Skip to content

Sécurité dans le cloud… ben voyons…

February 22, 2017

Aujourd’hui, c’est le cloud… sinon rien…

Même pour les mots de passe… C’est certainement là qu’ils sont le mieux protégé! Qui pourrait trouver votre mot de passe de passe dans la vapeur laiteuse d’un nuage qui s’apparente tellement au fog anglais?

En fait, tous ceux qui, comme moi, ont approché de près ou de loin (en ce qui me concerne: de loin) la sécurité informatique vous le diront: les mots de passe sont tous cryptés à l’aide de l’algorithme SHA-1 (ou, sinon, l’algorithme MD5 même si c’est moins bien). Et pourquoi donc ceux-là et par triple-DES ou Blowfish?

Et pourquoi le pas utiliser l’algorithme du poisson de lune (blowfish) alors qu’il a un nom plutôt joli (contrairement aux autres)? Pour une raison assez simple: dans le monde de l’informatique, il y a 2 types de cryptage: “one-way” (on parle de fonction de hachage cryptographique) et le type “two-way”, c’est à dire capable de dé-crypter l’information.

Dans le cas d’un mot de passe, on se moque de décrypter ce dernier. Au contraire, un bon mot de passe est stocké sur un serveur de manière crypté de manière à ce qu’on ne puisse pas le décrypter. Imaginez une serrure avec une clé: la clé doit pouvoir faire fonctionner la serrure, mais on doit éviter de pouvoir reproduire la clé.

Cela signifie quoi? Que chaque fois que vous signalez à un site WEB que vous avez perdu votre mot de passe et que celui-ci vous renvoie l’ancien mot de passe plutôt que d’en générer un nouveau, vous ne devez pas avoir confiance dans la sécurité du site: soit le mot de passe est stocké en clair soit il est crypté mais décryptable (donc potentiellement, un pirate informatique peut retrouver le mot de passe sans pour autant être de la NSA).

Que penser des sites qui vous promettent la sécurité? L’exemple qui me vient à l’esprit est Bankin’ (je vous ai mis l’adresse WEB). Sur la page de garde, ils promettent une sécurité ABSOLUE: “Serveurs sécurisés, surveillés 7/7 24/24, vérifiés quotidiennement par Norton Secured. Aucune transaction possible sur Bankin’ et un système d’alerte qui sécurise vos finances.” Il précisent même: “Aux normes sécurité du PCI Security Standards Council, comme les institutions financières, avec les connexions aux banques gérées par un consortium bancaire” (c’était en 2015 lors du lancement).

C’est sérieux, non? Ma foi, oui… En lisant les articles de presse, on en est persuadé: https://bankin.com/press. Et oui, ils ont pignon sur rue avec AXA assurances qui les chaperonne. Quel est le principe du site? Donner accès à vos comptes bancaires afin que le site vous facilite la gestion de celui-ci. Très bonne initiative. Sauf que, pour se connecter aux sites bancaires, ils doivent conserver les identifiants et mots de passe de leur clients (et donc de VOS comptes bancaires).

Je décode leur charabia: Tout d’abord le PCI Security Standard Council, c’est quoi? “The PCI Security Standards Council (the “Council”) provides a variety of tools, questionnaires, guidance, FAQs, training resources and other materials and information to assist organizations seeking to achieve compliance with its standards (the “Standards”). Third party products and services are also available, but the Council does not endorse or recommend any such third party products or services, and advises all organizations seeking to achieve compliance to become familiar with the Standards and related requirements before purchasing third party products or services. Ultimately, all applicable requirements must be met in order to achieve compliance, regardless of whether or what third party products or services are used.” En français simplifié: grosso modo, c’est un forum de discussion entre professionnels qui ne garantit en aucun cas les produits et services (j’ai souligné dans le texte). Il est intéressant de voir le board of directors.

Mais passons. La sécurité, c’est avant tout une histoire de confiance. Quand les sites avouent avoir été piratés, comment voulez-vous qu’on les croient sérieux? Yahoo et ses millions de comptes. Sans parler des sites de rencontres extra-conjugales! Est-ce que vous iriez jusqu’à mettre votre adresse e-mail dessus? Sérieusement?

Bref, tout est piratable. Bien sûr des entreprises comme Facebook ont vraiment intérêt à protéger les données confidentielles de leurs clients. Malgré cela, personne n’est à l’abri. Quels conseils puis-je donner?

Choisissez un mot de passe (ou une phrase comme: “Mon dromadaire aime les bananes”) assez compliqué mais que vous retiendrez. Un mot de passe différent par messagerie (une fois la messagerie piratée, vous êtes foutu).

Un mot de passe à part pour Facebook (voire même, une adresse différente de votre adresse officielle).

Et un mot de passe commun pour les sites dont vous n’avez cure. La plupart des sites que vous possédez peuvent être piratés. Ce n’est pas très grave.

Ne laissez pas vos numéros de cartes bancaires sur les sites de vente en ligne. C’est le risque maximal. Ni sur votre navigateur Google, le numéro est transmis sur leur serveur. À ce propos, j’ai appris que les mots de passes tapés dans le navigateur et que vous avez demandé à sauvegarder sont stockés non pas sur votre machine mais aux Etats-Unis, chez Google.

Voilà. N’hésitez-pas à me poser des questions si vous avez des doutes, je pense que j’écrirai d’autres articles sur la sécurité.

Advertisements

From → Other

Leave a Comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: