Jeudi 7 juin 2018
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Gérer de nombreux mots de passe

Imprimer Envoyer à un ami Contacter la rédaction
Par Alain Bastide le 22/02/2012 - indexel.net
 
Gerer-ses-mots-de-passe

Pour éviter toute tentation d’un mot de passe unique, des logiciels proposent de centraliser leur création et y donnent accès en toute sécurité.

 

L'utilisation de mots de passe forts est une étape incontournable pour sécuriser un système d'information. Contrairement aux idées reçues, "un mot de passe fort n'est pas un mot de passe impossible à mémoriser du type ''Tr0uBa34dor&3'' mais plutôt une suite de mots sans logique apparente du type ''Correct horse battery stapple'" rappelle Hervé Schauer, expert en sécurité, fondateur du cabinet Hervé Schauer Consultant. Pour être efficaces, ces mots de passe doivent être uniques : à chaque compte, identifiant ou login, doit impérativement être associé un mot de passe différent.

Un outil s'impose pour gérer une multitude de mots de passe

Olivier Chichportich

Si cette démarche semble difficile pour un utilisateur, "elle est carrément impossible sans s'outiller lorsque l'on est un administrateur système" constate Olivier Chichportich (photo), administrateur systèmes et réseaux chez un fabricant d'appareil électroniques. "Je jongle toute la journée avec des dizaines de mots de passe différents et j'applique une politique de changement de mot de passe tous les mois ou toutes les semaines" détaille le responsable. Pour ne pas se laisser aller à la facilité d'un mot de passe identique pour toutes les applications qui fragiliserait considérablement la sécurité du système d'information, il devient vite essentiel de trouver un système qui génère et stocke tous les mots de passe et auquel on puisse accéder facilement et en toute sécurité.

Keepass, un logiciel open source plébiscité

De nombreux logiciels sont disponibles pour générer des mots de passe et les gérer de façon centralisée. On peut citer Clipperz, KeePassX, PpassKeeper, 1Password et iKeePass sous Mac, ainsi que la clé USB sécurisée Ironkey qui intègre une gestion centralisée des données de l'utilisation (dont les mots de passe). 

Hervé SchauerS'il n'existe pas de solution miracle, le logiciel open source KeePass Password Safe (Keepass) semble faire consensus. "Certains de nos consultants l'utilisent" confirme Hervé Schauer (photo). Et "après avoir testé toutes les solutions du marché, j'ai retenu Keepass" explique Philippe Scoffoni, un des experts français des logiciels open source.

Développé en .NET, ce logiciel fonctionne sur Windows, mais aussi avec les distributions GNU/Linux via Mono. Il a également été porté sur Java (WebKeePass) et s'exécute alors sous la forme d'une applet. On peut donc l'utiliser depuis n'importe quel ordinateur. Côté fonctionnel, comme d'autres outils, il permet de gérer les mises à jour concurrentes du fichier de mot de passe. On peut également classer les mots de passe et stocker toutes les informations importantes qui leur sont associées.

Un accès distant vis SSH

Philippe ScoffoniParmi les atouts de ce logiciel, les deux experts retiennent le chiffrement AES / Twofish, une authentification par couple certificat + mot de passe. Le choix d'un logiciel open source n'est pas anodin en matière de sécurité. "On ne sait pas ce qui se cache derrière les lignes de code d'un logiciel propriétaire. Et la situation est identique pour une application web" rappelle Philippe Scoffoni (photo). L'ouverture du code laisse toute latitude pour vérifier qu'aucune menace ne s'y cache.

Avec Keepass, le fichier des mots de passe est stocké sur un serveur connecté à internet. Il est donc accessible de n'importe où via le protocole ssh, ce qui représente un gage de sécurité. "Malheureusement toutes les entreprises n'autorisent pas ce protocole", constate Olivier Chichportich. On peut alors installer le logiciel sur son poste de travail et sur une clé USB. Mais cela impose une synchronisation manuelle des fichiers et "ce n'est pas satisfaisant d'un point de vue sécurité" note Olivier Chichportich. "Que se passe-t-il en cas de perte ou de vol de la clé ?" s'interroge-t-il.

Pour renforcer la sécurité des données, on peut utiliser une authentification par clé publique. "J'utilise un certificat en plus du mot de passe", explique Philippe Scoffoni. "C'est une protection supplémentaire dans le cas où le fichier serait 'subtilisé' sur le serveur par une personne non habilitée. Il lui faudrait le mot de passe bien sûr, mais aussi ce certificat qui n'est présent que sur les postes des utilisateurs et pas sur le serveur. En cas de révocation de droit d'accès à un utilisateur, on change le certificat aussi, ce qui est une garantie en plus" détaille-t-il. Une approche "ceinture plus bretelles", mais comme le logiciel le permet, autant en profiter.

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages