Bonnes pratiques de la gestion des secrets

Bonnes pratiques de la gestion des secrets

Par Pascal Brand, ingénieur R&D IFOTEC  I 14 octobre 2021 I Cybermois 

Vous souhaitez limiter les risques d’attaques sur votre réseau et le vol de vos données sensibles ?  Pour une meilleure gestion des secrets, ne négligez ni le choix de vos mots de passe, ni leur moyen de stockage.

Comment choisir un bon mot de passe ?

Pour être fiable, un mot de passe doit être imprédictible. Pour cela il y a quelques règles à respecter pour la gestion des secrets :

• Il doit avoir une taille suffisante et des caractères variés. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise une longueur de 12 caractères minimum, comprenant des minuscules, majuscules et caractères spéciaux. Il ne faut que quelques secondes à une machine pour tester toutes les combinaisons possibles d’un mot de passe de 8 caractères avec uniquement des lettres minuscules, alors qu’il lui faudrait plusieurs milliers d’années pour un mot de 12 caractères contenant des minuscules, majuscules et caractères spéciaux !
• Eviter les mots courants. L’attaque la plus classique pour retrouver un mot de passe est l’attaque par dictionnaire qui consiste à tester tous les mots les plus couramment utilisés.
• Il doit être conservé de manière sûre et pas à la vue de tous. Il est très risqué de conserver son mot de passe sur un document non chiffré ou sur du papier. L’utilisation d’un gestionnaire de mot de passe peut être une bonne solution. Il s’agit d’un logiciel qui permet de stocker dans une base de données chiffrée tous vos identifiants et mots de passe.
• Il ne faut pas utiliser le même mot de passe à plusieurs endroits, et le changer régulièrement, afin de limiter les risques qu’il ne soit compromis. Il arrive régulièrement que des bases de données fuitent et révèlent des identifiants et mots de passe d’utilisateurs.

Comment stocker des données sensibles dans une mémoire ?

Il ne faut jamais stocker d’informations sensibles « en clair » dans une mémoire qui peut être relue depuis l’extérieur. Pour les mots de passe, il est préférable de n’en stocker qu’un format hashé. Un hash est une opération irréversible qui consiste à transformer une donnée en une autre. Ainsi, si des données fuitent du système, seul un hash sera accessible.

Afin de limiter la fuite de données depuis la mémoire interne des microcontrôleurs, il est généralement possible d’activer sa « read protection » qui empêche de relire son contenu une fois le composant programmé.

Comment IFOTEC protège les données sensibles dans ses produits ?

 Sur les produits sécurisés de la gamme IFOTEC, la protection en lecture est active et seul un hash des mots de passe est enregistré, auquel est ajouté un grain de sel. Le grain de sel est une chaîne de caractère unique pour chaque produit, qui est ajouté au mot de passe avant l’opération de hashage afin de le complexifier et de rendre le hash différent sur chaque produit ayant le même mot de passe. Ainsi, si le contenu de la mémoire venait à être révélé, on ne pourrait ni en déduire le mot de passe, ni se servir des informations sur d’autres produits.