Les mots de passe… quel cauchemar !

—  Cet article a originalement été publié sur le site « www.multiforce.com » —

Si vous suivez un temps soit peu les nouvelles de l’informatique, vous entendez parler de sécurité presque chaque jour, des failles majeures, des sites piratés, des entreprises en danger, des nouvelles méthodes pour piéger des innocents, et même des antivirus complètement inutiles selon certains. Votre entreprise n’est pas de la taille des Target, Sony ou Chase Morgan, mais vous pouvez quand même vous poser des questions.

Que faire ? Comment nous protéger ?

Et surtout pourquoi nous protéger ? En fait plusieurs me demandent « de quoi » me protéger ?

La première étape, selon moi,  est de comprendre pourquoi les mots de passe sont si importants. Dans le passé, les dossiers importants étaient « classés » dans un « classeur » avec verrou. Ce classeur était aussi dans une pièce barrée, dans les locaux de l’entreprise qui étaient aussi verrouillés. On se protégeait des voleurs mais aussi des employés malveillants. Parfois, on ajoutait des agents de sécurité et une surveillance par caméra pour intimider ceux qui auraient de mauvaises intentions.  Sont arrivés ensuite de multiples moyens de protection électroniques tous de plus en plus complexes. Enfin sont apparus les dossiers numériques et toutes ces méthodes devenaient caduques. On veut donc s’assurer que seulement les personnes autorisées aient accès à nos dossiers. Pour ce faite on utilise une identité numérique : le code utilisateur. Mais seule cette information ne protège pas contre les accès interdits, il faut valider que la personne qui utilise ce code d’accès est bel et bien la bonne, d’où le fameux mot de passe. Il a la particularité d’être un secret que seul l’utilisateur peut connaitre, normalement du moins. Dans un bon système, même le serveur ne connait pas le mot de passe, il connait l’emprunte du mot de passe et il la comparera à celle du mot de passe produit par celui qui demande accès. C’est une excellente protection, mais elle peut être insuffisante. Dans certains cas, on demande aussi un deuxième facteur d’authentification, un mot de passe à usage unique (comme les fameux securID de RSA ou le code du Google Authenticator), ou une question secrète par exemple.  Ce deuxième facteur permet de garantir une meilleure protection advenant le cas où le mot de passe serait compromis. Présentement tous les sites vraiment sérieux imposent ce type de sécurité, il faut prendre au sérieux ces méthodes, elles peuvent sauver votre identité.

Au cours des dernières années, plusieurs entreprises et organismes gouvernementaux de partout sur la planète ont été piratés, souvent la liste complète des code d’utilisateurs et des mots de passe a été volée. Systématiquement, ces entreprises incitent leurs utilisateurs à remplacer leurs mots de passe rapidement. Votre réflexe devrait aussi être de remplacer ce mot de passe partout où il a été utilisé. Un bon pirate saura créer un programme capable de tester votre code et mot de passe sur tous les sites web connus, comme facebook, gmail, twitter, Netflix et même tou.tv… Son objectif est de rassembler toute l’information nécessaire pour voler votre identité et ensuite commettre d’autres larcins en votre nom ou pire encore faire des transactions en votre nom.

Maintenant que nous connaissons le pourquoi, analysons comment se protéger:

Sur le plan personnel

Vous devez protéger à tout prix votre identité, et vos renseignements financiers…

Il y a bien sûr les « virus traditionnels », ceux qui tentent de briser vos équipements, ou qui le font par erreur… Mais ils sont devenus marginaux, il s’agit d’installer un antivirus et de le maintenir à jour et vous êtes protégés. Ce qui n’est pas le cas pour le vol d’identité. Pour cela vous avez besoin d’être vigilant, allumé, prudent et surtout de comprendre pourquoi et comment.

La première règle que je vous propose est de « Ne faire confiance à personne » à priori, ou TNO (Trust no one) tel qu’enseigné par M. Steeve Gibson de Gibson Research (responsable du podcast Security Now). Ce principe signifie que vous devez prendre les moyens de vous protéger en tout temps parce que personne n’a encore gagné votre confiance, et que rares seront ceux qui la gagneront.

On commence habituellement par vos mots de passe. Plusieurs techniques ou règles peuvent être utilisés, je vous expose deux profils, qui pourront vous inspirer.

Le prudent: Il se choisi un nombre limité de mots de passe, par exemple 3 qui seront utilisé selon le degré de protection souhaité pour les sites. Le nombre limité de mots de passe lui simplifie la tâche et les règles sur leur utilisation limite les dégâts. Il utilisera le premier mot de passe pour tous les sites qui ne contiennent pas de renseignements personnels (ou vraiment très peu) comme Twittter ou Pinterest. Il en utilisera un autre pour les sites moyennement à risque comme Facebook et Gmail. Et le troisième sera utilisé pour son institution financière, je recommande même d’en utiliser un distinct pour chaque banque ou service de paiement comme Paypal. Plus un site a besoin d’être sécurisé, plus le mot de passe sera complexe et plus sera limité son nombre d’utilisation. Cette méthode a l’avantage de réduire les risques, si un des sites peu fiable devait être piraté il ne serait pas inquiet que le criminel puisse utiliser le même mot de passe pour entrer sur son site bancaire. En ne faisant pas confiance à la majorité des sites, vous protégez en même temps vos renseignements importants.

Le paranoïaque: Il n’utilisera jamais deux fois un même mot de passe… Deux techniques peuvent être utilisées, concevoir un mot de passe comprenant une base et les 4 derniers caractères du site web (par exemple « orce » pour le site de Multiforce.com et « b0uBou » comme base). L’autre technique implique l’utilisation d’un outil de gestion des mots de passe comme Lastpass.com, qui offre une voûte sécuritaire pour stocker les mots de passe et un petit outil pour générer les mots de passe sécurisés, mais surtout pour les retrouver lorsqu’un site connu est visité. C’est cette dernière que j’utilise.

Quoi faire avec les sites qui nous demandent de nous identifier en utilisant un service externe comme Trello qui me permet de m’authentifier en utilisant Google. Je vous recommande de le faire, à condition que le site en question (Google ou Facebook habituellement) soit protégé par un excellent mot de passe, et si vous êtes un peu paranoïaque, utilisez l’authentification à deux facteurs. Vous aurez l’esprit tranquille.


Sur le plan professionnel

Pour ce point, je devrai couvrir deux cas de figure, celui de l’employé et celui de l’employeur…Simplement parce qu’ils sont parfois en conflits… Le principe du TNO s’applique encore plus, parce que les renseignements à protéger sont aussi corporatifs. Et toutes les règles personnelles s’appliquent aussi ici.

L’employé : Il a la responsabilité de protéger les renseignement important dont il a la charge mais aussi de s’assurer de ne pas, par inadvertance ou imprudence, laisser passer des informations qui devraient demeurer privées. Je prends souvent en exemple, les dossiers de santé. Une employée qui a la charge de transporter et de classer les dossiers de santé des usagers ne doit pas laisser traîner une pile de dossiers sur le coin du bureau, surtout s’il est accessible par les passants. Ce sont des renseignements personnels importants à protéger. Les mêmes règles doivent s’appliquer dans le monde numérique. Il est clairement dangereux de partager le mot de passe d’un classeur protégé entre plusieurs individus, encore pire de laisser une « post it » sur l’écran avec le mot de passe clairement rédigé…Vous le savez déjà mais plusieurs le font encore. Chaque employé a la responsabilité de protéger des renseignements, vous ne voulez pas que, par vos actions (ou inactions), les renseignements sur votre salaire se retrouvent sur « les Internets »… Il faut dont demeurer vigilant, respecter les règles de remplacement de mot de passe, respecter les politique de l’entreprise pour le classement des dossiers et finalement : lorsque vous utilisez Internet à votre lieu de travail, ne prenez pas de risques, ne visitez pas de sites à haut risque et ne faites confiance à personne.

L’employeur : Il doit protéger les informations personnelles de ses employé, c’est une responsabilité importante. Et il doit aussi protéger certaines informations d’affaires, comme des listes de clients, des dessins techniques, des contrats et des documents importants. On souhaite les protéger contre le vol mais aussi contre la destruction ou la modification. Plusieurs ouvrages traitent déjà de diverses méthodes de protection à appliquer selon les scénarios. La haute direction doit être au fait des risques et doit exiger que les méthodes nécessaires soient appliquées et documentées. La première étape consiste souvent à identifier les catégories d’actifs à risques. Par « actif », on parle de biens, qui peuvent être matériels et numériques. Le classeur physique des dossiers des clients est un actif à risque, le système comptable dans lequel est entré les informations de salaires de nos employés est aussi un actif à risque. Une fois les risques identifiés, les mesures de protection viennent souvent d’elles-même. Il s’agit de les mettre en place et de valider régulièrement qu’elles sont toujours respectées et appropriées. Il faut aussi responsabiliser nos employés, leur faire comprendre les risques et leur donner les moyens de mettre en place les protections adéquates.


En conclusion

Je le répéterai toujours, soyez vigilants ! Les criminels utilisent depuis toujours des moyens de plus en plus complexes pour rassembler des informations les aidant à commettre leurs crimes. Le « social engineering » est une méthode très connue qui permet à quelqu’un de jouer la comédie pour obtenir des informations importantes. Je vous suggère fortement de lire « The art of deception » par Kevin D. Mitnick, un livre très intéressant sur cette technique…

Et maintenant, quelle sera votre méthode de protection de vos mots de passe ??

Christian Boulet, Votre directeur TI

Publicités

Expliquer la gestion de projet

—  Cet article a originalement été publié sur le site « www.multiforce.com » —

Plusieurs ont peur des frais engagés en charge de projet, autant pour les projets informatiques que dans d’autres domaines. Cette mauvaise perception de la gestion de projet est en partie causée par une méconnaissance. Plusieurs perçoivent cette discipline comme un terrain réservé aux ingénieurs seniors ou aux diplômés de la maîtrise en gestion de projet. Il n’en est rien, en fait il est vrai que ces derniers apportent des connaissances fort utiles pour les projets complexes, mais tous les projets ne sont pas de cet ordre. Je définis la gestion de projet ainsi : c’est une gestion du risque par la planification rigoureuse. Il y a un coût relié à cette charge de projet, il peut parfois sembler élevé, mais en comparaison avec le coût d’un projet raté, sa rentabilité est rapidement démontrée.

Le chargé de projet

C’est bien plus qu’un coordonnateur, c’est aussi un communicateur, un leader et un bon planificateur. Nul ne peut s’improviser chargé de projet sans mettre toute l’organisation à risque. Il existe des techniques et des outils qu’il doit maîtriser, et il doit s’adapter à son équipe de réalisation. Un chargé de projet n’est pas un surhomme, mais plutôt un spécialiste dans la communication, il doit communiquer à son équipe les priorités et les attentes du projet en même temps que de communiquer avec son client l’état d’avancement et les points importants de décision.

Les attentes

Peu importe le projet, il faut gérer les attentes. Que ce soit des objectifs financiers ou des délais restreints, la gestion de projet permettra de communiquer aux gestionnaires l’état des choses à certains moments. Il est important de déterminer la quantité d’information souhaitée, sa précision et à quelle fréquence celle-ci doit être disponible. Selon la complexité du projet et du nombre de personnes impliquées, la quantité de travail à réaliser pour produire les « livrables de projet » peut être très différente. Dans certains cas, le travail du chargé de projet est tellement vaste qu’une équipe de gestion de projet est nécessaire, tandis que pour d’autres, c’est une tâche à temps partiel. Il y a même des projets supervisés à la hauteur de 30 minutes par semaine.

Les livrables

Comme client, il est important de déterminer rapidement avec son chargé de projet quels sont les livrables attendus du projet, mais aussi du chargé de projet. Un livrable est simplement un document ou un item qui doit être produit à un moment précis (un rapport, un programme, un plan, un produit fini). Il ne faut vraiment pas oublier les rapports de suivi, et les mécanismes prévus pour colliger les données importantes pour les produire. Prévoir les livrables est ici la clé du succès. Demandez conseil à votre chargé de projet, il a l’expérience pour vous dire quels rapports ou livrables sont à prévoir dans votre contexte.

La gestion du risque

Identifier le bon niveau de détail dans les rapports attendus contribue à la gestion du risque.  En effet, trop de rapports ou des données trop complexes peuvent paralyser un projet et contribuer à ce que la gestion de projet coûte trop cher. Mais l’opposé est aussi vrai: pas assez d’information peu évidemment conduire un projet à la dérive.  Chaque projet doit donc très tôt être visé par une analyse du risque qui devra inclure les risques de gestion de projet. Gérer les risques ne se limite pas à identifier les déraillements potentiels ou les points chauds, il faut rapidement déterminer les moyens de réparation ou de correction dans l’éventualité qu’un de ces risques ne se concrétise. Dans la gestion du risque, on essaie aussi de déterminer les impacts potentiels sur les délais et les coûts d’un projet pour chacun des risques importants.

Conclusion

Finalement, la gestion de projet ne doit pas intimider, mais plutôt rassurer. Elle est votre meilleure protection, assurez-vous simplement de donner à vos équipes les limites et vos attentes, vous serez ainsi satisfaits. Les frais de gestion de projet sont habituellement entre 5% et 15% de l’enveloppe globale, les petits projets sont souvent ceux qui coûtent le plus en proportion.

Rappelons aussi qu’il est essentiel de bien choisir son chargé de projet, son expérience et ses méthodes de travail sont souvent les meilleures protections que vous aurez de rendre vos projets à terme avec succès. Pour aider vos chargés de projets, il existe des techniques et des outils, nous en présenterons quelques exemples dans un prochain article.

En attendant, envoyez-vous vos commentaires et suggestions.

La guerre du flash est toujours active

Et oui, flash vit toujours… Malgré les nombreuses attaques de Steve Jobs à l’époque, il a perduré est toujours en usage autant sur le web que sur les appareils Adroids.

Rappelons-nous qu’à l’époque du iPhone 4, en 2010, Steve Jobs avait lancé un coup de canon vers Flash en annonçant son retrait définitif de la plateforme mobile iOS. La plateforme de développement était trop gourmande en matière de batterie et n’offrait pas une expérience web complète.

Pour continuer sur cette histoire, Google avait répondu qu’Android et Chrome allaient continuer à supporter Flash, tout en favorisant HTML5.

Nous voici donc aujourd’hui, en 2015, flash est encore vivant et très présent en termes de plateforme de logiciels WEB. Oui plusieurs outils web très riches s’exécutent en flash. Vous ne le voyez pas mais la plupart des jeux sous Facebook sont programmés avec ce language, à titre d’exemple. Il y a aussi plusieurs sites de diffusion de vidéos en ligne qui utilisent la plateforme de Adobe. Sans oublier plusieurs publicités très ennuyantes qui s’exécutent automatiquement sur certains sites.

Or voilà que Google annonce le début d’une nouvelle phase de cette guerre au Flash. Dès demain le 1er septembre, tout vidéo flash qui n’est pas central au site que vous visitez avec Chrome sera par défaut mis en pause. La compatibilité demeure, mais l’exécution automatique des vidéos est suspendue.

C’est une excellente nouvelle, et une raison de plus de continuer à favoriser Chrome comme navigateur par défaut. l’objectif de Google est officiellement de réduire votre consommation de batterie et de bande passante, mais … il y a certainnement des raisons commerciales sous-jacentes.

Gageons que cela fait partie d’une stratégie commerciale pour aider Adwords, Youtube et Google Plus, qui font tous usage prioritairement du javascript et du HTML5. Ce qui est déjà connu c’est qu’il sera dorénavant interdit de diffuser des publicités Adwords en flash…

En plus de Google, il y a Amazon qui en remet et qui a elle aussi annoncé une attaque contre flash pour le 1er septembre… Ils n’accepteront plus de publicité flash sur aucune de leur plateformes. Mais la raison est toute autre. C’est en réaction aux annonces des manufacturiers de navigateurs qui ne supportent plus l’exécution automatique. C’est parce que les publicités ne fonctionnent plus et ils veulent pouvoir vendre de la pub.

Alors selon moi c’est la fin de flash. Dans 12 mois, flash sera mort, Adobe annoncera son retrait progressif et on pourra passer à autre chose. Si vous êtes un développement flash, assurez-vous de passer à un autre language rapidement, c’est le meilleur conseil que je puisse vous donner. Si vous êtes une entreprise qui a fait développer une application maison en flash, commencez maintenant à planifier son remplacement dès maintenant.

Cette guerre est à finir, selon moi il est grand temps d’y mettre fin. Depuis longtemps nous savons que Flash est lourd et dangereux, plusieurs trous de sécurité ont été corrigés mais il en reste encore. Et avec les changements en cours présentement dans les modes de connection, cette plateforme n’a plus sa place.

 

La différence entre les experts en sécurité et les autres…

Amusant comme article, il nous permet de nous poser de nouvelles questions comme « wanna be experts ».

Il existe une énorme différence entre ce que les experts appliquent dans leur pratique et ce que les non-experts font. Toujours dans l’optique de l’utilisation d’internet.

Extrait d’un article sur le Google Online Security Blog : http://goo.gl/klngYs

Beutler_Google_Security-practices-v6

Il s’agit d’une présentation faite au symposium sur la sécurité et la vie privée è Otawa la semaine dernière. Ils ont fait une étude avec 231 experts en sécurité et 294 utilisateurs du web qui ne sont pas des experts en sécurité.

On peut donc remarquer que le seul vrai point de rapprochement est l’utilisation de bons mots de passe. Mais on le fait différemment. Les experts ont recours à des gestionnaires de mots de passe (comme lastpass.com) ce qui leur permet de générer des mots de passe unique pour chaque site tandis que les non-experts se contentent d’utiliser des mots de passe complexes, comme s’ils ne faisaient pas confiances aux gestionnaires de mots de passe.

On remarque une grande différence envers les mises à jour logicielles. Les experts affirment à 35% que les mises à jour sont leur top priorité tandis que seulement 2% des non-experts l’ont affirmé. Et à l’opposé, les experts en sécurité n’utilisent plus les antivisus à 93%…

securityPractices1

Voici donc quelques conseils venant des experts en sécurité :

  1. Faites toutes vos mises à jour, mais n’acceptez pas des mise à jour que vous n’avez pas demandé…
  2. Utilisez un gestionnaire de mot de passe et commencez à générer des mots de passes uniques
  3. Pour vos sites très sensibles, utilisez la sécurité à deux facteurs (Comme Google Authentificator)
  4. Toujours vérifier que vous utilisez un site en HTTPS
  5. demeurez vigileants, toujours!securityPractices2

Je ne suis peut-être pas un expert en sécurité, mais ce sont déjà des pratiques que j’applique tous les jours, et ça marche!

Ne faites confiance à personne!

Blogue Coté Passager – un concept à évaluer

Orleans Express a choisi d’accueillir un blogeur dans ses autocars. Je crois que c’est une excellente idée, mais elle comporte de nombreux défis.

  1. Qui dit blog dit opinions: est-ce que la direction a son mot à dire ? lui impose-t-oin un ligne éditoriale ? Est-ce qu’un certaine censure peut et doit être appliquée ? Dans le contexte du présent exemple je crois que non, c’est principalement un blog au sujet des endroits visités, des photos, du tourisme et tout… Mais si vous choisissez cette voie pour votre entreprise il faut vous poser ces questions
  2. Pour fonctionner, un blog doit être régulier : Est-ce que ce blogeur embauché peut publier régulièrement ? Est-ce que vous pouvez identifier une fréquence idéale, un maximum de billets par semaine, un minimum ? Je crois qu’un calendrier de publication est essentiel. L’object est après tout de générer du traffic web vers notre site, non ?
  3. Et finalement, pour réussir le blog doit avoir une grande portée : Quel auditoire est visé et comment comptez-vous l’atteindre. Dans le monde d’aujourd’hui, les lectures ne manquent pas. Vous devez donc trouver tous les moyens possibles pour présenter votre contenu au plus large auditoire possible, et aussi de trouver un moyen de motiver le lecteur à « lire » votre contenu. Très souvent les meilleurs diffusions sont celles obtenues par votre clientèle, alors il faut aussi les motiver à publier votre contenu. Rendez l’expérience plaisante et simple.

voir le Blogue Coté Passager de Pascal Audet pour Orleans Express.

Vous avez une opinion sur le sujet ? J’aimerais bien en discuter avec vous…

À bientôt!

Comment se protéger du virus MMS sous Android

Attention utilisateurs Android !  une faille Android a été diffusée dns les derniers jours, permettant d’infiltrer votre appareil avec seulement un message MMS. (environ 95% des appareils Android sont vulnérables)

C’est quoi un MMS ?  Ne me dites pas que je me trompe et que c’est un SMS…c’est un peu différent. Le MMS, c’est en fait un SMS pour des images ou des vidéos (SMS = Simple Messaging System, MMS= Multimedia Messaging System). Et le bug, c’est que sous Android, il y a une fonction qui permet de télécharger automatiquement le contenu du message pour en accélérer la diffusion. Pour se prémunir contre cette faille, il suffit de désactiver la fonction automatique.

Je résume les tâches mais pour tous les détails visitez :  How to stop Android text message virus – How-To – PC Advisor.

1. allez dans votre application SMS
2. dans paramètres (les 3 points verticaux)
3. avancés
4. désactivez la « récupération automatique »

ET VOILA !

C’est temporaire, en attendant qu’une mise à jour soit diffusée, mais comme moi vous n’utilisez probablement pas les MMS, alors une fois désactivée,cette fonction ne sera jamais réactivée.

À bientôt les geeks !

Windows 10… oui ou non?

Tout le monde me pose la même question, est-ce que Windows 10 en vaut la peine ? Et bien après plusieurs mois d’expérimentation avec la version « insider preview », je dois vous dire oui.

Oui à cause des gains de performances par rapport à Windows 7, Oui pour le menu « démarrer » revenu et réinventé, oui parce que c’est un upgrade « gratuit » et oui parce que c’est très simple à faire.

Évidemment il y a peu de fonctionnalités vraiment extraordinaires qui peuvent vous donner le goût de le faire. Ce n’est qu’un système d’exploitation après tout. La beauté de cette édition est sa stabilité. La période de 6 mois utilisée par Microsoft avec son « insider preview » a permis de tester de long en large toutes les nouveautés et les bebelles. Selon moi, pas besoin d’attendre la version 10.1, celle-ci est déjà très stable.

Voici à quoi ressemble le menu « démarrer » et la barre des tâches…

La navigation est beaucoup améliorée, fini le besoin de trouver l’endroit précis pour ouvrir la barre de droite (charms menu) pour certaines options, tout se fait par la barre des tâches et les notifications. Ce qui rend cette version vraiment plus simple et plus agréable.

Pour les vrais geeks, on retrouve enfin des bureaux virtuels… En fait ce sont des écrans virtuels sur lesquels on peut agencer des icônes et des applications non visibles dans les autres écrans.

Windows 10 est en même temps l’environnement de lancement de Microsoft Edge, le nouveau navigateur internet pour remplacer Internet Explorer. Il est plus rapide et semble mieux adapté au web de 2015. Mais cela reste encore à prouver.

Le Windows Store est aussi revampé, les applications, jeux, musique films et TV sont regroupés dans le même outil. Il manque toutefois le volume d’apps auquel on est habitué sous iOs et Android.

Pour finir, ça marche ! et c’est en fait tout ce qui compte. Il démarre rapidement, mes applications fonctionnent toutes, les jeux sont compatibles… Et il ne plante pas. Donc qu’attendez-vous pour réserver votre place dans la très longue file d’attente pour télécharger automatiquement Windows 10 ? C’est simple, la mise à jour se fait par Windows Update.

Vous avez des expériences à partager ? Commentez ici.

 

Christian Le Geek