Mais je fais quoi avec tous ces mots de passe ? Partie III
02 oct. 2018 - 11:19,
Tribune
- Cédric CartauAprès, on trouve tous les services dont la perte ou la compromission n’entraîne que des risques mineurs et qui ne constituent pas des cibles : si je me fais chiper mon compte d’accès à YouTube, il n’y aura pas mort d’homme. Évidemment, pour celui qui a une chaîne YouTube dont il tire l’essentiel de ses revenus, c’est une autre histoire.
J’ai gardé le plus sensible pour la fin : les comptes mail (sous réserve de ne pas avoir de double authentification) ou de gestion de domaine chez un registrar(Gandi, Ovh, etc.). Ce sont, de très loin, les plus sensibles dans la mesure où les adresses mail constituent le premier vecteur de recouvrement des autres comptes et que l’accès à la plateforme de gestion d’un nom de domaine permet de forcer le changement d’un MDP d’un compte mail. Donc : mot de passe supérieur à 20 caractères et qui respecte l’état de l’art, pas de stockage Cloud, stockage sécurisé, etc. Idem pour les coffres-forts. Et j’allais oublier : le mot de passe d’accès à Dropbox, évitez de le stocker dans Dropbox : en cas de perte, ce serait le serpent qui tenterait de se mordre l’avant-bras.
En résumé, nous pouvons lister les grandes solutions de stockage suivantes :
- en local chiffré avec sauvegarde délocalisée pour tout ce qui est hautement sensible en termes de confidentialité, au détriment de la disponibilité ;
- en mode Cloud et chiffré (Dashlane ou KeePass sur Dropbox) pour le « commun » qui est moins sensible en termes de confidentialité mais avec un fort besoin de disponibilité ; notons tout de même que KeePass n’est pas accessible à partir d’un smartphone et que, en cas de besoin d’accès depuis votre lieu de villégiature, il faudra trouver un PC, installer un client local, etc. ;
- sur un support non sécurisé pour le divers non sensible à accès immédiat : code de valise, etc.
Une petite précision : en termes de couverture de risques, l’intérêt d’un KeePass sur un compte Dropbox est la prise en compte des sauvegardes ; un KeePass en local fait l’affaire du moment que l’on dispose de sauvegardes régulières (et bien entendu externalisées), ce qui complique pas mal le problème.
Globalement, ces réflexions engendrent immanquablement des débats enflammés. Pour analogie, il y a quelques années, les recommandations concernant les mots de passe préconisaient d’en changer régulièrement, point sur lequel certains RSSI (dont votre serviteur) étaient dubitatifs : s’il s’agit de changer la dernière lettre tous les trois mois en tournant sur cinq lettres, quel intérêt ? Un ingénieur système de mes collègues stocke tous les mots de passe (privés) de sa petite famille sur un Dashlane avec synchronisation : son argument consiste à dire que le risque de perte est plus élevé que le risque de compromission, et donc qu’il accepte le risque résiduel de compromission. Risque qu’il estime faible du fait que Dashlane est français, hébergé en France, etc. : pour rien au monde il n’irait utiliser LastPass (américain). Et concernant le débat ci-dessus autour des codes d’accès bancaires, les systèmes de sécurité à double authentification SMS lui conviennent. En fait, les solutions adoptées sont très personnelles : l’utilisation d’un KeePass local avec sauvegarde automatique sur le Cloud par script bash à partir d’un Mac est accessible à un informaticien, mais certainement pas à ma grand-mère !
Sinon, pour ceux qui ont l’humeur joueuse, il y a aussi la bonne vieille méthode de La Lettre voléed’Edgar Poe, dans lequel l’un des personnages insère la fameuse lettre… tout simplement au milieu du fatras de papiers de son bureau, quand tout le monde pense qu’il l’a mise dans son coffre-fort mural. La technique est plus compliquée à l’ère informatique puisque les moteurs de recherche sont capables de trouver des couples ID/MDP au milieu de milliers de répertoires, mais, ce qui est sûr, c’est qu’un fichier avec l’extension KeePass va forcément attirer les envieux… en tout cas plus qu’un bête .txtau beau milieu de vos répertoires.
La bonne nouvelle, c’est que les mesures de sécurisation des comptes d’accès aux plateformes financières sont devenues tellement draconiennes que bientôt on ne se posera même plus la question de savoir si le stockage Cloud sécurisé est adapté : il le sera. En revanche, le risque de compromission de données personnelles à d’autres fins (notamment l’usurpation) est réel, et là, à part le stockage local, on n’a pas grand-chose pour le moment. Et surtout, le jour où l’on vous subtilise votre téléphone portable, attention danger !
Dernier point : cet article ne décrit que des situations classiques. Si vous êtes à l’autre bout du monde, sans accès GSM ni réseau, ni à un PC et que vous avez perdu votre code de carte bancaire, aucune des solutions décrites ne convient. Si vous êtes RSSI d’un ministère régalien avec un accès à des informations classifiées, idem. Et pas seulement : pour un ingénieur système œuvrant pour une entreprise sensible et en télétravail deux jours par semaine, la première catégorie d’accès informatique local est critique en termes de confidentialité : c’est certainement là que les barbouzes iront creuser. Bref, la bonne démarche consiste simplement à se poser la question : contre quel type de risque souhaitons-nous nous prémunir ?