Vous êtes dans : Accueil > Tribunes libres >

Mais je fais quoi avec tous ces mots de passe ? Partie I

Cédric Cartau , MARDI 25 SEPTEMBRE 2018 Soyez le premier à réagirSoyez le premier à réagir

C’est un sujet qui revient régulièrement dans la presse, et en cours les élèves – toute formation confondue – posent souvent la question : avec la multiplication des mots de passe d’accès aux services divers et variés (banque en ligne, réseaux sociaux, etc.), quelles sont les bonnes pratiques à adopter ? J’avais besoin d’un cobaye pour tester deux ou trois trucs, j’ai pris le plus disponible à défaut du plus intelligent : moi ! J’insiste sur le fait qu’il n’y a pas de bonne solution universelle aux questions soulevées dans cet article, et de plus ce domaine suscite immanquablement des débats enflammés, l’indulgence du lecteur est donc requise.

Première étape : recensement de tous les comptes et mots de passe (ID/MDP) que j’utilise. Bilan : 129 à titre privé, 23 à titre professionnel.

Deuxième étape : classification des comptes en grandes familles. Pour le volet professionnel j’ai tous mis dans le même sac, pour le volet privé j’ai recensé les grandes catégories suivantes (classification certes discutable, mais il en faut bien une) :

  • Les comptes à usage domestique local : compte utilisateur iMac, box ADSL, clé WIFI, etc. ;
  • La gestion des adresses mail, nom de domaine, site personnel ;
  • Les services de coffre-fort physiques ou virtuels : Dropbox, Hubic, Digiposte, BlueFiles, TrueCrypt ;
  • Les services financiers : banque en ligne, assurance-vie, cartes bancaires, etc. ;
  • Les sites qui détiennent des informations de santé : Améli, mutuelle, Doctolib, etc. ;
  • Les services administratifs : impôts, préfecture, etc. ;
  • Les services web qui détiennent une information de paiement sur votre serviteur : Netflix, Amazon, etc. ;
  • Les services web qui connaissent mon identité mais sans aucune information financière : Youtube, etc. ;
  • Les services web auprès desquels j’ai ouvert un compte sous pseudo : forum amateur d’horlogerie (on a les hobbies que l’on peut), etc. ;
  • Les services auprès desquels je réalise des achats mais avec des numéros de CB à usage unique ;
  • Les réseaux sociaux ; j’en fait une catégorie à part du fait des risques d’usurpation d’identité que cela implique ;
  • L’inévitable case « Divers » : code de valise, etc. ;

Troisième étape : identification des risques encourus. Classiquement on se raccroche au triptyque DIC (disponibilité, intégrité et confidentialité), ce qui nous donne : 

  • Principal risque de disponibilité : non accessibilité à un ID/MDP de façon temporaire, par exemple besoin d’accès à mon compte bancaire en ligne alors que je suis à 10 000km et oubli de l’ID/MDP ;
  • Principal risque d’intégrité : perte d’un ID/MDP, par exemple corruption du stockage (fichier illisible, disque dur HS) ;
  • Principal risque de confidentialité : compromission d’un ID/MDP par une tierce personne indélicate.

Au sujet de cette courte liste de 3 risques, j’attire l’attention du lecteur sur le fait que tout le monde focalise sur le risque de compromission, mais dans les faits la perte d’un mot de passe est beaucoup plus courante (tout du moins dans la sphère privée) et pas forcément moins risquée. Vous voulez un exemple ? Si je vous communique par erreur le code d’ouverture de ma Samsonite (trois chiffres, compromission) vous n’en ferez pas grand-chose. Si par contre je l’ai oublié (disponibilité) en arrivant à la douane de l’aéroport JFK à New York, cela risque être moins drôle. L’enjeu global de protection des ID/MDP n’est pas la confidentialité : l’enjeu est de disposer d’un moyen de protection adapté aux principaux risques encourus par l’ID/MDP, et cela n’est pas forcément le même risque selon que l’on parle de mon code de valise, de la banque en ligne, de l’identifiant Facebook, etc. D’où la nécessaire classification ci-dessus.

Quatrième étape : recensement des moyens de stockage. Il y en a globalement 3 :

  • Stockage sur un support non sécurisé physique (carnet) ou logique (fichier bureautique) ; le support peut être sécurisé : carnet rangé dans un coffre-fort scellé au mur), utilisation de (Keepass) ;
  • Stockage sur un support en ligne : par exemple utilisation de Dropbox ; là encore le fichier peut être sécurisé (fichier Keepass) ;
  • Utilisation d’un service en ligne spécialisé : par exemple Dashlane ;

Evidemment on peut mixer tout cela : avoir un fichier Keepass en ligne et en faire une impression papier stockée dans un coffre-fort à la cave.

À ceux qui viennent de frôler l’arrêt cardiaque en lisant « Dropbox », sachez qu’il vaut mieux un bon fichier Keepass sécurisé avec un mot de passe de 30 caractères stocké sur Dropbox, qu’un carnet mâchouillé rangé dans le tiroir du bureau : la matrice des risques couverte par le premier dispositif est incomparablement plus large que celle couverte par le second. Si vous détenez les codes de la force nucléaire française certes il est conseillé d’éviter Dropbox, mais pour stocker l’ID/MDP de son compte Netflix, vous conviendrez que l’attaquant potentiel ne va pas engager des moyens disproportionnés pour vous chiper un truc qui ne lui rapportera rien.

A suivre…

formation, code