Comment Windows 8 veut simplifier et sécuriser les mots de passe
Le compte Live comme passeport numérique
Microsoft vient de publier un nouveau billet dans le blog officiel de Windows 8. L’éditeur s’attaque cette fois à un gros morceau : la gestion des mots de passe au sein du système et donc le degré de sécurité qui en découle. Face à plusieurs problématiques inhérentes aux choix des mots par les utilisateurs, Windows 8 apportera plusieurs réponses.
Le problème est alors simple : plus l’utilisateur a de mots de passe complexes, plus il a de mal à s’en rappeler. Il existe du coup deux conséquences :
L’autre méthode est l’héritage directe de l’intégration des comptes Live au cœur du système. L’utilisateur, s’il renseigne son compte Live, pourra choisir de synchroniser les mots de passe. Conséquence : toute identification sur un site web provoquera l’enregistrement des informations dans une zone sécurisée du compte. Il y a deux avantages : l’utilisateur n’a plus besoin de retenir les comptes, ce qui équivaut à un outil dédié, mais ces derniers seront en outre synchronisés sur les autres machines. En clair, l’utilisateur transporte avec lui ses mots de passe. Notez d’ailleurs que c’est également vrai pour d’autres données telles que les clés des réseaux Wi-Fi, et que les applications Metro disposeront d’une API capables de faire appel à cette fonction.
En aparté, signalons que cet enregistrement existe depuis des années avec les comptes MobileMe proposés par Apple. La firme de Cupertino a cependant décidé pour une raison inconnue de supprimer cette fonction lors du passage à iCloud. Il n’est cependant pas interdit qu’elle refasse son apparition plus tard.
Plusieurs modifications ont cependant été apportées. Premièrement, les clés publiques et privées peuvent être stockées dans un KSP (Key Storage Provider) qui utilise l’environnement TPM (Trusted Platform Module) pour assurer leur protection. Les TPM sont courants en entreprise, et c’est à elles que s’adresse ce changement. Les applications Metro disposent de plus d’une API permettant d’appeler cette fonctionnalité.
Dans les cas des sociétés plus grandes qui utilisent des infrastructures de smart cards, Windows 8 peut utiliser le TPM comme une carte virtuelle. Microsoft assure que cette possibilité, si elle est activée, ne demande aucune modification coté client ou serveur : les services et applications réclamant une smart card la détectent en tant que telle.
Mais la principale nouveauté pour le grand public sera surtout l’enregistrement des mots de passe dans le compte Live. Ce dernier aura donc une importance cruciale et, s’il est utilisé, réclamera un mot de passe particulièrement fort. Un constat identique en fait à la situation avec iCloud d’Apple ou Google, ces comptes renfermant une proportion toujours plus importante de la vie numérique des utilisateurs.
La situation actuelle est trop complexe
Les mots de passe sont une protection pratiquement aussi vieille que l’informatique. Il est très vite apparu la nécessité de protéger des données via une série de caractères alphanumériques. Depuis, chacun en possède au moins pour son compte de courrier électronique, mais de la réflexion à la base du choix du mot découle le degré de protection. Dans l’idéal, il faudrait des lettres, minuscules et majuscules, des chiffres ainsi que des caractères spéciaux. De plus, toujours en idéalisant la situation, chaque compte devrait avoir son mot de passe unique.Le problème est alors simple : plus l’utilisateur a de mots de passe complexes, plus il a de mal à s’en rappeler. Il existe du coup deux conséquences :
- Les utilisateurs n’ont finalement que peu de mots de passe différents
- Des méthodes tierces de stockage des mots de passe peuvent être mises en place
Les solutions proposées par Windows 8
Le futur Windows prendra en charge différentes méthodes d’identification. Les mots de passe pourront notamment être gérés de deux manières. La première est classique : un mot de passe par compte. L’éditeur explique qu’Internet Explorer 10, livré avec Windows 8, enregistrera bien entendu les mots de passe dans une zone sécurisée. Les sites web bloquant l’enregistrement du mot fonctionneront toujours comme tels.
L’autre méthode est l’héritage directe de l’intégration des comptes Live au cœur du système. L’utilisateur, s’il renseigne son compte Live, pourra choisir de synchroniser les mots de passe. Conséquence : toute identification sur un site web provoquera l’enregistrement des informations dans une zone sécurisée du compte. Il y a deux avantages : l’utilisateur n’a plus besoin de retenir les comptes, ce qui équivaut à un outil dédié, mais ces derniers seront en outre synchronisés sur les autres machines. En clair, l’utilisateur transporte avec lui ses mots de passe. Notez d’ailleurs que c’est également vrai pour d’autres données telles que les clés des réseaux Wi-Fi, et que les applications Metro disposeront d’une API capables de faire appel à cette fonction.
En aparté, signalons que cet enregistrement existe depuis des années avec les comptes MobileMe proposés par Apple. La firme de Cupertino a cependant décidé pour une raison inconnue de supprimer cette fonction lors du passage à iCloud. Il n’est cependant pas interdit qu’elle refasse son apparition plus tard.
Et en entreprise ?
D’autres méthodes sont supportées, notamment l’identification par clés publique/privée. Avec une telle infrastructure, l’authentification sur un service provoque une demande de ce dernier pour l’obtention de la clé privée, qu’il peut lire grâce à la clé publique. Les avantages sur le simple mot de passe sont multiples, mais on notera particulièrement l’impossibilité pour un keylogger d’enregistrer ces informations puisqu’il n’y a pas de frappe au clavier. Si cette méthode n’a pas supplanté le mot de passe, c’est qu’elle réclame un matériel dédié, comme une smart card ou une puce particulière. Problème : si l’utilisateur n’a pas ce matériel avec lui, il ne peut pas s’authentifier. De fait, la propagation chez le particulier est compromise.Plusieurs modifications ont cependant été apportées. Premièrement, les clés publiques et privées peuvent être stockées dans un KSP (Key Storage Provider) qui utilise l’environnement TPM (Trusted Platform Module) pour assurer leur protection. Les TPM sont courants en entreprise, et c’est à elles que s’adresse ce changement. Les applications Metro disposent de plus d’une API permettant d’appeler cette fonctionnalité.
Dans les cas des sociétés plus grandes qui utilisent des infrastructures de smart cards, Windows 8 peut utiliser le TPM comme une carte virtuelle. Microsoft assure que cette possibilité, si elle est activée, ne demande aucune modification coté client ou serveur : les services et applications réclamant une smart card la détectent en tant que telle.
Mais la principale nouveauté pour le grand public sera surtout l’enregistrement des mots de passe dans le compte Live. Ce dernier aura donc une importance cruciale et, s’il est utilisé, réclamera un mot de passe particulièrement fort. Un constat identique en fait à la situation avec iCloud d’Apple ou Google, ces comptes renfermant une proportion toujours plus importante de la vie numérique des utilisateurs.
Source :
Microsoft
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 15 décembre 2011 à 12:02
(24 222
lectures)
Il y a 71 commentaires
INpactien
SebGF
Le jeudi 15 décembre 2011 à 13:07:49
#21
Inscrit
le mercredi 16 septembre 09
-
3563
commentaires
Je préfère centraliser mes MDP dans un logiciel dédié (Keepass personnellement) et qui stocke localement (+ base répliquée sur le NAS) que d'envoyer ça à Microsoft, Google, Apple, Facebook ou qui sais-je. Si leur sécurité est la même que celle du PSN, alors c'est open bar et fête du slip avec toute ta vie récupérée en 5 minutes... 
M'enfin, Keepass me sert à stocker les MDP des services que j'utilise rarement et donc que je suis susceptible d'oublier. Pour le reste une petite gymnastique pour s'en souvenir et hop :)
M'enfin, Keepass me sert à stocker les MDP des services que j'utilise rarement et donc que je suis susceptible d'oublier. Pour le reste une petite gymnastique pour s'en souvenir et hop :)
INpactien
MorganStern
Le jeudi 15 décembre 2011 à 13:28:04
#22
Inscrit
le lundi 3 septembre 07
-
465
commentaires
+1 pour Keepass.
Faut pas oublier que le système de M$ est vraisemblablement fourni avec le backdoor pour le gouvernement américain. Vos mots de passe les intéressent…
Edité par MorganStern le jeudi 15 décembre 2011 à 13:28
Faut pas oublier que le système de M$ est vraisemblablement fourni avec le backdoor pour le gouvernement américain. Vos mots de passe les intéressent…
Edité par MorganStern le jeudi 15 décembre 2011 à 13:28
Modérateur
Dis plutôt qu'on ne pourra plus utiliser Windows...
J'ai dû rater le passage où il disait que c'était obligatoire
INpactien
Idem pour moi, Keepass sur un clé usb, et la db qui va avec, sur un ftp et sur la clé usb au cas ou je n'ai pas accès a internet.
INpactien
L’éditeur explique qu’Internet Explorer 10, livré avec Windows 8, enregistrera bien entendu les mots de passe dans une zone sécurisée.
mouais... les stockage de mot de passe sur la bécane me parait pas vraiment sécurisé : imaginons je perds mon laptop avec mes mots de passe "dans une zone sécurisée".
Si il tombe entre de mauvaises mains, le gars aura tout le temps de passer outre les sécurités avec un "simple" brute force.
Ne me dites pas que ça va prendre 2 siècles : la plupart des soft de brute force prennent en charge CUDA. 1 core I7 et 2 560Ti permettent une vitesse d'attaque inquiétante en cas d'accès physique à la machine.
Edité par hachu21 le jeudi 15 décembre 2011 à 13:59
INpactien
ano_634726298070965238
Le jeudi 15 décembre 2011 à 14:07:17
#26
Inscrit
le mercredi 25 mai 11
-
1721
commentaires
J'ai dû rater le passage où il disait que c'était obligatoire
t'as louper le sarcasme surtout, non ? ^^"
INpactien
Dans l’idéal, il faudrait des lettres, minuscules et majuscules, des chiffres ainsi que des caractères spéciaux.
Il a pas déjà été démontré que c'était une grosse connerie ça ?
Modérateur
atomusk
Le jeudi 15 décembre 2011 à 14:14:29
#28
Inscrit
le mardi 20 juillet 04
-
19854
commentaires
t'as louper le sarcasme surtout, non ? ^^"
C'est pas sencé être drôle le sarcasme ?
Modérateur
atomusk
Le jeudi 15 décembre 2011 à 14:15:24
#29
Inscrit
le mardi 20 juillet 04
-
19854
commentaires
INpactien
Il a pas déjà été démontré que c'était une grosse connerie ça ?
Oui et non, pour un mdp de 8 caractères, ça aidera fortement d'avoir des minuscules, majuscules, des chiffres,.... Par contre, ça ne sera certainement pas plus fort qu'un mot de passe bien plus long mais entièrement en minuscule.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(15)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
