Gestionnaire de mots de passe
En mettant à jour le site et en relisant les vieux posts, comme celui-là, je me disais que finalement les choses avaient un peu changé, mais pas suffisamment.
Je ne vais pas m’attarder sur tous les gestionnaires de mot de passe du marché, je vais juste évoquer les initiatives et les changements de philosophie de ces dernières années, enfin évoquer la solution que j’utilise actuellement et celle que je vais tester prochainement.
État des lieux
Après avoir annoncé la fin du mot de passe, on constate que quelques années plus tard, la situation reste la même. On a encore quelques communications officielles d’oracles divers prônant la fin du mot de passe, mais sans solution accessible au commun des mortels, je pense que c’est peine perdue.
Aujourd’hui, la plupart des utilisateurs utilisent le gestionnaire de mot de passe intégré à leur navigateur sur leur smartphone, et la magie du cloud opérant, ceux-ci sont automatiquement synchronisés et récupérés à chaque changement de device. Ce n’est pas systématique mais c’est la solution la plus abordable et la plus facile à mettre en œuvre aujourd’hui. Et à défaut de mieux heureusement que cette solution est proposée (même si les utilisateurs ne choisissent pas forcément les bons secrets et se retrouvent finalement avec x fois le même secret stocké pour tous les sites).
La pression commerciale a porté un peu ses fruits en entreprise en déployant des solutions « all in one » reposant sur des solutions cryptographiques. Même si cela restent assez sporadique et ne touchent au minimum que les entreprises de taille moyenne, c’est un pas en avant qu’il faut souligner. Cependant la multiplication des PKIs, souvent dans des conditions de compréhension et de maîtrise limitées, nous amène dans un constat amer que celles-ci sont trop souvent vulnérables et pas considérées à leur juste valeur, même si les modèles de PC et DPC existent depuis le début. On peut se tourner vers l’ANSSI pour ça.
OAuth2
OpenID Connect est une solution intéressante qui permet de fédérer les identités en se reposant sur un serveur d’autorisation tiers (reposant sur OAuth). C’est en gros un mécanisme de SSO. Une des implémentations les plus connue en France est celle qui est utilisée sur FranceConnect, qui relie tous les services étatiques (Impôts, Assurance maladie, etc.). Sinon Google, Microsoft, Facebook, Apple proposent aussi de s’interfacer avec leurs serveurs d’autorisation.
Le principal risque est donc de faire suffisamment confiance au fournisseur d’autorisation, et cela peut devenir problématique si celui-ci est compromis. De plus une grosse entreprise comme Google a finalement plutôt intérêt à devenir fournisseur OpenID, cela permet une fois de plus de tracer l’activité de ses utilisateurs.
Malheureusement peu de sites/services proposent ce type d’authentification. L’offre reste encore que trop peu commune. De plus certains sites ne propose que Facebook, d’autres que Google, etc. Et que dire des personnes qui n’ont pas encore de compte Facebook, Google ou Apple. Il doit en rester quelques uns…
L’authentification forte
Le fameux deuxième facteur, aujourd’hui, peut prendre plusieurs formes, mais rien n’est vraiment standardisé (entre la clé crypto, le smartphone et l’application dédiée, la donnée biométrique, la clé FIDO/U2F, le SMS, etc). L’offre est vraiment pléthorique et encore une fois difficile pour l’utilisateur de s’y retrouver. Les banques ont du récemment abandonner la notification SMS pour valider les achats en ligne, car ce mécanisme n’est plus considéré comme suffisamment fort. En grande majorité il se sont tournés vers les applications demandant une validation supplémentaire ou une authentification via une donnée biométrique (empreinte digitale).
La plupart des grands nom du net acceptent aujourd’hui une authentification avec un second facteur nommé U2F, ou FIDO2 pour sa dernière implémentation. Aujourd’hui ce type d’authentification n’est utilisé que par un nombre limité d’initiés mais cela reste une bonne initiative. Il faudrait que cela devienne un standard et que ce soit implémenté dans tous les formulaires d’authentification, cependant le coût de la clé n’est pas à négliger (et de ses potentielles clés de secours).
Conclusion
Il existe des avancées certaines, mais rien n’est fait pour que toutes ces propositions s’assemblent de manière plus juste et coordonnée (comme tout en sécu). La solution idéale serait certainement un mélange de tout ce qui existe aujourd’hui sans oublier le deuxième facteur qui devrait être fourni à chaque utilisateur. Peut-être que d’un point de vue étatique il serait intéressant de fournir une solution pour tous les citoyens à partir par exemple de solutions cryptographiques contenues dans une carte d’identité, par exemple. Il se pose évidemment d’autres questions comme le degré de confidentialité que l’on peut attendre de ce genre de solutions.
Ma solution
Disclaimer : C’est une solution que j’utilise depuis quelques temps déjà. C’est peut-être pas la plus optimale, et si vous en avez d’autres en tête je suis preneur !!!
KeePassXC
J’ai longtemps utilisé KeePass, la version originale, mais KeePassXC est nativement multiplate-forme et supporte HMAC-SHA1, pour les clés Yubikey. Il existe aussi un plugin pour Firefox et permet l’intégration naturelle au navigateur. La Yubikey que j’utilise pour le moment est la Version 5 NFC.
Keepass2Android
L’application Android permet aussi d’utiliser une Yubikey sans contact via NFC. Cela permet d’être raccord et multi-device tout en gardant ce deuxième facteur qu’est la Yubikey.
Keepass2Android peut ouvrir un fichier directement depuis un cloud, il suffit donc de synchroniser la version desktop avec une solution cloud desktop (OneDrive ou Google Drive par exemple) pour que KeePassXC et Keepass2Android utilise le même fichier.
Article MISC qui décrit plus précisément la solution.
Le futur
J’ai testé brièvement Passbolt, qui est une solution qui promet mais qui n’était pas satisfaisante lors de l’essai. On en parle ici. Dans les nouvelles solutions il y a des concepts intéressants tels que les APIs pour manager automatiquement les mot de passes de plateformes. Mais pour l’instant je n’en ai pas encore le besoin.
Il y a une solution émergente qui mérite aussi une petite qualification : Bitwarden. J’espère en faire un article prochainement ainsi que sur les Vaults qui prennent une place de plus en plus importante. La conclusion finale est que le mot de passe n’est pas encore mort, peut-être qu’il survivra comme IPv4.