Aujourd’­hui on véri­fie la sécu­rité.

Les services en ligne « sensibles »

Même en ne gardant que le prin­ci­pal, il faut penser à :

  • votre boite email (qui sert à la récu­pé­ra­tion des mots de passe de tous les autres comptes),
  • votre service de nom de domaine,
  • celle de secours (qui sert à la récu­pé­ra­tion du mot de passe de la boite prin­ci­pale),
  • votre service de backup,
  • vos services de stockage ou synchro­ni­sa­tion en ligne,
  • votre héber­geur de serveur en ligne si vous en avez.

[ ] La première étape c’est s’as­su­rer d’avoir des mots de passe « sûrs ». Ça veut dire suffi­sam­ment longs et complexes.

Suivant les préfé­rences c’est au moins huit carac­tères aléa­toires entre chiffres lettres et symboles, au moins 12 carac­tères avec des lettres rela­ti­ve­ment aléa­toires, ou au moins 15 carac­tères mini­mum si vous avez des suites de mots communs.

Le l34t sp33k, l’in­ver­sion des carac­tères, l’ajout d’une année, et globa­le­ment la plupart des varia­tions auxquelles vous pour­riez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité signi­fi­ca­tive.

[ ] Seconde étape, s’as­su­rer que ces mots de passe sont uniques et vrai­ment diffé­rents (pas de simples varia­tions du même).

Au grand mini­mum, s’as­su­rer d’avoir un mot de passe pour les services très sensibles diffé­rent du mot de passe que vous tapez tous les jours pour les services moins impor­tants. Ce mot de passe sensible ne devra être tapé que dans des espaces correc­te­ment sécu­ri­sés.

[ ] Quand vous le pouvez, acti­vez l’ »authen­ti­fi­ca­tion en deux étapes ». C’est possible au moins pour Google, Gandi, Drop­box, iCloud. C’est fran­che­ment peu gênant vu la sécu­rité que ça apporte, ne pas le faire est limite une faute.

[ ] Les « ques­tions secrètes » pour récu­pé­rer des comptes dont vous avez oublié les mots de passe sont de vraies plaies pour la sécu­rité. En géné­ral il est très facile d’en trou­ver la réponse.

À vous de voir si vous préfé­rez tricher et mettre de fausses réponses (au risque de ne pas vous en souve­nir) ou si vous avez une grosse faille à cet endroit là. C’est le moyen d’ac­cès de la plupart des usur­pa­tions courantes.

L’ac­cès depuis vos postes

Tablette, télé­phone (même les « pas smart »), micro-ordi­na­teur, NAS de la maison…

[ ] Tous doivent avoir un mot de passe à l’al­lu­mage et à la sortie de veille. Tous, pas d’ex­cep­tion.

Sur les smart­phones et tablettes vous avez parfois la possi­bi­lité de mettre un « schema ». Ça fonc­tionne assez bien et c’est plutôt simple à déver­rouiller. Si vous n’avez pas d’autre choix, utili­sez le code PIN.

Pour les autres les mots de passe doivent respec­ter les mêmes règles que pour les services en ligne.

[ ] Tous ceux qui le peuvent doivent avoir un disque chif­fré. Micro-ordi­na­teurs, tablettes et smart­phones le permettent quasi­ment tous.

Le coût en perfor­mance ou en batte­rie est quasi­ment nul sur les proces­seurs des 5 dernières années qui ont des circuits dédiés pour ces calculs.

Sans ça n’im­porte qui avec très peu de connais­sances infor­ma­tiques peut passer outre votre mot de passe.

Parfois il existe une procé­dure de récu­pé­ra­tion si jamais vous oubliez vos mots de passe, de façon à déver­rouiller le disque. Sur Apple par exemple ça utilise le compte iCloud. Dans ces cas, le compte utilisé pour la procé­dure de récu­pé­ra­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

[ ] Les mises à jour sont confi­gu­rées pour être télé­char­gées auto­ma­tique­ment, et instal­lées dès qu’elles sont dispo­nibles.

[ ] Si vous enre­gis­trez vos mots de passe dans votre navi­ga­teur pour ne pas les ressai­sir à chaque fois, ce dernier doit avoir un « mot de passe maître ».

Si en plus ces données sont synchro­ni­sées en ligne, le mot de passe qui gère le compte de synchro­ni­sa­tion doit être consi­déré comme sensible avec les mêmes règles que plus haut.

[ ] Vous avez une poli­tique de backup auto­ma­tisé et testé pour toutes vos données impor­tantes. Bien entendu le compte qui permet d’ac­cé­der aux données de backup est à consi­dé­rer comme sensible.

La machine qui reçoit les backup doit avoir un disque chif­fré et si vous faites appel à un service tiers le chif­fre­ment des données doit se faire côté client pour que le pres­ta­taire ne puisse pas déco­der les données.


Tout ça est un mini­mum, main­te­nant imagi­nez quelqu’un qui connait la réponse à la ques­tion secrète de votre opéra­teur télé­pho­nique. À partir de ça il peut réini­tia­li­ser le mot de passe pour accé­der à votre compte. Là il a une inter­face pour lire et écrire des SMS. Il demande alors la réini­tia­li­sa­tion du mot de passe de votre boite email prin­ci­pale, qui se fait via SMS. À partir de là il réini­tia­lise le mot de passe de votre service de stockage en ligne, de backup, et de votre banque. Le voilà avec de quoi récu­pé­rer vos photos, même si vous les avez effacé, et peut être même de quoi faire des vire­ments. Situa­tion fictive mais on a vu des attaques bien plus inven­tives.

Si vous avez lu jusqu’au bout (sérieu­se­ment ?) je suis curieux de savoir quelle propor­tion de ces bonnes pratiques vous vali­dez, ou si vous respec­tez tout en détail pour l’in­té­gra­lité de vos maté­riels et comptes sensibles.

Photo d’en­tête sous licence CC BY-NC-SA par Steve Crane

Rejoindre la conversation

9 commentaires

  1. Pour les questions secrètes, les noter dans un fichier avec de fausses questions/réponses qui lui n’est jamais mis en ligne. Uniquement local. Cela semble contre naturel mais en fait elles sont là pour vérifier un changement ou une perte et comme elles tiennent souvent du social engineering pour les outrepasser. Si une personne a accès au lieu où est stocké ce fichier, vous avez un plus gros problème.

  2. Le seul problème que j’ai avec les app d’authentification en 2 étapes, c’est que l’app fournissant le code n’est déployable que sur un appareil.

    Typiquement, je dois me connecter depuis 2 jours sur Gandi ; quand j’y pense, je suis au bureau et je n’ai pas ma tablette avec moi ; du coup, coincé jusqu’au soir où j’oublie et bis repetita le lendemain :-P

    Après, perso, comme faire un mot de passe par service devient compliqué (ou alors devient facile à deviner s’il y a une certaine proximité), c’est plutôt des mots de passe par criticité du service. Pour les services à faible criticité, il est unique et plus on monte en criticité, plus ça tend vers le complexe et l’unicité. Ca en fait un peu moins à retenir !

    Reste que le problème principal est le débat confort/simplicité vs sécurité pour lequel le quidam moyen tend à privilégier le premier.

    Il y a aussi la fausse bonne idée des solutions biométriques ; un mot de passe ça se change, une empreine, c’est plus compliqué et il est tout autant possible de te la subtiliser.

  3. J’aurais appelé ça « hygiène sécuritaire » plutôt qu' »hygiène de la sécurité ».

    « Reste que le problème principal est le débat confort/simplicité vs sécurité pour lequel le quidam moyen tend à privilégier le premier. »

    Justement, le confort pour moi c’est d’avoir mes données sous la main, et sous la main, ça n’est pas à des milliers de kilomètres dans un nuage. Et du coup la première partie de cette hygiène, c’est la duplication des données. Que quelqu’un de mal intentionné récupère des choses sur ou de moi, il y arrivera toujours, ça n’est pas un problème d’informatique. La seule chose qui me gêne vraiment c’est la perte de données, mais c’est une motivation personnelle, je fais parti de ces gens qui ont énormément de difficultés à jeter.
    Et même pour la banque, l’effet est limité, dans le sens où les banques dans lesquelles je suis ont toutes des mécanismes de plafond qui empêche le siphonnage intégral. Après se battre contre la banque pour récupérer son argent n’est pas drôle, mais pas plus que de se battre avec son assureur quand un chauffard a défoncé votre voiture, ou se farcir au boulot des gens qui vous pourrissent la vie.

    « Le l34t sp33k, l’inversion des caractères, l’ajout d’une année, et globalement la plupart des variations auxquelles vous pourriez penser sont testables en moins de quelques minutes donc n’ajoutent pas de complexité significative. »

    Si rajouter 4 caractères à un mot de passe (= nombre de combinaisons initiales x 14 millions) fait que ça n’ajoute que quelques minutes de craquage, ça n’est pas la peine de se casser le cerveau : visiblement le craqueur a tellement de moyens à sa disposition qu’il aura plus vite fait de passer par une solution de contournement que de tenter la force brute.

    1. Ajout d’une année, très probablement entre 1000 et 2100, c’est 1100 combinaisons. Je ne parle même pas qu’en réalité c’est plutôt entre 1940 et 2014, donc moins de 100 combinaisons. Très loin d’une multiplication par 14 millions

      Et on parle justement de solutions autre que de tester chaque combinaisons. On parle de tester les mots ou combinaisons courantes, puis les versions avec que minuscules, puis …

      Et une version relativement détectable à laquelle on a juste ajouté une année ou juste remplacé les e par des 3, c’est codé depuis longtemps dans à peu près tous les outils de test de mot de passe. Ca sera testé bieeeeeen avant de tester un aléatoire avec des chiffres au hasard dans la chaîne de caractères.

      1. C’est toi qui ramène à l’année, je parle de 4 caractères :-)

        Il n’empêche que « les outils de test de mot de passe » ne connaissent pas la structure a priori. Ce n’est pas parce que tu divises le nombre de combinaisons par 10, 100 ou 1000 que ça devient plus exploitable. Et si cet outil a un accès direct au stockage… c’est un peu fichu par avance à la base.

      2. Ils ne savent pas ce que tu as comme structure, mais ils ont déjà codé en dur un nombre impressionnant de structures relativement classiques et probables.

        Si ton mot de passe hors variation est considéré comme faible, la version avec variation a toutes les chances d’être faible elle aussi. On ajoute bien entendu de la complexité, mais pas un facteur suffisant pour que ça change vraiment la donne. Ne pas se croire original, en général on ne l’est pas.

        Si en plus tes mots de passes sont des variations les uns des autres (changer une lettre, une casse, un chiffre, changer la position de la majuscule ou du chiffre, etc.) autant dire que c’est trouvé instantanément quand on connait un des mots de passe.

        C’est ça que je pointais. Juste que si ton mot de passe est « perenoel », faire « perenoel73 » ou « perenoel2014 » ou « p3r3N0EL » ou « pere2noel » n’apportera pas grand chose car ce sera testé dans la foulée par les outils.

  4. « Ils ne savent pas ce que tu as comme structure, mais ils ont déjà codé en dur un nombre *impressionnant* de structures relativement classiques et probables. »

    Et plus ils coderont de structures, plus l’espace à explorer sera grand.

    Mais ça ne change pas grand chose au final : si c’est un service ligne, le mec qui brute force (même avec une logique de structures) a le devoir de se faire bloquer par le fournisseur, quitte à bloquer le compte (un bon déni de service des familles) ; et s’il a un accès physique… il peut se le garder sous le coude avant d’avoir besoin de plus d’infos, d’attendre un super support de CUDA ou d’OpenCL de la part de son outil favori, ou de lancer ça dans le Google Compute Engine s’il est swag, ou mieux, sur un réseau de botnet.

  5. Les mises à jour sont configurées pour être téléchargées automatiquement, et installées dès qu’elles sont disponibles.

    Si on est vraiment parano, on peut aussi se demander s’il ne risque pas d’arriver un jour où une de ces mises à jour sera vérolée… Et donc tester préalablement les mises à jour sur une machine dédiée qui ne contient aucune information sensible. Mais là, ce n’est plus de l’informatique grand public, ça devient un métier…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par Scaleway, ONLINE SAS, joignable par téléphone au +33 (0)1 84 13 00 00 et joignable par courrier à l'adresse BP 438 - 75366 Paris Cedex 08.