On me demande par ailleurs s’il ne faut pas « juste » changer le mot de passe.

Imaginons Gmail :
– Est-ce qu’il connait la réponse aux questions secrètes pour récupérer le mot de passe lui-même ?
– Est-ce qu’il n’a pas accès à un des téléphones mis en backup pour récupérer les mots de passe (perso j’ai le mien, celui de ma moitié en second, celui de ses parents en troisième) ? Possible même que chez quelqu’un ce puisse être le fixe de la maison en principal
– Est-ce qu’on a vérifié les filtres gmail pour qu’il n’y ait pas une copie systématique de certains emails vers sa boite ? (ou une redirection)
– Il y a-t-il une délégation d’accès active ? (on peut désormais donner accès à des comptes tiers à sa boite sans partager le mot de passe)
– Gmail propose des APIs pour accéder aux emails, est-ce qu’un jeton Oauth vers ce compte n’a pas déjà été initialisé ? (il n’y a plus besoin du mot de passe ensuite)
– Est-ce qu’il n’y a pas un ancien appareil commun qui a encore accès au compte gmail ? genre un vieux téléphone ou le pc du conjoint sur lequel on s’est loggué en toute confiance il y a deux semaines
– Est-ce qu’il y a eu des codes à usage unique de générés ? Est-ce qu’ils ont été désactivés dans la configuration ?

Imaginons que c’est bon pour Gmail (j’ai listé beaucoup de choses, auriez-vous pensé à tout ? il est probable que je puisse moi-même en avoir oublié), reste que si on y accède depuis l’ancien poste informatique, c’est foutu, même en changeant le mot de passe :
– il y a-t-il un autre compte administrateur sur la machine ?
– si l’autre n’est pas administrateur, les droits d’accès des répertoires ne sont-ils pas trop ouverts ?
– il y a-t-il un spyware d’installé ? un keylogger ?
– il y a-t-il un serveur ssh, web, ftp ou autre qui a ses propres comptes utilisateurs (et pas ceux systèmes) qui est installé ?
– il y a-t-il un logiciel d’assistance / support à distance d’installé ?
– il y a-t-il une porte dérobée volontaire laissée sur le poste ?
– le poste est-il sous backup distant vers une destination contrôlée par le conjoint ? (dropbox, NAS, etc.)
– Le Firefox et le chrome sont-ils configurés pour synchroniser les mots de passe et l’historique, voire les extensions ? peut être vers un compte que connait le conjoint, ou vers un autre poste (vieux PC, smartphone,…) auquel a accès le conjoint ?
– Les documents que je laisse dans les répertoires par défaut sont-ils synchronisés vers Dropbox, Google Drive ou autre service auquel a accès le conjoint ?
– Le disque dur est-il chiffré ? (sinon autant dire que tout le reste ne sert à rien) et pas par le conjoint sinon il a peut être gardé accès au code de secours qui permet de déverrouiller.
– Il y a-t-il eu ajout d’un faux certificat racine TLS qui permet de casser la sécurité ensuite ? (peut être par exemple parce qu’un jour l’informaticien du couple a voulu faire du debug de https via le poste, donc même sans mauvaises intentions)
– Est-ce qu’il a accès au compte Mac ou MSN pour tenter une récupération du mot de passe système par là ? Est-ce qu’il connait les questions secrètes du compte Mac ou MSN pour d’abord récupérer l’accès au compte Mac ou MSN avant ? Est-ce qu’il a accès au compte email ou à la procédure de récupération du compte email pour ensuite pouvoir faire une récupération sur le compte MSN ou Mac avant ? Sachant que parfois certains services clients de ces services fonctionnent par téléphone avec juste des informations faussement secrètes que le conjoint connait (adresse, date de naissance, numéro de CB, ancien mot de passe, date ou lieu de dernière connexion, etc.)

Franchement, pour la machine non seulement je suis certain d’oublier 150 trucs évidents et qui peuvent souvent être de bonne foi initialement (donc qui n’impliquent pas forcément de préparation préalable du conjoint), mais même moi qui « m’y connais », je me sens totalement incapable d’affirmé « mon poste est sécurisé et je n’ai aucun doute » après avoir laissé un accès complet à un tiers par le passé (et entre conjoints… ça arrive forcément, surtout si c’est l’autre qui a les compétences informatiques pour régler les choses). Pas sans tout vider et tout réinstaller. Imaginez donc quelqu’un qui n’est pas informaticien et dont justement le conjoint l’est…

Mais ce n’est même pas tout : Je me connecte via câble ou via wifi ? Ce câble ou cette borne wifi est-elle contrôlée ou contrôlable par le conjoint ? Si oui il y a encore plein de softs qui n’utilisent pas de connexion sécurisée par défaut, ou qui basculent en mode non sécurisé si le port sécurisé est bloqué (oui oui).

Je ne parle même pas du conjoint qui travaille dans la sécurité informatique et qui se sent d’aller exploiter des failles d’un ordinateur non à jour.

Bref :

* Oui, je confirme quelques réponses eu via twitter : très certainement tout ça est superflu car il ne va rien se passer, que c’est juste du stress du à la séparation ou des menaces en l’air, mais je ne suis pas à leur place et il serait très présomptueux de juger à leur place.

Mettez-vous à la place de quelqu’un qui est en position de faiblesse face à son conjoint sur ses outils, et qui n’a plus confiance en raison du contexte en cours, pour qui ça peut influer sur la capacité d’avoir le droit de rester habiter dans la maison, ou d’avoir la garde des enfants. Je n’aimerais pas être à leur place.

* Non par contre il ne suffit pas de changer le mot de passe. Et dire « il n’aurait pas fallu le partager au départ » est non seulement faux vue la complexité des ouvertures possibles, mais en plus probablement un peu naif sur la relation au sein d’un couple dont l’un des deux seulement est informaticien. Tôt ou tard le mot de passe est connu du conjoint, la machine est partagée pour une raison ou une autre. Toujours est-il que de dire « c’est de ta faute il ne fallait pas partager il y a deux ans » n’aide pas beaucoup quelqu’un déjà en détresse