Politique de mots de passe des annuaires LDAP

Un annuaire LDAP, qu’il soit un produit d’éditeur ou une solution open source, est aujourd’hui compatible LDAP V3.

Comme la norme n’est jamais suffisante pour les besoins des entreprises les plus exigeantes, certains éditeurs proposent des fonctionnalités supplémentaires comme des politiques de mots de passe évoluées, implémentées directement dans l’annuaire LDAP.

Le choix des éditeurs

IETF travaille depuis 1999 sur la normalisation les politiques de mots de passe des annuaires LDAP. Aujourd’hui, la norme est toujours marquée draft, en est à la version 10 et date de l’année dernière.

Vu la lenteur d’élaboration du document, en version finale, de description des politiques de mots de passe dans les annuaires LDAP, nous comprenons assez aisément que les éditeurs aient pris de l’avance dans ce terrain pour répondre à la demande des clients.

L’avance des éditeur par rapport à la norme doit permettre au document final, qui décrira cette norme, d’être très complet vis-à-vis de la demande du marché. La contrepartie est que lorsque le document sera sorti, les éditeurs devront s’aligner sur la norme tout en gardant et faisant évoluer leur existant déjà bien implémenté chez bon nombre de leurs clients.

Les politiques

Le document de normalisation propose une série de règles qui contrôlent comment les mots de passe sont utilisés et administrés dans les annuaires LDAP.

En effet, pour accroitre la sécurité des annuaires LDAP et pour les rendre résistants faces aux attaques, il est nécessaire de faire respecter une série de règles sur l’utilisation des mots de passe.

Ces règles sont faites pour s’assurer que les utilisateurs changent leurs mots de passe régulièrement, que les mots de passe suivent certaines préconisation de construction, que la réutilisation des derniers mots de passe soit interdit et pour dissuader les attaques quelles que soient la méthode employée.

Conclusion

Ce document est attendu, mais il ne résoudra pas les failles de sécurité des applications : ce n’est pas parce qu’un utilisateur change son mot de passe tous les mois, que son mot de passe est « très » compliqué et que l’annuaire est imperméable aux attaques que le SI de l’entreprise en sera mieux protégé.

L’avènement d’une norme apporte toute fois d’autres avantages :

• Elle permet des implémentations, de la norme, équivalentes entre différentes solutions
• Elle permet de pouvoir changer de solution sans avoir à tout redévelopper, à partir du moment où la norme a été respectée
• Elle permet d’être assuré de la pérennité de son choix de solution

Thierry ALBAIN