Vu l'évolution et l'ampleur des attaques informatiques dont les entreprises comme les particuliers sont victimes et au nombre de questions (quand ce n'est pas des bêtises) que je rencontre, il me semble pertinent de partager quelques bases.
Je lance donc une série d'articles, un peu moins simplistes/idéalistes que ce qu'on peut trouver et plus pragmatiques que les publications de spécialistes.
L'idée n'est pas de dire à chacun ce qu'il doit faire, mais :
- De permettre à chacun de situer ses pratiques informatiques sur une échelle de sécurité dans un contexte privé comme professionnel ;
- De permettre à chacun d'améliorer ses pratiques de façon concrète.
Il s'agit évidemment de vulgarisation avec certains aspects simplifiés voire occultés.
Au programme :
- Les Mots de passe
- Sécuriser son ordinateur et ses données
- Stocker et échanger des données de façon sécurisée
N'hésitez pas m'indiquer si vous souhaitez que j'aborde d'autres thèmes.
Les Mots de Passe
Commençons pas le commencement : Le mot de passe permet de confirmer que vous êtes celui que vous vous prétendez être : "JE sais".
Il faut comprendre qu'en matière d'attaque, tout s'achète et tout se vend.
Au passage,
si vous voulez savoir si un de vos comptes ou mots de passe a été hacké quelques part, vous
pouvez aller sur ce site qui répertorie les comptes récupérés lors
d'attaques : https://haveibeenpwned.com/
Moralité :
R1 : Utilisez des mots de passes uniques pour les différents usages / sites où vous allez
R2 : Utilisez des mots de passe complexes
1. Faire un mot de passe complexe
Généralement, ce genre de mot de passe n'est ni facile à créer, ni facile à retenir. Voici une première astuce :
- Permuter des lettres en chiffre : o -> 0, E -> 3, A-> 4, i->1, for-> 4, to->2, etc...
- Jouez avec une majuscule dans le mot
toto sera un grand classique facile à trouver. Néanmoins t0T8 devient beaucoup moins trivial.
Le mot de passe est facile à mémoriser, mais compliqué à craquer et il risque de décourager celui qui regarde par dessus votre épaule. Bref, de quoi décourager les attaques les plus classiques.
ANSSI - Guide des mots de passe : https://www.ssi.gouv.fr/guide/mot-de-passe/
2. Faire un mot de passe unique
La règle d'or consiste évidemment à ne pas mélanger les torchons et les serviettes. Il ne faut jamais utiliser des mots de passe similaires entre le domaine professionnels et le domaine personnel. Imaginez l'impact si votre dernière commande chez fripon-magazine permet d'accéder à vos dossiers clients !
Par exemple, si le mot de passe de base est t0T8. (je vous invite évidemment à prendre un mot de passe un peu moins trivial que mon exemple), pourquoi ne pas ajouter les 2 premières lettres du site web sur lequel on est ?
Chez fripon-magazine, le mot de passe pourra donner t0T8.+Fr .
Il fait 8 caractères, il est complexe, ce ne sera pas le même que celui du site de la Redoute et vous le retrouverez facilement.
En entreprise où il faut changer de mot de passe régulièrement, plutôt que le nom du mois, on peut ajouter quelques chose de particulier. Le code postal de votre dernier week-end ou le numéro de votre dernière amante 😜.
3. Le gestionnaire de mots de passe
Évidement jusque là, on reste dans le bricolage. Efficace certes, mais si vous avez, comme moi, des comptes auprès de centaines de sites web, chacun avec ses propres exigences en terme de longueur et de complexité, vous risquez d'en revenir au bon vieux post-it.
...On a donc inventé les gestionnaires de mots de passe : Une base de données chiffrée à laquelle on accède grâce à un outil éprouvé. En plus de stocker les mots de passe, ces gestionnaires permettent souvent de générer des mots de passe complexes voire de saisir les mots de passe à votre place.
A ce sujet, je ne recommande pas :
- des gestionnaires en ligne (LastPass...) : Ils permettent de retrouver vos mots de passe depuis n'importe quel Smartphone, tablette, PC... et c'est notamment ce que je leur reproche. D'ailleurs, une faille a été reportée chez LastPass
- des gestionnaires intégrés dans les navigateurs : certes, c'est pratique d'avoir des mots de passe qui se tapent tout seul, mais ces gestionnaires sont davantage conçus pour être pratiques que pour être sûrs. Le Virus Emotet qui a fait pas mal de victimes, y compris en entreprise, ciblait notamment ces gestionnaires de mots de passe (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/)
J'utilise personnellement Keepass (https://keepass.info/) que l'on retrouve régulièrement en environnement sécurisé et dont une version est certifiée par l'ANSSI (https://www.ssi.gouv.fr/entreprise/produits-certifies/produits-certifies-cspn/), gage de sérieux.
L'outil est disponible sous Windows, mais également Linux et MacOS. Il existe même des versions non officielles pour iOS ou Android.
Il existe de multiples extensions, plus ou moins sécurisées, dont notamment Kee et KeepassRPC qui permettent de saisir automatiquement les mots de passe sous Firefox et Google Chrome (https://www.numetopia.fr/comment-utiliser-keepass-avec-firefox/).
Il existe aussi une version "portable" de KeePass, ce qui permet de transporter par exemple sa base avec l'outil sur une clé USB.
Évidement, pour protéger votre base de données de mots de passe, il faudra... un mot de passe, qu'on appellera mot de passe "maître" que vous fabriquerez à l'aide de vos répliques de films préférées... sachant vous aurez pris le soin de créer une base pour votre vie professionnelle et une autre pour votre vie privée.
CNIL - 5 arguments pour adopter le gestionnaire de mot de passe : https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe
3. La limite du mot de passe
99% des authentifications se passent avec un mot de passe. Pourtant la solution est loin d'être parfaitement efficace. Il suffira qu'un petit malin regarde par dessus votre épaule ou pirate votre ordinateur (écoute du clavier notamment) pour qu'il puisse se faire passer pour vous. Le mieux est donc de pouvoir s'en passer.
Voici 2 approches complémentaires :
3.a. L'authentification à double facteur
Pour confirmez que vous êtes la bonne personne, en plus de vous demander ce que "vous savez" on vous demandera quelques chose que "vous avez". Ce sera soit un code envoyé par SMS, soit un code tournant généré généralement par une application sur votre smartphone (Google Authenticator, Microsoft Authentificator, ou autre...).
R3 : A chaque fois que cela est possible, activez la double authentification.
La plupart des sites "sérieux" la proposent Gmail, Facebook, Apple, Paypal, les banques (en tout cas, celles que je côtoie)...
3.b. Windows Hello et le Code PIN
L'idée de Microsoft est de protéger le mot de passe de votre compte par un code PIN. Pour ouvrir votre session, plutôt qu'un long mot de passe, il vous suffit de taper votre code PIN.
Quel intérêt ? Votre code PIN n'a d'existence que sur votre machine. Un attaquant peut "écouter" ce que vous tapez au clavier, il ne verra jamais passer votre mot de passe, seulement votre code PIN. Sans la machine, le code PIN ne sert à rien. Votre mot de passe, quant à lui, est stocké de façon sécurisée dans votre machine. Il ne sort qu'à de rares occasion sous bonne garde. Pour le pirate classique, c'est peine perdue.
Microsoft - Pourquoi un code confidentiel est-il préférable à un mot de passe ? : https://docs.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
Comment activer le code PIN sur son poste :
https://www.reneelab.fr/code-pin-windows10.html
Certes que se passe-t-il si un collègue me voit taper mon code PIN ?
Avec Windows Hello, votre code PIN ouvre la voie à la biométrie. Il peut s'agir de reconnaissance faciale (sous réserve de disposer d'une webcam compatible) ou d'empreinte digitale. Là, votre collègue peut vous regarder faire !
Si votre poste n'est pas équipé d'un lecteur d'empreinte, je vous recommande l'excellent lecteur Kensington VeriMark : https://www.ldlc.com/fiche/PB00228473.html (Je précise que je n'ai aucun lien avec eux. Je suis simple utilisateur).
Vous l'avez compris : vous n'avez plus d'excuses pour utiliser toujours le même mot de passe depuis vos débuts sur Internet. Un gestionnaire de mots de passe efficace comme Keepass devrait vous permettre de stocker efficacement des mots de passe uniques et robustes que vous n'aurez même plus besoin de connaître. L'authentification à double facteur devrait aussi vous éviter de vous faire voler vos comptes, en particulier votre boite mail.
Maintenant que nous avons des "serrures" efficaces, dans les prochains articles, je vous parlerai de la sécurité du poste et des données.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.