Géant du logiciel Systèmes Citrix a récemment forcé une réinitialisation de mot de passe pour de nombreux utilisateurs de son Partager le fichier service de collaboration de contenu, avertissant qu’il le ferait régulièrement en réponse aux attaques de devinettes de mot de passe qui ciblent les personnes qui réutilisent les mots de passe sur plusieurs sites Web. De nombreux utilisateurs de Sharefile ont interprété cela comme une violation chez Citrix et/ou Sharefile, mais la société maintient que ce n’est pas le cas. Voici un aperçu de ce qui s’est passé et quelques idées sur la façon d’éviter une répétition de ce scénario à l’avenir.
L’avis envoyé aux utilisateurs de ShareFile ressemblait à ceci :
Des dizaines de lecteurs ont transmis le message ci-dessus à BreachTrace, affirmant qu’ils ne comprenaient pas le raisonnement de la réinitialisation massive du mot de passe et qu’ils soupçonnaient une brèche chez ShareFile.
J’ai contacté ShareFile et leur ai demandé de but en blanc si cet effort de réinitialisation était en réponse à une sorte d’intrusion chez Citrix ou ShareFile ; ils ont dit non. J’ai demandé si cet avis avait été envoyé à tout le monde et demandé si ShareFile proposait une ou plusieurs formes d’options d’authentification multifacteur que les clients pourraient utiliser pour renforcer la sécurité des mots de passe.
Un porte-parole de Citrix m’a référé à cette pagequi indique que les utilisateurs de ShareFile ont un certain nombre d’options lorsqu’il s’agit de verrouiller leurs comptes avec une authentification multifacteur, y compris un code à usage unique envoyé par SMS/message texte, ainsi que des mots de passe à usage unique générés par les applications mobiles d’authentification de support de Google et Microsoft (le multifacteur basé sur les applications est l’option la plus sécurisée, comme indiqué ici).
Plus important encore, le porte-parole de Citrix a déclaré que la société n’appliquait pas de réinitialisation de mot de passe aux comptes qui utilisaient sa forme la plus robuste d’authentification multifacteur (solutions d’authentification unique, ou SSO). En être témoin:
« Ce n’est pas en réponse à une violation des produits ou services Citrix », a écrit le porte-parole Jamie Buranich. « Citrix a forcé les réinitialisations de mot de passe en sachant que les attaques de cette nature se produisent historiquement par vagues. Les efforts supplémentaires de l’attaquant s’adaptent aux résultats, ajustant souvent le volume et l’approche de leurs méthodes. Notre objectif était de minimiser les risques pour nos clients. Nous n’avons pas imposé de réinitialisation de mot de passe sur les comptes qui utilisent des contrôles d’authentification plus stricts. Citrix s’intègre également directement aux solutions SSO courantes, ce qui réduit considérablement les risques.
La société n’a pas répondu aux questions sur les raisons pour lesquelles elle a décidé d’adopter une politique de réinitialisation régulière des mots de passe alors que cela va à l’encontre du mot de passe et bonnes pratiques d’authentification recommandé par le Institut national des normes et de la technologie (NIST), qui met en garde:
« Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés soient changés arbitrairement (par exemple, périodiquement). Cependant, les vérificateurs DOIVENT forcer un changement s’il existe des preuves de compromission de l’authentificateur.
Le NIST explique ainsi sa justification pour éloigner les organisations des réinitialisations forcées régulières des mots de passe :
« Les utilisateurs ont tendance à choisir des secrets mémorisés plus faibles lorsqu’ils savent qu’ils devront les changer dans un proche avenir. Lorsque ces changements se produisent, ils sélectionnent souvent un secret similaire à leur ancien secret mémorisé en appliquant un ensemble de transformations courantes telles que l’augmentation d’un nombre dans le mot de passe. Cette pratique donne un faux sentiment de sécurité si l’un des secrets précédents a été compromis, car les attaquants peuvent appliquer ces mêmes transformations courantes.
«Mais s’il existe des preuves que le secret mémorisé a été compromis, par exemple par une violation de la base de données de mots de passe hachés du vérificateur ou une activité frauduleuse observée, les abonnés devraient être tenus de modifier leurs secrets mémorisés. Cependant, ce changement basé sur des événements devrait se produire rarement, de sorte qu’ils sont moins motivés à choisir un secret faible en sachant qu’il ne sera utilisé que pendant une période de temps limitée.
En bref, le NIST dit qu’il est logique de forcer une réinitialisation globale du mot de passe après une violation – soit du compte d’un utilisateur spécifique, soit de l’ensemble de la base de données de mots de passe. Mais le faire à intervalles réguliers en l’absence de telles preuves de compromission est susceptible d’aboutir à des mots de passe moins complexes et sécurisés.
Idéalement, les utilisateurs de ShareFile qui ont reçu un avis de réinitialisation de mot de passe peuvent éviter la prochaine série de réinitialisations de mot de passe en adoptant l’une des options d’authentification en deux étapes mentionnées ci-dessus. Et j’espère que cela va sans dire, mais s’il vous plaît, ne réutilisez pas un mot de passe que vous avez utilisé ailleurs.
Cependant, si vous êtes le genre de personne qui aime réutiliser les mots de passe, vous devez absolument utiliser un gestionnaire de mots de passe, qui vous aide à choisir et à mémoriser des mots de passe/phrases de passe forts et vous permet essentiellement d’utiliser le même mot de passe/phrase de passe maître fort sur tous les sites Web.
Incidemment, il existe plusieurs sociétés, telles que auth0 et Okta — qui facilitent intégrer avec des bases de données de mots de passe piratés comme celle de Troy Hunt HaveIBeenPwned.com pour aider à empêcher de manière proactive les utilisateurs de choisir les mots de passe qu’ils ont utilisés sur d’autres sites (ou du moins sur d’autres sites qui ont été violés publiquement).
Que les commerçants en ligne soient disposés à adopter de telles approches préventives est une autre affaire, a déclaré Julie Conroydirecteur de recherche au Groupe Aitéun cabinet d’analyse de marché.
« Avec le fait qu’un si grand nombre de combinaisons nom d’utilisateur/mot de passe ont été compromises, cela crée le potentiel d’une tonne de frictions en ligne, quelque chose qui est un anathème pour les commerçants, et que les banques s’efforcent également d’éviter », dit Conroy.
Mise à jour : 16 h 53 HE : Citrix vient de publier son propre article de blog à ce sujet ici.