1.0 Problématique des mots de passe

La gestion des mots de passe constitue aujourd’hui la principale faille de sécurité en matière de protection informatique car la plupart du temps une politique de gestion  rentre dans l’un des cas suivant :

1 – Pour des questions pratiques, une personne utilise toujours le même mot de passe pour tous les codes d’accès qu’elle doit renseigner.

Problème :
Si quelqu'un peut avoir accès à ce mot de passe, il peut consulter toutes les ressources de sa cible (email, compte bancaire, gestion de site internet, caméra de surveillance, salon de discussions, documents personnels,…)

2 – Pour des questions de sécurité, une personne utilise plusieurs mots de passe (en général pas plus de 5 différents) pour ses données informatiques.

Problème :
Cette pratique donne un semblant de sécurité à son propriétaire, car elle doit pour pouvoir les retenir de tête, choisir des mots de passe très simples.

Or, si un attaquant à la possibilité de compromettre un système vulnérable, il peut retrouver l’ensemble des mots de passe de sa victime et revenir dans le cas de figure numéro 1, à la différence que si la victime désire se défendre en changeant son mot de passe : il sera forcément dans la liste retrouvée par le pirate (ou dans une forme similaire).

3 – Une personne utilise plusieurs mots de passe compliqués

Problème :
Pour s’en souvenir, elle doit les noter quelque part, ce qui l’expose à d’autres difficultés : (pertes de mot de passe, vol du document où ils sont inscrits, communication difficile si plusieurs personnes gèrent un système, mise à jour impossible,…)

De plus, si les mots de passe sont compliqués, la personne ne pourra en retenir qu’un seul, et ainsi revenir au cas de figure numéro 1.

Retour au menu

2.0 La solution Clavis

La suite de logiciel CLAVIS permet à une ou plusieurs personnes d’avoir une politique de mots de passe hautement sécurisée avec la possibilité de les synchroniser sans effort.

Le système est composé de deux logiciels qui remplissent les mêmes fonctions :

2.1 Le logiciel pour ordinateur

Fonctionnant sur les environnements Microsoft Windows (NT/2000/XP/VISTA), il est « compilé » spécifiquement pour chaque ordinateur où il est installé, en fonction de l’empreinte du disque dur.

Grâce à ce procédé, si quelqu’un copie le logiciel pour le lancer sur un autre ordinateur, le programme s’autodétruit à l’exécution.

Retour au menu

2.2 Le logiciel pour téléphone portable

Il fonctionne sur tout environnement mobile utilisant le système d’exploitation Windows CE (Pocket PC, PDA, téléphone portable,…)

Il possède exactement les mêmes fonctionnalités que le logiciel PC, ce qui permet d’avoir toujours sa liste de mot de passe sur soi.

Retour au menu

3.0 Description des fonctionnalités

Le système de gestion de mot de passe est organisé en groupes.

Un groupe contient un ensemble de machines.

Chaque machine contient un ensemble d’utilisateurs devant avoir un accès à celle-ci.

Retour au menu

3.1 Les groupes

Ils peuvent être de 3 types : Public, Privé ou Admin.

Un groupe Public ou Admin peut être synchronisé avec les autres appareils tandis qu’un groupe Privé n’est pas synchronisé.

Chaque type de groupe est associé à une clé algorithmique qui sera utilisée pour le calcul du mot de passe final.

Retour au menu

3.2 Les machines

Elles peuvent être de 2 types : Ordinateur ou téléphone

Un ordinateur générera des mots de passe de 7 caractères spéciaux-alpha-numériques, tandis qu’un téléphone générera des mots de passe de 4 chiffres.

3.3 Les utilisateurs

Les utilisateurs n’ont pas de type particulier.

Retour au menu

4.0 Système de génération de mots de passe

Les mots de passes sont générés à la volée en utilisant comme base de calcul les informations suivantes : NOM DU GROUPE + CLE ALGORITHMIQUE DU GROUPE + NOM DE LA MACHINE + NOM UTILISATEUR

Les mots de passes ne sont donc enregistrés nulle part.

Si quelqu’un arrive à mettre la main sur vos noms de groupe, machine et utilisateur, il faut qu’il connaisse votre clé algorithmique pour retrouver le mot de passe correspondant.

Le calcul du mot de passe final est optimisé pour résister aux attaques suivantes :

• > Brute force MD5, SHA, DES, RSA,…
• > Prédilection algorithmique
• > Cassage par dictionnaire
• > Recherche de variante par masque

Les mots de passe sont composés de 3 lettres, 2 chiffres et 2 caractères spéciaux.

Si les mots de passe générés ne dépassent pas les 7 caractères, c’est parce que dans la plupart des cas, les empreintes sont stockées au format MD5.
Hors un Hash MD5 peut être découpé en plusieurs parties de 7 pour effectuer une attaque.
Ainsi, un mot de passe qui dépasserait 7 caractères ne pourrait donner que des indications supplémentaires à un attaquant potentiel.

Voici un tableau des temps nécessaires à un pirate pour retrouver un mot de passe encodé en MD5.

Nous partirons du principe que l’attaquant possède un microprocesseur mono thread dont l’horloge est cadencée à 1,5 Ghz (ordinateur bas de gamme que l’on trouve à 400 euros dans le commerce) et que celui-ci ne porte son attaque que sur des caractères « lower case » (ce qui divise par 3 ou 4 le temps de recherche).

Composition du mot de passe	Temps pour le casser
Chiffre	8 secondes
Lettre	1 heure 30 minutes
Lettre + chiffre	16 heures
Lettre + chiffre + caractères spéciaux classiques	39 heures
Mot de passe CLAVIS (Lettre+chiffre+24 spéciaux)	389 heures

Retour au menu

5.0 Système de synchronisation

Les logiciels CLAVIS ont la possibilité de se synchroniser entre eux à travers un serveur FTP qui contient le fichier de base de données.

Grace à cette technologie, l’ensemble de vos collaborateurs autorisés possède en temps réel la liste des mots de passe de l’entreprise.

Retour au menu