Regardailleurs

Jean-Marc Manach l’a rappelé dans l’émission Place de la Toile du 3 juillet 2011, la principale faille de sécurité informatique se situe entre la chaise et l’ordinateur. Et ouais, c’est l’utilisateur et lui seul qui détermine la qualité de sa sécurité.

Un exemple d’incroyable légèreté de l’être connecté ? Prenons le hacking d’un site par le collectif Lulz Security. Jusque-là, rien d’inhabituel de la part des LulzSec, mais ces derniers révèlent dans le tweet suivant d’où provient la faille. Un « expert » en sécurité a donné le même mot de passe pour l’ensemble des comptes mails de l’entreprise attaquée. Cerise sur le gâteau, c’est aussi le mot de passe de son mail, de ses comptes Twitter, Linkedin, etc.

La messe est presque dite. On va ajouter que les LulzSec ne sont pas forcément des cadors du hacking et qu’une autre équipe a rendu publics les profils des supposés chiens fous. Les conseils en-dessous vous apprendront à bien vous protéger, en tout cas mieux que le bras cassé cité plus haut.

Règle numéro 1 du Password Club : ne jamais parler du Password Club

C’est un fantasme populaire aussi tenace que l’infirmière libidineuse : le hacker serait ce petit génie qui d’un coup va avoir une furieuse envie de percer des trous dans une forteresse informatique, va ouvrir une console genre MS DOS pré Windows (je vous parle d’un temps que les moins de 20 ans ne peuvent pas connaître) et y arriver en tapant ses gammes aussi vite qu’un Jimmy Hendrix bien inspiré. Petite séquence hollywoodienne pour illustrer tout ça.

Et bien, dans la vraie vie, un hacker, ce n’est pas vraiment ça. C’est plutôt ce type qui téléphone l’air de rien en quête du bon pigeon. Très vite, le gogo ultra naïf au bout du fil, pensant parler au mec lambda du service informatique, déballe son mot de passe et l’affaire est réglée. Disons-le fort : IL NE FAUT JAMAIS DONNER SON MOT DE PASSE PAR MAIL OU PAR TELEPHONE.

Les gens du service informatique de la plupart des entreprises sont suffisamment qualifiés pour avoir les bonnes autorisations en cas de pépin. Ils n’ont donc aucune raison de téléphoner aux employés pour leur demander leur mot de passe. Idem pour votre banque : pourquoi vous enverrait-elle un mail pour demander vos codes d’accès alors que ses informaticiens peuvent jongler avec des milliers d’autres ? Ayez du bon sens et vous ne vous ferez jamais avoir.

Arrive le cas le plus vicieux, celui des applications qui réclament une synchronisation avec vos comptes Facebook, Google, Twitter ou autre. Je ne suis pas un fan des synchronisations par souci de distinction, mais pour certaines app’ incontournables qui réclament vos mots de passe, là encore ayez du bon sens. Ne téléchargez que celles que vous connaissez de réputation et évitez les markets parallèles ou non officiels pour le faire.

Le piratage ordinaire, ce fléau

Vous avez une dure journée, comme on en connaît tous. Un peu lassé, vous décrochez de votre ordi pour prendre un peu l’air. Vos sessions Facebook, Google, Twitter sont encore ouvertes. Un petit malin le remarque et décide de rigoler un peu en mettant des statuts saugrenus. Vous avez été victime du piratage ordinaire.

Vous n’êtes et ne serez pas le dernier, même le Quai d’Orsay y a eu droit. Imaginez la délectation du bonhomme qui a vu le compte ouvert et s’est payé le Quai d’Orsay ni vu, ni connu. Et dites-vous que c’est arrivé uniquement par négligence.

Déconnectez-vous de tous vos comptes dès que vous laissez sans surveillance votre ordinateur. Si vous avez la flemme, verrouillez-le. Et par pitié évitez les mots de passe évidents, du genre marqué sur un post-it tout le temps collé à côté de l’écran !

L’hygiène du mot passe, c’est comme une collection de savons

C’est quoi l’hygiène du mot de passe ? Pour le dire vite, c’est la qualité du mot de passe qui doit comporter au moins dix signes, inclure des majuscules, des chiffres et pourquoi pas des signes de ponctuation.

Mais c’est aussi, pour filer la métaphore, comme une collection de savons : il vaut mieux en avoir plusieurs si on ne veut pas en user un trop vite.

La truffe en sécurité citée plus haut a donné son mot de passe universel à toute une entreprise. Ça revient exactement à donner les clés de sa maison à tous ses collègues. Si cet « expert » avait été assez futé pour au moins utiliser un mot de passe et un seul pour chacun de ses comptes, il se serait évité bon nombre de désagréments.

Dans le cas où vous distinguez  vos mots de passe, vous êtes protégé d’une attaque globale. Même si un petit malin arrive à trouver un code d’accès à un service particulier, il sera bloqué en le testant sur d’autres.

Plusieurs stratégies sont offertes pour arriver à retenir plus d’un mot de passe. La première est ce que j’appelle  le chemin (il doit y avoir un terme plus scientifique mais on fera avec). Cette démarche consiste à mémoriser le trajet d’un mot de passe plutôt que son ensemble. On peut par exemple mémoriser plus rapidement un certain nombre de numéros de téléphones en utilisant cette méthode.

Vous visualisez le jeu des points numérotés à relier pour dessiner une forme ? Le chemin, c’est la même chose, mais sur votre clavier. Vous reproduisez sur votre clavier le dessin par points-clés, vous modifiez de temps en temps la casse, vous intégrez un chiffre par ci par là et le tour est joué. Le naïf qui testera plein d’espoir l’ensemble des indices visuels autour de votre bureau pourra s’amuser longtemps sans aucun risque pour vos données.

D’autres préfèrent la technique de la base. Le principe est tout simple : chaque mot de passe commence par la même combinaison. Ensuite, vous n’avez plus qu’à user d’un moyen mnémotechnique pour différencier votre base. Cela peut-être les trois dernières lettres du service où vous vous connectez, le chiffres des voyelles… Là encore, soyez imaginatifs.

Autre alternative, plus paresseuse et sans doute plus efficace : regrouper tous ses codes d’accès en un seul logiciel. Cela va sans dire, il faudra mettre un mot de passe pour protéger votre précieux coffre-fort. Mettez le paquet sur celui-là en particulier. KessPass Pasword Safe est téléchargeable là.. Cette option vous offre le luxe en matière de sécurité informatique : changer régulièrement vos mots de passe.

HTTPS mon amour

HyperText Transfert Protocol Secure. Un peu compliqué à première vue et trop peu connu du grand public, HTTPS est indispensable pour crypter ses connexions, en particulier quand on utilise un réseau wifi public.

Pour l’illustrer, n’importe quel navigateur équipé du plugin Firefox non officiel Firesheep peut se téléporter sur une page HTTP consultée par un autre ordinateur connecté au même réseau wifi. Le piratage d’un compte Facebook ou Twitter devient enfantin, et il faut veiller à activer dans les paramètres de ses comptes l’automatisation du HTTPS.

Les sites de banques et de paiement en ligne officiels sont automatiquement en HTTPS. Scrutez toujours l’URL avant d’entrer votre numéro de carte pour vous assurer de ne pas vous faire avoir. Même le géant Google, critiquable sur plusieurs points, s’est mis au tout HTTPS. Pour être radical et sûr de naviguer tranquille, le plugin Firefox HTTPS Everywhere est une bonne solution. Autrement, il faudra taper vous-même https à chaque début d’URL, ce qui peut être usant à la longue.

L’artillerie lourde

Vous avez acquis les bons réflexes en sécurité basique, ne divulguez pas vos mots de passe, variés et impossibles à deviner, naviguez en HTTPS, et fermez toutes vos sessions dès que vous vous absentez. C’est mille fois plus que la plupart des gens. Mais peut-être voulez-vous aller encore plus loin.

La première option est de verrouiller l’accès d’une clé USB ou d’un disque dur. Cela se fait très facilement avec des logiciels comme AxCrypt ou TrueCrypt. En revanche, préparez-vous à passer du temps à rentrer à chaque fois un code pour entrer dans vos disques. A utiliser avec une grande parcimonie.

Mais le must reste la stéganographie. Cette branche de la cryptographie permet ni plus ni moins que de déguiser un fichier, par exemple un texte, en un autre fichier, par exemple une image. Très pratique pour « cacher » la vraie nature du message au destinataire d’un mail, il faudra tout de même veiller à se synchroniser avec un même logiciel et une même clé de chiffrement pour que la communication puisse se faire. Autrement, la stéganographie est très utile pour planquer l’air de rien ses fichiers sensibles. Petit florilège ici pour terminer.