Vous êtes dans : Accueil > Tribunes libres >
C’est un sujet qui revient régulièrement dans la presse, et en cours les élèves – toute formation confondue – posent souvent la question : avec la multiplication des mots de passe d’accès aux services divers et variés (banque en ligne, réseaux sociaux, etc.), quelles sont les bonnes pratiques à adopter ? J’avais besoin d’un cobaye pour tester deux ou trois trucs, j’ai pris le plus disponible à défaut du plus intelligent : moi ! J’insiste sur le fait qu’il n’y a pas de bonne solution universelle aux questions soulevées dans cet article, et de plus ce domaine suscite immanquablement des débats enflammés, l’indulgence du lecteur est donc requise.
Première étape : recensement de tous les comptes et mots de passe (ID/MDP) que j’utilise. Bilan : 129 à titre privé, 23 à titre professionnel.
Deuxième étape : classification des comptes en grandes familles. Pour le volet professionnel j’ai tous mis dans le même sac, pour le volet privé j’ai recensé les grandes catégories suivantes (classification certes discutable, mais il en faut bien une) :
Troisième étape : identification des risques encourus. Classiquement on se raccroche au triptyque DIC (disponibilité, intégrité et confidentialité), ce qui nous donne :
Au sujet de cette courte liste de 3 risques, j’attire l’attention du lecteur sur le fait que tout le monde focalise sur le risque de compromission, mais dans les faits la perte d’un mot de passe est beaucoup plus courante (tout du moins dans la sphère privée) et pas forcément moins risquée. Vous voulez un exemple ? Si je vous communique par erreur le code d’ouverture de ma Samsonite (trois chiffres, compromission) vous n’en ferez pas grand-chose. Si par contre je l’ai oublié (disponibilité) en arrivant à la douane de l’aéroport JFK à New York, cela risque être moins drôle. L’enjeu global de protection des ID/MDP n’est pas la confidentialité : l’enjeu est de disposer d’un moyen de protection adapté aux principaux risques encourus par l’ID/MDP, et cela n’est pas forcément le même risque selon que l’on parle de mon code de valise, de la banque en ligne, de l’identifiant Facebook, etc. D’où la nécessaire classification ci-dessus.
Quatrième étape : recensement des moyens de stockage. Il y en a globalement 3 :
Evidemment on peut mixer tout cela : avoir un fichier Keepass en ligne et en faire une impression papier stockée dans un coffre-fort à la cave.
À ceux qui viennent de frôler l’arrêt cardiaque en lisant « Dropbox », sachez qu’il vaut mieux un bon fichier Keepass sécurisé avec un mot de passe de 30 caractères stocké sur Dropbox, qu’un carnet mâchouillé rangé dans le tiroir du bureau : la matrice des risques couverte par le premier dispositif est incomparablement plus large que celle couverte par le second. Si vous détenez les codes de la force nucléaire française certes il est conseillé d’éviter Dropbox, mais pour stocker l’ID/MDP de son compte Netflix, vous conviendrez que l’attaquant potentiel ne va pas engager des moyens disproportionnés pour vous chiper un truc qui ne lui rapportera rien.
A suivre…
Les plus lus