Le RSSI de Microsoft : pourquoi nous essayons de bannir les mots de passe pour toujours

Spread the love
Le RSSI de Microsoft : pourquoi nous essayons de bannir les mots de passe pour toujours

Bret Arsenault, responsable de la sécurité informatique de Microsoft (CISO), qui travaille chez Microsoft depuis 31 ans, affirme n’avoir été acclamé publiquement qu’une seule fois dans l’entreprise : c’était lorsqu’il a mis fin à la politique interne de Microsoft consistant à changer les mots de passe tous les 71 jours.

“C’est la première fois que j’ai été applaudi en tant que responsable de la sécurité et dirigeant”, déclare Arsenault à ZDNet. “Nous avons dit que nous désactivions la rotation des mots de passe au sein de Microsoft.”

En tant que RSSI de Microsoft, Arsenault est chargé de protéger à la fois les produits Microsoft et ses réseaux internes utilisés par ses 160 000 employés. Si l’on ajoute les fournisseurs, il est responsable d’environ 240 000 comptes dans le monde. L’élimination des mots de passe et leur remplacement par de meilleures options, comme l’authentification multifactorielle (AMF), figurent en bonne place sur sa liste de tâches.

publicité

Trouver la vraie valeur de l’authentification multifactorielle

Microsoft a mis à jour sa politique de mots de passe par étapes. En janvier 2019, elle est passée à une expiration d’un an, en utilisant la télémétrie pour valider l’efficacité. En janvier 2020, elle est passée à une expiration illimitée en fonction des résultats.

Microsoft a également cessé de recommander aux clients de mettre en œuvre une politique d’expiration des mots de passe de 60 jours en 2019, car les gens ont tendance à apporter de petites modifications aux mots de passe existants (les fameux mots de passe incrémentaux) ou à en oublier de nouveaux bons.

Pour Arsenault, plutôt que de faire la conversation sur la mise en place de MFA partout, il a marketé cela comme étant le changement qui permettrait l’élimination des mots de passe.

“Si j’élimine les mots de passe et que j’utilise la biométrie, c’est beaucoup plus rapide et l’expérience est meilleure”

“Parce que personne n’aime les mots de passe. Vous les détestez, les utilisateurs les détestent, les services informatiques les détestent. Les seules personnes qui aiment les mots de passe sont les criminels – ils les adorent”, dit-il.

“Je me souviens que nous avions pour devise de généraliser l’AMF ; rétrospectivement, c’était le bon objectif de sécurité, mais la mauvaise approche. Il faut se concentrer sur le résultat pour l’utilisateur et passer à “nous voulons éliminer les mots de passe”. Mais les mots que vous utilisez sont importants. Il s’est avéré que ce simple changement de langage a changé la culture et la vision. Plus important encore, cela a changé notre conception et ce que nous avons construit, comme Windows Hello pour les entreprises”, dit-il.

“Si j’élimine les mots de passe et que j’utilise toute forme de biométrie, c’est beaucoup plus rapide et l’expérience est tellement meilleure.”

“99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement”

Sur les PC Windows 10, cette expérience de sécurité biométrique est gérée par Windows Hello. Sur iOS et Android, l’accès aux applications Office se fait par le biais de Microsoft Authenticator, qui offre une expérience fluide lors de la connexion aux applications Microsoft Office. Il exploite les données biométriques disponibles sur les iPhones et les téléphones Android.

“Aujourd’hui, 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement. Cela dit – le progrès l’emporte sur la perfection – il existe encore des applications anciennes qui demanderont toujours [un mot de passe]”, dit-il.

Seuls 18 % des clients de Microsoft ont activé l’AMF

Toutefois, ce n’est pas la fin de la bataille. Seuls 18 % des clients de Microsoft ont activé l’AMF.

Ce chiffre semble absurdement bas étant donné que l’activation de l’AMF est gratuite pour les clients de Microsoft. Surtout que, comme le montre les ransomwares, les conséquences peuvent se chiffrer en millions de dollars lorsqu’un seul compte interne clé est compromis.

La protection des comptes par MFA n’arrêtera pas complètement les attaquants, mais elle leur rendra la vie plus difficile en protégeant une organisation des faiblesses inhérentes aux noms d’utilisateur et aux mots de passe pour protéger les comptes, qui peuvent être hameçonnés ou compromis par des attaques par pulvérisation de mot de passe.

Cette dernière technique, qui repose sur la réutilisation des mots de passe, était l’un des moyens utilisés par les attaquants de SolarWinds pour atteindre leurs cibles, en plus de s’introduire dans les systèmes de création de logiciels de l’entreprise pour diffuser une mise à jour logicielle erronée.

Mettre en place le zero trust partout

Microsoft s’oriente vers un mode de travail hybride et, pour soutenir cette évolution, s’oriente vers une conception de réseau de confiance zéro (zero trust), qui suppose que le réseau a été compromis, que le réseau s’étend au-delà du pare-feu de l’entreprise, et qui s’adresse aux appareils BYOD qui pourraient être utilisés à la maison pour le travail ou au travail pour les communications personnelles.

Mais comment faire pour que davantage d’organisations activent l’AMF dans les produits d’entreprise essentiels de Microsoft, Google, Oracle, SAP et d’autres fournisseurs de logiciels cruciaux ?

Pour les entreprises qui souhaitent activer l’AMF, M. Arsenault recommande de cibler d’abord les comptes à haut risque et de travailler sur le progrès plutôt que sur la perfection. Le plus gros problème est celui des applications héritées, mais rechercher la perfection risque de s’enliser.

“Tout le monde a des applications anciennes qui ne peuvent pas prendre en charge l’authentification moderne, comme la biométrie, et je pense donc que ce que beaucoup de gens devraient et doivent faire, c’est adopter une approche basée sur le risque : il faut d’abord mettre en place l’AMF pour les groupes à haut risque/de valeur comme les administrateurs, les RH, le groupe juridique et ainsi de suite, puis passer à tous les utilisateurs. Il peut s’agir d’un projet de plusieurs années, selon la rapidité avec laquelle vous voulez faire quelque chose”, dit-il.

Il y a ensuite la question difficile de SolarWinds et de la façon dont Microsoft, qui a une activité de cybersécurité de 10 milliards de dollars, s’est fait attrapé par les pirates du gouvernement russe. En février, Microsoft a déclaré que l’incident ne lui avait causé qu’un préjudice minime, mais qu’elle avait néanmoins été victime d’une compromission. Le président de Microsoft, Brad Smith, a qualifié le piratage de “moment décisif”, car les clients, y compris Microsoft lui-même, ne peuvent plus faire confiance aux logiciels qu’ils obtiennent de fournisseurs jusqu’ici considérés comme fiables.

“Il est certain que nous avons utilisé le logiciel SolarWinds dans notre environnement, que nous avons identifié et corrigé les versions concernées et que nous avons annoncé publiquement qu’il y avait eu accès. Nous continuons à modifier la façon dont nous menons les programmes de la chaîne d’approvisionnement et la façon dont nous évaluons ce qui se trouve dans la chaîne d’approvisionnement et la rapidité avec laquelle nous pouvons faire ces choses”, déclare M. Arsenault.

Selon M. Arsenault, Microsoft avait vu venir la menace de la chaîne d’approvisionnement depuis longtemps. “On voit beaucoup de gens faire des choses pour protéger leurs portes d’entrée, mais leurs portes de sortie sont grandes ouvertes”, dit-il.

“La partie que nous avons vue venir est que la chaîne d’approvisionnement est le point faible. Vous avez une visibilité limitée sur vos fournisseurs. Je pense que le décret du président américain Joe Biden sera utile dans ce domaine. Mais pour en venir à la manière dont nous considérons les fournisseurs, nous avons besoin d’un moyen d’obtenir cette visibilité de manière évolutive”.

“Je veux prendre le concept de zero trust pour les travailleurs de l’information et l’appliquer à la chaîne d’approvisionnement des logiciels, c’est-à-dire qu’aucune ligne de code qui a été écrite ne provient d’une identité attestée, d’un dispositif sain”, dit-il.

Source : “ZDNet.com”

Leave a Reply