Vous êtes dans : Accueil > Tribunes libres >

Mais je fais quoi avec tous ces mots de passe ? Partie II

Cédric Cartau , MARDI 25 SEPTEMBRE 2018

Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Poursuivons.

Petit aparté concernant les mots de passe de la sphère professionnelle. Stocker un fichier Keepass sur les serveurs bureautiques de l’entreprise est une bonne pratique : il s’agit d’un espace de confiance interne (à supposer que le « Y : » ne soit pas ouvert à tous les vents), qui plus est sauvegardé. Le seul risque est qu’en cas de départ de l’agent (par la grande porte ou les pieds devant) les collègues vont se retrouver grosjean : il va falloir organiser en amont le stockage du MDP, par exemple dans une enveloppe cachetée stockée dans un coffre-fort (ais-je besoin de préciser qu’il faut éviter de le noter sur des post-it?). Bref c’est sans fin car il faut arbitrer entre les trois contraintes DIC qui sont toutes au même niveau de besoin.

Pourquoi cette classification en 12 catégories : parce qu’elles ne sont pas soumises aux mêmes vulnérabilités. Par exemple, le groupe d’informatique locale nécessite un accès physique à mon domicile pour accéder à mon MAC, idem pour le code de ma Samsonite. Le risque principal n’est donc pas la compromission (sauf si vous êtes une cible de la NSA, mais là pas grand monde ne peux quoique ce soit pour vous) mais la perte (intégrité). Un stockage local non sécurisé (carnet à spirale) peut faire l’affaire. Certains objecteront que, si la sensibilité est moindre du fait de la nécessité de l’accès physique, alors Dashlane convient – pourquoi pas.

À contrario, les services financiers et en particulier l’accès à la plateforme bancaire et au système de génération de CB virtuelles sont hautement sensibles : cela intéresse tous les malfaisants potentiels, il est donc fortement conseillé d’être paranoïaque. Personnellement, je n’irai jamais déposer ces codes sur une plateforme de type Dashlane. Certes on vous garantit une sécurisation sans faille : chiffrement par certification de bout en bout, authentification forte, etc. Mais ces plateformes ont souvent deux talons d’Achille : à un moment donné, il faut un mot de passe pour accéder à la plateforme, et ces sites sont très peu disserts sur (par exemple) la sécurisation des traces techniques d’accès à la plateforme : eh oui, c’est bien de protéger le conteneur de mot de passe, mais les systèmes sont très verbeux et les fichiers en cache sont un des moyens connus d’attaque. Ensuite, les administrateurs sont des humains : comment stockent-ils eux-même leurs mots de passe admin ? Si vous pensez que de ce côté là aucune crainte à avoir, lisez ou relisez les news sur l’affaire TV5 Monde ou Ashley Madison… Enfin les sites qui proposent une authentification forte doivent aussi mettre en place une procédure de recouvrement en cas de perte : ce sont des codes en plus à stocker, qui se compromettent et se perdent (j’ai joué le jeu pour ce qui concerne Dropbox, le résultat est que j’ai trois tonnes de codes à stocker). Pour les services financiers, la plus grande prudence s’impose donc. On pourra objecter cependant que pour beaucoup de banques, le seul accès aux comptes en ligne ne suffit plus à piquer des sous : le génération d’une CB virtuelle réclame un jeton SMS, tout comme la création d’un bénéficiaire de virement. Pour les codes de CB (sauf à les noter sur un bout de papier rangé à même le portefeuille, ce qui est crétin), d’une part il faudrait un accès physique à la CB, d’autre part rien n’interdit de les noter sur un support sécurisé stocké en ligne mais en les encodant avec un algorithme connu de vous seul : par exemple 8 chiffres dont seuls les chiffres en position impaire sont les bons. Après tout, si vous vous faites braquer dans la rue, vous donnerez CB et code ! Au fait, il paraît qu’il y a des banques qui ne proposent pas de bloquer l’usage des CB en ligne et ne proposent pas de système de CB virtuelle : à fuir de toute urgence.

Ensuite, il y a toutes les catégories dont la perte n’est pas dramatique en termes de disponibilité (si vous perdez votre accès Améli, il y a une procédure simple même si un peu longue de recouvrement par échange de courrier) mais qui constituent le début d’une usurpation d’identité : impôts, réseaux sociaux, etc. En termes de risques, je range dans le même sac les comptes d’accès aux plateformes de données santé (Doctolib, etc)  : c’est la confidentialité qui est importante, plus que la disponibilité d’accès au service. Là, un Dashlane ou un Keepass sur DropBox ou Hubic peut convenir, du moment que les mots de passe d’accès aux services et au support sécurisé sont suffisamment robustes : ce ne sont pas (encore) des cibles pour les bandits de grand chemin – la situation pourrait évoluer. Certains objecteront que c’est justement parce que la confidentialité est primordiale qu’il ne faut pas les stocker en ligne et privilégient le stockage local chiffré. Idem pour les services web qui détiennent une information de paiement : je n’utilise que des CB virtuelles à montant limité, le risque financier est donc contenu. 

A suivre…

#confidentialité#