S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Comment Windows 8 veut simplifier et sécuriser les mots de passe

Le compte Live comme passeport numérique

Microsoft vient de publier un nouveau billet dans le blog officiel de Windows 8. L’éditeur s’attaque cette fois à un gros morceau : la gestion des mots de passe au sein du système et donc le degré de sécurité qui en découle. Face à plusieurs problématiques inhérentes aux choix des mots par les utilisateurs, Windows 8 apportera plusieurs réponses.

windows 8 win8

La situation actuelle est trop complexe

Les mots de passe sont une protection pratiquement aussi vieille que l’informatique. Il est très vite apparu la nécessité de protéger des données via une série de caractères alphanumériques. Depuis, chacun en possède au moins pour son compte de courrier électronique, mais de la réflexion à la base du choix du mot découle le degré de protection. Dans l’idéal, il faudrait des lettres, minuscules et majuscules, des chiffres ainsi que des caractères spéciaux. De plus, toujours en idéalisant la situation, chaque compte devrait avoir son mot de passe unique.

Le problème est alors simple : plus l’utilisateur a de mots de passe complexes, plus il a de mal à s’en rappeler. Il existe du coup deux conséquences :
  • Les utilisateurs n’ont finalement que peu de mots de passe différents
  • Des méthodes tierces de stockage des mots de passe peuvent être mises en place
Ces deux constats ont chacun leur conséquence. Dans le premier cas, c’est une conséquence simple de sécurité : si un attaquant quelconque trouve un mot de passe, il peut accéder facilement à d’autres services. Le cas survient notamment quand un utilisateur se sert d’une adresse email et de son vrai mot de passe comme éléments d’identification sur un autre service. Dans le deuxième cas, il s’agit d’une solution efficace, mais uniquement si le mot de passe central est suffisamment fort (complexe). Il requiert cependant l’utilisation d’un produit dédié.

Les solutions proposées par Windows 8

Le futur Windows prendra en charge différentes méthodes d’identification. Les mots de passe pourront notamment être gérés de deux manières. La première est classique : un mot de passe par compte. L’éditeur explique qu’Internet Explorer 10, livré avec Windows 8, enregistrera bien entendu les mots de passe dans une zone sécurisée. Les sites web bloquant l’enregistrement du mot fonctionneront toujours comme tels.

windows 8 win8

L’autre méthode est l’héritage directe de l’intégration des comptes Live au cœur du système. L’utilisateur, s’il renseigne son compte Live, pourra choisir de synchroniser les mots de passe. Conséquence : toute identification sur un site web provoquera l’enregistrement des informations dans une zone sécurisée du compte. Il y a deux avantages : l’utilisateur n’a plus besoin de retenir les comptes, ce qui équivaut à un outil dédié, mais ces derniers seront en outre synchronisés sur les autres machines. En clair, l’utilisateur transporte avec lui ses mots de passe. Notez d’ailleurs que c’est également vrai pour d’autres données telles que les clés des réseaux Wi-Fi, et que les applications Metro disposeront d’une API capables de faire appel à cette fonction.

En aparté, signalons que cet enregistrement existe depuis des années avec les comptes MobileMe proposés par Apple. La firme de Cupertino a cependant décidé pour une raison inconnue de supprimer cette fonction lors du passage à iCloud. Il n’est cependant pas interdit qu’elle refasse son apparition plus tard.

Et en entreprise ?

D’autres méthodes sont supportées, notamment l’identification par clés publique/privée. Avec une telle infrastructure, l’authentification sur un service provoque une demande de ce dernier pour l’obtention de la clé privée, qu’il peut lire grâce à la clé publique. Les avantages sur le simple mot de passe sont multiples, mais on notera particulièrement l’impossibilité pour un keylogger d’enregistrer ces informations puisqu’il n’y a pas de frappe au clavier. Si cette méthode n’a pas supplanté le mot de passe, c’est qu’elle réclame un matériel dédié, comme une smart card ou une puce particulière. Problème : si l’utilisateur n’a pas ce matériel avec lui, il ne peut pas s’authentifier. De fait, la propagation chez le particulier est compromise.

Plusieurs modifications ont cependant été apportées. Premièrement, les clés publiques et privées peuvent être stockées dans un KSP (Key Storage Provider) qui utilise l’environnement TPM (Trusted Platform Module) pour assurer leur protection. Les TPM sont courants en entreprise, et c’est à elles que s’adresse ce changement. Les applications Metro disposent de plus d’une API permettant d’appeler cette fonctionnalité.

Dans les cas des sociétés plus grandes qui utilisent des infrastructures de smart cards, Windows 8 peut utiliser le TPM comme une carte virtuelle. Microsoft assure que cette possibilité, si elle est activée, ne demande aucune modification coté client ou serveur : les services et applications réclamant une smart card la détectent en tant que telle.

Mais la principale nouveauté pour le grand public sera surtout l’enregistrement des mots de passe dans le compte Live. Ce dernier aura donc une importance cruciale et, s’il est utilisé, réclamera un mot de passe particulièrement fort. Un constat identique en fait à la situation avec iCloud d’Apple ou Google, ces comptes renfermant une proportion toujours plus importante de la vie numérique des utilisateurs.
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 15/12/2011 à 12:02

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 71 commentaires

Avatar de dada051 INpactien
dada051 Le jeudi 15 décembre 2011 à 15:11:11
Inscrit le mercredi 12 décembre 07 - 399 commentaires
Commentaire de Idiot Proof supprimé le 15/12/2011 à 13:34:49 : Troll ou incitation au troll

Microsoft est la seule entreprise qui communique autant sur la sécurité et qui ne vérrouille pas ses systèmes.

Quand on écrit que microsoft a coté de sécurité ca fait tâche, c'est considéré comme un troll

Je suis le seul utilisateur sur PCINpact a être emmerdé par les reboots obligatoires pour les mise à jour des systèmes d'exploitation microsoft a fin de platrer les trous béants laissés dans leur OS sécurisé

alors de là a confier la gestion de mes mdps à un système ou un service qui a une telle politique sur la sécurité ...


C'est pas parce que les autres ne font pas de mises à jour qu'ils n'ont pas de bugs ou de failles... Et Microsoft est loin de négliger la sécurité de son système et de ses services. Par contre le fait d'être sur 90% des machines en fait une cible privilégiée
Avatar de atomusk Modérateur
atomusk Le jeudi 15 décembre 2011 à 15:14:50
Inscrit le mardi 20 juillet 04 - 21716 commentaires

Oui enfin, c'est quand même limite argumenté là


Attend si on encourage pas les avancés même ridicules, on évoluera pas
Avatar de ano_634726298070965238 INpactien
ano_634726298070965238 Le jeudi 15 décembre 2011 à 15:15:12
Inscrit le mercredi 25 mai 11 - 1721 commentaires


C'est pas sencé être drôle le sarcasme ?

Certain passe toute leur vie à essayer d'être drôle sans y arriver ^^"

c'est tout un art, très difficile à maitriser
Avatar de ano_634726298070965238 INpactien
ano_634726298070965238 Le jeudi 15 décembre 2011 à 14:19:39
Inscrit le mercredi 25 mai 11 - 1721 commentaires

bientôt les vacances bientôt les vacances bientôt les vacances bientôt les vacances bientôt les vacances bientôt les vacances


oh oui, oh oui, oh oui, oh oui, oh oui, oh oui, oh oui, oh oui , oh oui youhou.gif
Avatar de Mithrill INpactien
Mithrill Le jeudi 15 décembre 2011 à 14:33:16
Inscrit le mercredi 6 mai 09 - 799 commentaires
Bonjour, quelle surprise de voir que certains ici croient encore au mot de passe long avec juste des minuscules !
Avec attaque par un brute force efficace on trouve l'exemple correct horse battery staple assez facilement, en moins d'une heure...

Si on fait un mix entre mots de plusieurs langues ça rajoute une complexité,
mais rajouter une majuscule, un chiffre et un caractère spécial est bien plus efficace.

Un sujet sur les mots de passe très intéressant est dispo d'ailleurs sur le forum PCI,
il est possible de retenir un unique mot de passe pour une centaine de sites par exemple,
tout en gardant une sécurité exemplaire... testé et approuvé pour moi et une amie, à notre sauce perso bien entendu... merci PCI

Lien du sujet :http://forum.pcinpact.com/topic/157193-tuto-bien-gerer-ses-mots-de-passe/

En ce qui concerne l'article, bonne direction prise par Microsoft, j'ai envie de dire : Pas trop tôt !
Avatar de ano_635110013168370034 INpactien
ano_635110013168370034 Le jeudi 15 décembre 2011 à 14:43:32
Inscrit le mardi 19 juillet 05 - 8330 commentaires

Avec attaque par un brute force efficace on trouve l'exemple correct horse battery staple assez facilement, en moins d'une heure...


Avec un vrai hashage solide et salé ? J'y crois pas un seul instant. T'as des sources ?
Avatar de ano_634726298070965238 INpactien
ano_634726298070965238 Le jeudi 15 décembre 2011 à 14:44:17
Inscrit le mercredi 25 mai 11 - 1721 commentaires
Si on fait un mix entre mots de plusieurs langues ça rajoute une complexité,
mais rajouter une majuscule, un chiffre et un caractère spécial est bien plus efficace.


mieux une bonne suite de 8 à 11 caractères aléatoire ;)
et si le service utilisé autorise les caractères spéciaux tu peux rajouter ceux-ci :)
Avatar de le podoclaste INpactien
le podoclaste Le jeudi 15 décembre 2011 à 15:57:42
Inscrit le mardi 1 août 06 - 12591 commentaires


Avec un vrai hashage solide et salé ? J'y crois pas un seul instant. T'as des sources ?


Une attaque par force brute fait fi des hashages, par définition.

Après, est-ce vrai pour ce cas, je l'ignore.

En tout cas, les opinions arrêtées sur le sujet ne manque pas.
Avatar de Jarodd INpactien
Jarodd Le jeudi 15 décembre 2011 à 15:59:40
Inscrit le mardi 26 octobre 04 - 19540 commentaires
J'utilise FF qui retient mes mdp, ça me suffit, si seulement IE pouvait garder les mdp aussi bien, je n'aurais plus besoin de FF.


Avec un mdp global j'espère ? Sinon il suffit de 5 clics pour les voir dans les options de Firefox. C'est assez faible pour les sécuriser...
Avatar de ano_635110013168370034 INpactien
ano_635110013168370034 Le jeudi 15 décembre 2011 à 16:06:02
Inscrit le mardi 19 juillet 05 - 8330 commentaires


Une attaque par force brute fait fi des hashages, par définition.



Alors je pense (tout à fait naïvement il est vrai, je suis pas expert et arrêtez moi si je me trompe) que si tu as le hash et qu'il est salé, ton bruteforce sera quand même bien compliqué, et si le système de login (sans avoir le hash donc) te laisse faire suffisement d'essai avant de t'envoyer balader même juste 30 secondes pour que ça marche, c'est à mon avis que le problème est là et pas ailleurs.



En tout cas, les opinions arrêtées sur le sujet ne manque pas.



C'est pas mon cas, mais j'avais suffisement été convaincu par une discution similaire sur une autre news pour ne pas croire le contraire, pour le moment. Après, c'est pas une autre opinions arrêtée et contraire justement, qui va me prouver que j'ai tord d'avoir cru ce qui m'à été expliqué, si je me fait bien comprendre

Edité par paflaxe le jeudi 15 décembre 2011 à 16:06
;