Les mots de passe… quel cauchemar !

—  Cet article a originalement été publié sur le site « www.multiforce.com » —

Si vous suivez un temps soit peu les nouvelles de l’informatique, vous entendez parler de sécurité presque chaque jour, des failles majeures, des sites piratés, des entreprises en danger, des nouvelles méthodes pour piéger des innocents, et même des antivirus complètement inutiles selon certains. Votre entreprise n’est pas de la taille des Target, Sony ou Chase Morgan, mais vous pouvez quand même vous poser des questions.

Que faire ? Comment nous protéger ?

Et surtout pourquoi nous protéger ? En fait plusieurs me demandent « de quoi » me protéger ?

La première étape, selon moi,  est de comprendre pourquoi les mots de passe sont si importants. Dans le passé, les dossiers importants étaient « classés » dans un « classeur » avec verrou. Ce classeur était aussi dans une pièce barrée, dans les locaux de l’entreprise qui étaient aussi verrouillés. On se protégeait des voleurs mais aussi des employés malveillants. Parfois, on ajoutait des agents de sécurité et une surveillance par caméra pour intimider ceux qui auraient de mauvaises intentions.  Sont arrivés ensuite de multiples moyens de protection électroniques tous de plus en plus complexes. Enfin sont apparus les dossiers numériques et toutes ces méthodes devenaient caduques. On veut donc s’assurer que seulement les personnes autorisées aient accès à nos dossiers. Pour ce faite on utilise une identité numérique : le code utilisateur. Mais seule cette information ne protège pas contre les accès interdits, il faut valider que la personne qui utilise ce code d’accès est bel et bien la bonne, d’où le fameux mot de passe. Il a la particularité d’être un secret que seul l’utilisateur peut connaitre, normalement du moins. Dans un bon système, même le serveur ne connait pas le mot de passe, il connait l’emprunte du mot de passe et il la comparera à celle du mot de passe produit par celui qui demande accès. C’est une excellente protection, mais elle peut être insuffisante. Dans certains cas, on demande aussi un deuxième facteur d’authentification, un mot de passe à usage unique (comme les fameux securID de RSA ou le code du Google Authenticator), ou une question secrète par exemple.  Ce deuxième facteur permet de garantir une meilleure protection advenant le cas où le mot de passe serait compromis. Présentement tous les sites vraiment sérieux imposent ce type de sécurité, il faut prendre au sérieux ces méthodes, elles peuvent sauver votre identité.

Au cours des dernières années, plusieurs entreprises et organismes gouvernementaux de partout sur la planète ont été piratés, souvent la liste complète des code d’utilisateurs et des mots de passe a été volée. Systématiquement, ces entreprises incitent leurs utilisateurs à remplacer leurs mots de passe rapidement. Votre réflexe devrait aussi être de remplacer ce mot de passe partout où il a été utilisé. Un bon pirate saura créer un programme capable de tester votre code et mot de passe sur tous les sites web connus, comme facebook, gmail, twitter, Netflix et même tou.tv… Son objectif est de rassembler toute l’information nécessaire pour voler votre identité et ensuite commettre d’autres larcins en votre nom ou pire encore faire des transactions en votre nom.

Maintenant que nous connaissons le pourquoi, analysons comment se protéger:

Sur le plan personnel

Vous devez protéger à tout prix votre identité, et vos renseignements financiers…

Il y a bien sûr les « virus traditionnels », ceux qui tentent de briser vos équipements, ou qui le font par erreur… Mais ils sont devenus marginaux, il s’agit d’installer un antivirus et de le maintenir à jour et vous êtes protégés. Ce qui n’est pas le cas pour le vol d’identité. Pour cela vous avez besoin d’être vigilant, allumé, prudent et surtout de comprendre pourquoi et comment.

La première règle que je vous propose est de « Ne faire confiance à personne » à priori, ou TNO (Trust no one) tel qu’enseigné par M. Steeve Gibson de Gibson Research (responsable du podcast Security Now). Ce principe signifie que vous devez prendre les moyens de vous protéger en tout temps parce que personne n’a encore gagné votre confiance, et que rares seront ceux qui la gagneront.

On commence habituellement par vos mots de passe. Plusieurs techniques ou règles peuvent être utilisés, je vous expose deux profils, qui pourront vous inspirer.

Le prudent: Il se choisi un nombre limité de mots de passe, par exemple 3 qui seront utilisé selon le degré de protection souhaité pour les sites. Le nombre limité de mots de passe lui simplifie la tâche et les règles sur leur utilisation limite les dégâts. Il utilisera le premier mot de passe pour tous les sites qui ne contiennent pas de renseignements personnels (ou vraiment très peu) comme Twittter ou Pinterest. Il en utilisera un autre pour les sites moyennement à risque comme Facebook et Gmail. Et le troisième sera utilisé pour son institution financière, je recommande même d’en utiliser un distinct pour chaque banque ou service de paiement comme Paypal. Plus un site a besoin d’être sécurisé, plus le mot de passe sera complexe et plus sera limité son nombre d’utilisation. Cette méthode a l’avantage de réduire les risques, si un des sites peu fiable devait être piraté il ne serait pas inquiet que le criminel puisse utiliser le même mot de passe pour entrer sur son site bancaire. En ne faisant pas confiance à la majorité des sites, vous protégez en même temps vos renseignements importants.

Le paranoïaque: Il n’utilisera jamais deux fois un même mot de passe… Deux techniques peuvent être utilisées, concevoir un mot de passe comprenant une base et les 4 derniers caractères du site web (par exemple « orce » pour le site de Multiforce.com et « b0uBou » comme base). L’autre technique implique l’utilisation d’un outil de gestion des mots de passe comme Lastpass.com, qui offre une voûte sécuritaire pour stocker les mots de passe et un petit outil pour générer les mots de passe sécurisés, mais surtout pour les retrouver lorsqu’un site connu est visité. C’est cette dernière que j’utilise.

Quoi faire avec les sites qui nous demandent de nous identifier en utilisant un service externe comme Trello qui me permet de m’authentifier en utilisant Google. Je vous recommande de le faire, à condition que le site en question (Google ou Facebook habituellement) soit protégé par un excellent mot de passe, et si vous êtes un peu paranoïaque, utilisez l’authentification à deux facteurs. Vous aurez l’esprit tranquille.

Sur le plan professionnel

Pour ce point, je devrai couvrir deux cas de figure, celui de l’employé et celui de l’employeur…Simplement parce qu’ils sont parfois en conflits… Le principe du TNO s’applique encore plus, parce que les renseignements à protéger sont aussi corporatifs. Et toutes les règles personnelles s’appliquent aussi ici.

L’employé : Il a la responsabilité de protéger les renseignement important dont il a la charge mais aussi de s’assurer de ne pas, par inadvertance ou imprudence, laisser passer des informations qui devraient demeurer privées. Je prends souvent en exemple, les dossiers de santé. Une employée qui a la charge de transporter et de classer les dossiers de santé des usagers ne doit pas laisser traîner une pile de dossiers sur le coin du bureau, surtout s’il est accessible par les passants. Ce sont des renseignements personnels importants à protéger. Les mêmes règles doivent s’appliquer dans le monde numérique. Il est clairement dangereux de partager le mot de passe d’un classeur protégé entre plusieurs individus, encore pire de laisser une « post it » sur l’écran avec le mot de passe clairement rédigé…Vous le savez déjà mais plusieurs le font encore. Chaque employé a la responsabilité de protéger des renseignements, vous ne voulez pas que, par vos actions (ou inactions), les renseignements sur votre salaire se retrouvent sur « les Internets »… Il faut dont demeurer vigilant, respecter les règles de remplacement de mot de passe, respecter les politique de l’entreprise pour le classement des dossiers et finalement : lorsque vous utilisez Internet à votre lieu de travail, ne prenez pas de risques, ne visitez pas de sites à haut risque et ne faites confiance à personne.

L’employeur : Il doit protéger les informations personnelles de ses employé, c’est une responsabilité importante. Et il doit aussi protéger certaines informations d’affaires, comme des listes de clients, des dessins techniques, des contrats et des documents importants. On souhaite les protéger contre le vol mais aussi contre la destruction ou la modification. Plusieurs ouvrages traitent déjà de diverses méthodes de protection à appliquer selon les scénarios. La haute direction doit être au fait des risques et doit exiger que les méthodes nécessaires soient appliquées et documentées. La première étape consiste souvent à identifier les catégories d’actifs à risques. Par « actif », on parle de biens, qui peuvent être matériels et numériques. Le classeur physique des dossiers des clients est un actif à risque, le système comptable dans lequel est entré les informations de salaires de nos employés est aussi un actif à risque. Une fois les risques identifiés, les mesures de protection viennent souvent d’elles-même. Il s’agit de les mettre en place et de valider régulièrement qu’elles sont toujours respectées et appropriées. Il faut aussi responsabiliser nos employés, leur faire comprendre les risques et leur donner les moyens de mettre en place les protections adéquates.

En conclusion

Je le répéterai toujours, soyez vigilants ! Les criminels utilisent depuis toujours des moyens de plus en plus complexes pour rassembler des informations les aidant à commettre leurs crimes. Le « social engineering » est une méthode très connue qui permet à quelqu’un de jouer la comédie pour obtenir des informations importantes. Je vous suggère fortement de lire « The art of deception » par Kevin D. Mitnick, un livre très intéressant sur cette technique…

Et maintenant, quelle sera votre méthode de protection de vos mots de passe ??

Christian Boulet, Votre directeur TI