solution est théoriquement « excellente » mais n’est pas nécessairement généralisable
à l’ensemble des organisations pour plusieurs raisons :
• peu d’entreprises prendront le risque de mettre en place cette solution sur un
système industriel très sensible par exemple ;
• les coûts associés peuvent s’avérer très importants et donc rédhibitoires.
3.7 Conclusion
Toutes ces recommandations sont liées :
• Supprimer la contrainte sur le renouvellement régulier sans le SSO ou sans le cassage
régulier des mots de passe n’aura pas les effets escomptés. La règle sur la complexité
sera toujours appliquée dans sa forme la plus basique et aboutira à des mots de
passe du type « Internet1234 »
• Supprimer la contrainte sur la complexité, augmenter la longueur sans changer celle
sur le renouvellement amènera les utilisateurs à respecter la règle en ne changeant
qu’un chiffre à la fin de leur mot de passe.
• Augmenter la longueur du mot de passe. Notons que sans les deux changements
précédents il est peu probable qu’il soit possible d’obtenir l’adhésion des utilisateurs.
Il faut trouver un consensus sur un plus petit nombre mais plus efficace.
La problématique générée par les anciennes politiques de mots de passe nous impose de
réviser radicalement notre vision de l’efficacité de cette mesure de sécurité. Il est d’ailleurs
légitime de nous demander si, au final, dans le cas de la politique de mots de passe,
moins de règles pourrait s’avérer plus efficace que plus de règles ?
Quels sont les freins à une évolution rapide de la situation ?
Gill es FAVIE R – 05/01 /2021 Page 19 of 31
4 Les contraintes
En dépit des constats précédents :
• des résultats de recherche concordants ;
• un niveau de sécurité abaissé en raison des politiques de mots de passe ;
• des recommandations d’abandonner ces mesures par d’importantes institutions :
« Regular password changing harms rather than improves security » - GCHQ [6];
• et l’existence, pour un coût maîtrisé, de solutions pour agir efficacement sur le
problème.
Quelles sont les raisons qui justifient l’absence d’évolution des politiques de mots de passe ?
4.1 Les raisons déjà écartées
Nous avons déjà écarté plusieurs raisons.
4.1.1 Le coût des mesures
Le coût. Nous avons proposé des solutions pour lesquelles le coût nous semble maîtrisable.
Il est toujours possible de tester ces propositions sur un périmètre réduit d’utilisateurs. Cela
permet de maîtriser les coûts et de s’assurer une capacité de retour arrière le cas échéant.
4.1.2 La crainte d’un échec
Il est raisonnable de penser que la crainte d’un échec (i.e. que les résultats obtenus en
changeant la politique de mots de passe ne soient pas au rendez-vous) soit une motivation
suffisante pour maintenir le statu quo.
Le fait d’appartenir à une organisation où il est préférable de ne pas reconnaître ses erreurs
peut-être un élément dissuasif important dans la démarche d’amélioration. Pour autant,
comme la situation actuelle ne peut pas être considérée comme satisfaisante, la crainte liée
à l’inaction devrait aussi peser dans la décision.
4.2 Une perception limitée de la situation
Les responsables sécurité (RSSI) des entreprises ont dans leurs missions de contrôler
l’efficacité des mesures de sécurité définies et d’y remédier le cas échéant. Plusieurs raisons
peuvent expliquer que ce sujet ne soit pas traité.
4.2.1 Nos ressources cognitives limitées
Les RSSI doivent adresser en permanence les 137 contrôles de l’ISO 27002. Simultanément
certaines vulnérabilités (MeltDown & Spectre) peuvent bénéficier d’une couverture
médiatique mondiale. Cela génère de nouvelles urgences, des imprévus, qu’il faut adresser
simultanément. Cette autocatalyse de la communauté sur l’actualité peut contribuer à
phagocyter les ressources (humaines et cognitives) limitées sur des thématiques toujours
différentes. En cela ces phénomènes médiatiques occultent des plans d’actions locaux dont
les apports sécurité sont bien plus significatifs.
Gill es FAVIE R – 05/01 /2021 Page 20 of 31
4.2.2 Les limites de la démarche scientifique en sécurité informatique
Il n’est pas facile d’imaginer soumettre des groupes d’utilisateurs à des mesures de sécurité
différentes pour tester leur efficacité. Pendant ce temps, une partie de l’entreprise est plus
vulnérable qu’une autre. Ce travail a donc été réalisé par des cher cheurs.
• De nombreuses entreprises ont déjà vu leur base de mots de passe cassée par des
auditeurs, avec les résultats que l’on connait. Ce constat systématique pourrait alerter
les RSSI mais il n’est pas partagé entre les clients. Il est donc difficile pour l’ensemble
des RSSI de saisir l’ampleur du problème et donc l’urgence d’y remédier.
• Les résultats sont en plus présentés comme un constat : « vos utilisateurs ont des mots
de passe triviaux ». La solution proposée se résume le plus souvent à les « sensibiliser »
à nouveau.
• Mais si la sensibilisation était réellement efficace, si expliquer suffisait à faire adopter
de nouveaux comportements, nous ne ferions pas les constats précédents.
Une fois le constat d’échec partagé entre un grand nombre d’acteurs, comme pour la
politique de mots de passe, il devrait être possible d’initier des tests contrôlés sur des
populations précises.
Une démarche plus scientifique est donc a priori possible , et même fortement
recommandée, sur certains sujets, dans le cadre d’une démarche d’amélioration continue.
Sinon, nous avancerons toujours à l’aveugle, de façon intuitive et sans recul , sur l’efficacité
des mesures proposées.
4.3 Les raisons évoquées par les RSSI
4.3.1 Quelques raisons
Lors de notre étude sur le sujet, nous avons échangé avec de nombreux RSSI experts en
sécurité. Beaucoup d’entre eux ne sont pas convaincus par l’approche proposée dans cet
article sans pour autant remettre en question la véracité des constats.
Voici les raisons qu’ils ont pu avancer :
• « Changer la situation actuelle coûterait trop cher »
• « Nous avons des thèmes plus urgents à traiter »
• « Cette règle est en place depuis plus de dix ans maintenant »
• « Toutes les autres entreprises appliquent la même politique »
• « On ne peut pas faire confiance aux utilisateurs, le mot de passe le plus répandu est
123456 [25] »
• « C’est la « moins mauvaise » des solutions à notre disposition »
• « Un utilisateur ne peut pas saisir 16 caractères à chaque fois qu’il se connecte »
• « Changer le mot de passe permet de ralentir un attaquant qui a pris possession d’un
compte qui n’a pas de privilèges d’administration »
• « Les commissaires aux comptes nous ont imposé de mettre en place un
renouvellement sur les applications de la comptable »
• « Ce sont les recommandations de la CNIL [ 12] et de l’ANSSI [13] »
Les deux premières raisons sont tout à fait légitimes. Le financement du changement peut
ne pas être dans les priorités d’une organisation. Ses priorités immédiates peuvent aussi être
très différentes.
Gill es FAVIE R – 05/01 /2021 Page 21 of 31
Les autres raisons évoquées correspondent à des arguments qui ne sont pas motivés par
des faits liés au constat d’inefficacité.
4.3.2 Quelques réponses
• « Cette règle est en place depuis plus de dix ans maintenant »
C’est un fait qui est exact mais qui est une cause directe du constat. Et faire appel à la
situation actuelle ou passée ne remet pas en cause la pertinence de la nouvelle approche
proposée.
• « Toutes les autres entreprises appliquent la même politique »
Vrai, mais toutes feront le même constat si leur base de mots de passe est soumise à un test
de cassage.
• « On ne peut pas faire confiance aux utilisateurs, le mot de passe le plus répandu est
123456 [25] »
Exact. Mais cette valeur correspond à des bases de mots de passe publiques. Elles sont issues
de piratages de sites contenant des mots de passe à faible valeur (forum, média…)
• « C’est la « moins mauvaise » des solutions à notre disposition »
Sans aucun budget oui. Mais si l’entreprise fait face à des enjeux de sécurité, il semble
raisonnable qu’elle investisse dans la sécurité pour répondre à ses enjeux.
• « Un utilisateur ne peut pas saisir 16 caractères à chaque fois qu’il se connecte »
L’évaluation intuitive que le temps de saisie du mot de passe serait doublé est erronée. Les
recherches du Professeure Cranor montrent que le temps de saisie n’augmente que de 4%
dans ce cas.
• « Changer le mot de passe permet de ralentir un attaquant qui a pris possession d’un
compte qui n’a pas de privilèges d’administration »
Le renouvellement de mot de passe abaisse sa « force ». Cela rend donc plus facile d’attaquer
tous les comptes de l’organisation concernée. L’attaquant ne pourra pas installer ses logiciels
immédiatement. Il pourra toujours utiliser cette identité pour faire exécuter un malware à
un autre utilisateur et prolonger son attaque.
• « Les commissaires aux comptes nous ont imposé de mettre en place un
renouvellement sur les applications de la comptable » et « Ce sont les
recommandations de la CNIL [12] et de l’ANSSI [13] »
Vrai. De nombreuses agences et sociétés de conseils en sécurité se sont trompées sur le
sujet de la politique de mots de passe mais le constat reste inchangé. Cela milite pour faire
évoluer les référentiels nationaux sur la base des tests qui seront menés.
4.4 Conclusion
Il n’est pas facile de faire évoluer les politiques de mots de passe. D’autant plus que les RSSI et
leurs équipes ont nécessairement dû défendre leur mise en place et leur maintien plusieurs
fois dans leur carrière. Certaines organisations ont pu mettre en place des politiques de
Gill es FAVIE R – 05/01 /2021 Page 22 of 31
renouvellement des mots de passe tous les 15 jours, suite à des incidents médiatisés
(notamment l’affaire Jérôme Kerviel en 2008).
Au-delà des aspects techniques et financiers, changer l’approche sur le mot de passe ne sera
pas uniquement un échec de la politique LCR. Ce sera aussi perçu comme : un retour arrière
sur deux exigences longtemps défendues et une tâche herculéenne pour faire accepter un
rallongement obligatoire du mot de passe. Toute évolution s’apparente donc plus à un échec
personnel qu’à un projet de sécurité.
Cette identification aux idées défendues par le passé est sûrement un frein important à la
recherche de solutions alternatives. Nous ne « sommes » pas nos idées, les informations que
nous avons à disposition évoluent et nos points de vue doivent parfois s’adapter, quitte à
contredire des idées que nous avons défendues. C’est le résultat d’une démarche scientifique.
Si pour les principaux sujets et les principaux biais une réponse est possible, comment
pouvons-nous encore expliquer le « statu quo » ?
Gill es FAVIE R – 05/01 /2021 Page 23 of 31
5 Comment expliquer le « statu quo » ?
L’apport des sciences comportementales est particulièrement intéressant dans la
compréhension de l’origine du statu quo observé.
Il est habituel de « blâmer » l’humain pour ses capacités cognitives limitées et ses nombreux
biais mais le contexte ne se limite pas aux seuls biais cognitifs. Les citer ne permet pas
d’apporter de réponses pertinentes à une problématique qui va bien au-delà de la seule
Politique « Longueur, Complexité, Renouvellement ».
Il faut prendre en compte deux facteurs qui sont eux même influencés par notre
environnement :
• Le temps d’acquisition de l’information ;
• La difficulté intrinsèque à toute évolution de comportement.
Les sciences comportementales décomposent en quatre étapes l’adoption de nouveaux
comportements, de nouvelles stratégies :
• Connaissance ;
• Croyance ;
• Intention ;
• Action.
5.1 Connaissance Croyance Intention
A chaque étape, nous serons influencés par notre environnement, les informations que nous
avons à disposition, nos représentations initiales du problème, notre entourage…
Les premières étapes consistent à développer une « intention ». Dans le cas du réchauffement
climatique, pour tous les individus, il faudra développer l’intention d’agir avant d’observer le
passage à l’action.
Le processus peut être schématisé ainsi :
Figure 4 : Représentation schématique du processus de l’ « information » à l’
« intention »
Gill es FAVIE R – 05/01 /2021 Page 24 of 31
5.1.1 Information - Connaissance
Pour acquérir une connaissance il faut dans un premier temps être exposé à des informations
(nouvelles ou différentes) sur le sujet :
• Plusieurs cas possibles :
✓ Aucune information n’est disponible.
✓ Le temps d’exposition / les sources utilisées n’ont pas permis d’accéder à un
contenu nouveau.
✓ L’information est erronée : « L’activité humaine n’est pas une des causes du
réchauffement climatique » ou bien « la politique de mots de passe fonctionne
parfaitement dans tous les contextes, nous n’observons jamais d’écart ».
✓ L’information est incomplète, du fait de la source ou du temps limité de son
destinataire : « le mot de passe le plus utilisé est : 12345678 ».
✓ L’information est complète et suffisante, dans notre cas, une information qui
mettrait en doute l’efficacité de la Politique LCR).
• Cette information s’applique-t-elle dans mon contexte ?
✓ Une information peut être utile, intéressante, innovante mais peut-être considérée
comme décorrélée du contexte.
▪ Exemple : « la consommation de viande représente une part non
négligeable de la production de gaz à effet de serre et donc contribue au
réchauffement climatique ». L’interlocuteur est végétarien.
5.1.2 Connaissance - Croyance
Sur la base de ces connaissances et des informations à disposition, nous développons de
nouvelles croyances ou nous renforçons celles que nous avons déjà :
• Quelles sont mes convictions initiales sur le sujet ?
✓ J’ai une croyance initiale opposée à l’information reçue : « le réchauffement
climatique est un hoax », auquel cas l’exposition à une information peut s’avérer
largement insuffisante pour induire une nouvelle croyance.
✓ J’ai le pressentiment qu’il y a un enjeu à traiter mais sans avoir accès à des
informations précises.
✓ J’ai identifié le problème et ces informations renforcent ma croyance : « il faut
trouver un moyen de réduire nos émissions de gaz à effet de serre ».
Remarque : Ces deux premières étapes mettent en évidence la qualité de l’information
d’origine. Si une personne à accès à des informations erronées ou des solutions qui ne sont
pas efficaces, elle pourra tout à fait adapter son approche sur les mots de passe en adoptant
une stratégie qui est moins ou pas plus efficace. Par exemple, lancer une nouvelle campagne
de sensibilisation sur les mots de passe.
5.1.3 Croyance - Intention
Sur la base de nos croyances nous serons en mesure de développer des intentions mais
• Suis-je autorisé ou en capacité à remettre en cause l’existant ?
✓ Je comprends le problème mais je ne suis pas en mesure d’agir. « Je ne peux pas
changer la réglementation ».
✓ Je comprends le problème mais je souhaite agir sur d’autres sujets.
Gill es FAVIE R – 05/01 /2021 Page 25 of 31
✓ Je comprends le problème et je vais tenter de le traiter.
5.2 Le « fossé intention – action » - « Intention to action gap »
5.2.1 L’intention ne suffit pas.
Pour passer de l’intention à l’action, il existe de nombreux freins, aussi appelés le « fossé
intention action » ou « intention to action gap ». C’est l’un des principaux sujets d’étude de la
« Behavioral Insights Team » (ou BIT) dans son Framework « EAST » : « to encourage a behaviour,
make it Easy, Attractive, Social and Timely. These four simple principles for applying behavioural
insights are based on the Behavioural Insights Team’s own work and the wider academic literature . »
[26]. En France c’est la DITP (Direction Interministérielle de la Transformation Publique) qui est
en charge de ces questions à l’échelon central.
Les sciences comportementales étudient et tentent de combler ce fossé dans tous les
domaines [27][28][29].
Il faut donc voir le modèle de cette façon :
Figure 5 : Représentation schématique du processus comportemental
Connaissance
→
Intention
→
Action
5.2.2 Le « fossé intention - action »
Malgré tous les efforts déployés, toutes les informations que nous avons à disposition, et quel
que soit le sujet, il existe un « fossé » entre l’intention et l’action. Dit autrement, une
connaissance objective d’un sujet, une conviction qu’il faut changer de stratégie et une
intention de le faire, sont uniquement les prémisses nécessaires au passage à l’action.
Il faudra développer une réponse adaptée aux nombreux freins identifiés :
• Financier : notre budget est limité.
• Charge cognitive : des sujets urgents émergent quotidiennement.
Gill es FAVIE R – 05/01 /2021 Page 26 of 31
• Charge de travail : nous ne sommes pas attendus sur ce sujet par notre hiérarchie.
• Réactance :
✓ nous sommes fatigués de traiter / lire encore un article sur ce sujet ;
✓ nous souhaitons éviter d’aborder un sujet sensible.
• Cohérence : nous avons incarné une idée différente ou opposée par le passé.
• La source : nous attendons que le consensus soit partagé par un plus grand nombre
d’acteurs et surtout par des autorités.
• Social : si d’autres le font avant nous, l’incitation sera plus grande.
• …
5.2.3 Combler le « fossé intention - action »
Les sciences comportementales proposent des réponses en fonction des contextes.
L’important étant d’identifier en priorité
• quels sont les principaux freins
✓ réactance,
✓ cohérence,
• et quels seront les leviers comportementaux disponibles et efficaces pour y répondre :
✓ Social,
✓ Source (ou Messager).
Cette problématique est un des objets d’étude des sciences comportementales. Via l’utilisation
des résultats de recherche, il deviendra possible et plus aisé de faire évoluer autant :
• nos méthodes, pour faciliter l’adoption des mesures par les utilisateurs et
administrateurs ;
• nos mesures, pour aider l’ensemble du secteur à remettre en question plus rapidement
les mesures existantes et adopter de nouvelles stratégies.
5.3 Conclusion
De nombreux éléments de contexte doivent être pris en compte, notamment la fatigue
générée par la thématique des mots de passe, sujet récurrent et clivant au sein des entreprises
depuis plus de quinze ans.
Les biais cognitifs et leurs conséquences en cybersécurité sont régulièrem ent décrits dans des
blogs ou des newsletters [30][31][32]. Mais leur portée est limitée, en effet, les biais permettent
uniquement de nous décrire en tant qu’humains biaisés. Ils sont insuffisants pour décrire la
complexité des situations et ils pointent uniquement sur le « problème » humain. Ces articles
et les biais sont utilisés comme justification pour intégrer « l’humain » dans la démarche de
cybersécurité, par la sensibilisation ou le « serious game ». Proposition intuitive, certes, mais
qui n’a pas encore prouvé son efficacité et dont le rapport coût / bénéfice (évolution des
comportements) n’est pas non plus démontré.
Dans le cas de la politique LCR, il y a un sujet de fond que nous avons mis longtemps à traiter
mais cela n’est pas qu’une question de biais cognitifs. Les études sur le sujet et l’adoption d’un
consensus ont été longs, sûrement en partie parce qu’il fallait non seulement contredire notre
Gill es FAVIE R – 05/01 /2021 Page 27 of 31
intuition mais en plus nous dédire des mesures que nous avions ardemment et
personnellement défendues.
D’autres mesures de cybersécurité très intuitives pourraient-elles faire l’objet d’études plus
poussées afin de mesurer leur efficacité réelle ?
Gill es FAVIE R – 05/01 /2021 Page 28 of 31
6 Conclusion de l’étude
L’analyse proposée dans cet article met en évidence un constat partagé par plusieurs
groupes d’experts sur la nécessité de faire évoluer les règles relatives aux mots de passe
dans les organisations.
Les biais cognitifs, très souvent utilisés pour expliquer nos limites, ne permettent pas de
décrire toute la complexité associée à un changement de comportement. Reléguer la faute à
un cerveau limité et biaisé favorise le maintien de mesures de sécurité inefficaces au lieu de
contribuer à remettre en cause les méthodes et notre approche de la sécurité [33].
Nos connaissances évoluent, les technologies évoluent, il est raisonnable de penser que
la politique de sécurité doive continuellement s’adapter à ces évolutions , politique de
mots de passe incluse.
Au-delà du seul problème du mot de passe, cette étude milite pour une évolution des
méthodes employées en cybersécurité, à savoir :
• Exploiter les résultats de recherche en sciences comportementales pour identifier
les leviers d’action à disposition des RSSI et des autorités pour faire évoluer rapidement
et efficacement les mesures et les méthodes de cybersécurité. Notamment, s’inspirer
des modèles d’organisations avec une culture de l’amélioration continue ancrée de
longue date, tels que celui de l’aviation civile [33] [34] ;
• Adopter une démarche scientifique pour l’évaluation de l’efficacité des mesures de
sécurité. Projet qui pourrait certainement être facilité par un regroupement des
acteurs de la cybersécurité, tel que le Campus Cyber [35] ;
• Eviter l’écueil de l’inflation normative [34]. En effet, il y a un risque élevé à ce que
chaque institution souhaite édicter ses propres normes ou référentiels de sécurité :
ANSSI, Santé, ENISA, PCI-DSS… Les initiatives centralisées devront donc être réalistes
afin de constituer des outils de travail commun.
L’objectif étant de permettre à tous les acteurs de sécuriser leurs infrastructures et leur
organisation mais aussi d’avoir des garanties sur l’efficacité des mesures mises en place
(l’intuition a prouvé ses limites).
Gill es FAVIE R – 05/01 /2021 Page 29 of 31
7 Références et sources
7.1 Sources citées
1
ANSSI - 2012 - Recommandations de sécurité relatives aux mots de passe -
https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdf
2
CMU - Lorrie Cranor et al. - 2015 - “I Added ‘!’ at the End to Make It Secure”: Observing Password Creation in
the Lab - https://www.usenix.org/system/files/conference/soups2015/soups15-paper-ur.pdf
3
CMU - Lorrie Cranor et al. - 2013 - Measuring password guessability for an entire university -
https://www.cylab.cmu.edu/_files/pdfs/tech_reports/CMUCyLab13013.pdf
4
Univ North Carolina - Yinqian Zhang et al. - 2010 - The Security of Modern Password Expiration: An
Algorithmic Framework and Empirical Analysis - https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
5
NIST - 2017 - 5.1.1.2 Memorized Secret Verifiers - https://pages.nist.gov/800-63-3/sp800-63b.html#memsecret
6
GCHQ - 2015 - Password Guidance -
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-
_simplifying_your_approach.pdf
7
Microsoft - 2019 - Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903 -
https://docs.microsoft.com/en-us/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-
windows-server-v1903
8
DoD - 1985 - DoD Password Management Guidelines - 4.2.2 Changing password -
http://tech.uh.edu/conklin/IS7033Web/7033/RainbowSeries/CSC-STD-002-85.pdf
9
FIPS - 1985 - PUB 112 – Password Usage - Appendix A 3.3 Lifetime -
https://apps.dtic.mil/dtic/tr/fulltext/u2/a406544.pdf
10
NIST - 2004 - Withdrawn - 800-63 Version 1.0.1 - Electronic Authentication Guideline -
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-63ver1.0.1.pdf
11
CERTA - 2007 - Note d’information - Mots de passe - CERTA-2005-INF-001 (version 2007 de la note) -
https://www.cert.ssi.gouv.fr/information/CERTA-2005-INF-001/
12
CNIL - 2012 - La sécurité des données personnelles - https://services-
numeriques.unistra.fr/fileadmin/upload/Services_numeriques/Documents/DI/CIL/CNIL-guide-
securite.mht.pdf
13
ANSSI - 2012 - https://www.ssi.gouv.fr/guide/mot-de-passe/ - https://www.ssi.gouv.fr/guide/mot-de-passe/
14
DoJJ - 2014 - Résumé – Scared Straight and Jail Tour Program -
http://www.djj.state.fl.us/docs/research2/myth-fact-2014-scared-straight-2014_mb-10-22-14.pdf?sfvrsn=0
15
Campbell Systematic Reviews - 2013 - Scared Straight and Other Juvenile Awareness Programs -
https://onlinelibrary.wiley.com/doi/pdf/10.4073/csr.2013.5
16
NIST - 2014 - Report : Authentication, Diary study : 6.4.1.7 -
http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7983.pdf
17
FTC - 2016 - Time to rethink mandatory password changes - https://www.ftc.gov/news-
events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes
18
Univ North Carolina - Yinqian Zhang et al. - - The Security of Modern Password Expiration: An Algorithmic
Framework and Empirical Analysis - https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
19
CMU - Lorrie Cranor et al. - 2016 - Do Users’ Perceptions of Password Security Match Reality? -
https://www.archive.ece.cmu.edu/~lbauer/papers/2016/chi2016-pwd-perceptions.pdf
20
CMU - Lorrie Cranor et al. - 2014 - Can Long Passwords Be Secure and Usable? -
https://lorrie.cranor.org/pubs/longpass-chi2014.pdf
Gill es FAVIE R – 05/01 /2021 Page 30 of 31
21
Ars memoriae - - Rhetorica Ad Herennium - https://archive.org/details/adcherenniumdera00capluoft p205-
XVI -> p221-XXII
22
Jeremy M Gosney - 2012 - Password Cracking HPC -
http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Cracking_HPC_Passwords12.pdf
23
ISO 27001:2017 - 2017 - 10.1 Non-conformité et actions correctives - systèmes de management de la sécurité
de l'information - https://www.boutique.afnor.org/norme/nf-en-iso-iec-27001/technologies-de-l-information-
techniques-de-securite-systemes-de-management-de-la-securite-de-l-information-
exigences/article/922720/fa187277
24
BSI - - IT Security Guidelines - 6.4 -
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/guidelines/IT-sec-
guidelines_pdf.pdf?__blob=publicationFile&v=1
25
Forbes - 2019 - Ranked: The World’s Top 100 Worst Passwords -
https://www.forbes.com/sites/daveywinder/2019/12/14/ranked-the-worlds-100-worst-passwords/
26
BIT - 2014 - EAST Framework - https://www.behaviouralinsights.co.uk/wp-content/uploads/2015/07/BIT-
Publication-EAST_FA_WEB.pdf
27
Bob M. Fennis - - Bridging the intention–behavior gap: Inducing implementation intentions
through persuasive appeals - https://files.fss.uu.nl/selfregulationlab/publications/Fennis-et-al-2011-JCP.pdf
28
Sheeran - 2016 - The Intention-Behavior Gap - https://eprints.whiterose.ac.uk/107519/3/The%20Intention-
Behavior%20Gap%20R1.pdf
29
Sonny Rosenthal - 2018 - Procedural Information and Behavioral Control: Longitudinal Analysis of the
Intention-Behavior Gap in the Context of Recycling - https://www.mdpi.com/2313-4321/3/1/5/pdf
30
LeMagIT - 2020 - Les biais (cognitifs) dans tous leurs états - https://www.lemagit.fr/tribune/Cybersecurite-les-
biais-cognitifs-dans-tous-leurs-etats-1-5
31
Linkedin - 2020 - Des biais cognitifs en cybersécurité - https://www.linkedin.com/pulse/des-biais-cognitifs-en-
cybers%C3%A9curit%C3%A9-amandine-durand?articleId=6663712316930039808
32
Randorisec - 2019 - Le réel danger des biais cognitifs en cybersécurité - https://www.randorisec.fr/publication-
reel-danger-biais-cognitifs-cybersecurite/
33
Livre - 2015 - Black Box Thinking: Why Most People Never Learn from Their Mistakes--But Some Do - 978-
1591848226 - Mathew Syed
34
Livre - 2018 - L’enfer des règles, les pièges relationnels - 9782072729096 - Christian Morel
35
ANSSI - 2020 - Campus Cyber - https://www.ssi.gouv.fr/agence/cybersecurite/un-campus-dedie-a-la-
cybersecurite/
36
J Klossner Cartoon - 2006 - John Klossner - https://www.jklossner.com/humannature
7.2 Ouvrages
Christian Morel L’enfer des règles, les pièges relationnels
Matthew Syed Black Box Thinking: Why Most People Never Learn from Their
Mistakes--But Some Do
8 Acronymes
ANSSI Agence Nationale de la Sécurité des Systèmes d’Information
BIT Behavioral Insights Team
Gill es FAVIE R – 05/01 /2021 Page 31 of 31
BSI Bundesamt für Sicherheit in der Informationstechnik
CS Caractère spécial
GCHQ Government Communications Headquarters
MdP Mots de passe / Mot de passe
NCSC National Cyber Security Centre (UK)
NIST National Institute of Standards and Technology
PSSI Politique de Sécurité des Systèmes d’Information
SI Système d’Information
SSO Single Sign-On
9 Tableaux et figures
9.1 Tableaux
Tableau 1 : % de mots de passe respectant un comportement donné dans notre jeu de
données. .......................................................................................................................................... 5
Tableau 2 : Exemple de mots de passe aléatoires changés tous les 3 mois pour un utilisateur
accédant à son système d’exploitation et deux applications qui ne sont pas reliées à un SSO
(L’application 1 exige un renouvellement de mot de passe tous les deux mois) ................... 10
Tableau 3 : Exemple de stratégie de mots de passe mise en place par les utilisateurs pour
surmonter la difficulté de mémorisation et respecter la politique ......................................... 11
Tableau 4 : Exemple de stratégies de mots de passe possibles dans une organisation
bénéficiant d’un SSO..................................................................................................................... 11
Tableau 5 : Comparaison du temps de cassage d’un mot de passe avec la « machine » de
Jeremy Gosney en 2012 [22] et une machine théorique 1000 fois plus puissante ................ 17
9.2 Figures
Figure 1 : Schéma des trois critères très répandus des politiques de mots de passe ............. 4
Figure 2 : Représentation fréquemment utilisée pour décrire les utilisateurs [36]. .............. 12
Figure 3 : Exemples de message d’erreur lors de la création ou du changement d’un mot de
passe .............................................................................................................................................. 13
Figure 4 : Représentation schématique du processus de l’ « information » à l’ « intention » 23
Figure 5 : Représentation schématique du processus comportemental Connaissance →
Intention → Action ........................................................................................................................ 25
