Spécial sécurité : comment écrire ses mots de passe sur Post'it en deux leçons

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur les bonnes pratiques en matière d'attribution de mots de passe aux utilisateurs. Avant de s'offusquer de la pudibonderie d'Apple.

Sommaire :

- 1 - J’apprends à écrire mes mots de passe sur Post’it

- 2 - Apple : penses pas, c’est pour ton bien ! 

1) J’apprends à écrire mes mots de passe sur Post’it 

En matière de gestion des mots de passe, les bonnes pratiques stériles et les « conseils avisés » stupides sont légion. Et le plus dangereux d’entre eux consiste à interdire aux utilisateurs d’écrire leurs mots de passe sur un morceau de papier. Cet interdit entraîne deux conséquences. Dans un cas, les administrés respectent cette consigne et utilisent systématiquement le même sésame pour toutes les applications ou demandes d’accès, professionnelles comme privées. Il suffit qu’un seul de ces secrets soit percé pour que l’intégralité des droits de l’usager soient compromis, et avec lui, le contenu des ressources sur lesquelles l’intéressé avait un droit de regard. Dans l’autre cas, l’utilisateur écrit quand même son mot de passe sur un morceau de papier, en intégralité, et le conserve le plus souvent dans un endroit facile d’accès : sur le bord d’un écran, l’intérieur d’un tiroir, sous ou sur le clavier, noyé parmi les mille et une notes d’un sous-main en papier, sur un tapis de souris… chaque Ciso ou RSSI peut, à ce sujet, raconter des heures durant les histoires fabuleuses du mot de passe baladeur.

F-Secure, cette semaine, offre aux lecteurs de son blog un conseil judicieux. Conseil qui n’est jamais que l’adaptation d’une pratique déjà prônée par Bruce Schneier depuis plus de 10 ans (dans un numéro de Crypto-gram datant d’avant la création de Counterpane… c’est dire !). La méthode est simple, puisqu’elle consiste à attribuer un préfixe différent au mot de passe à chaque type d’accès et caractéristique de l’accès en question : AMA pour Amazon, ORA pour Oracle, MSN pour Messenger, TEC pour Technet et ainsi de suite, l’usager pouvant bien entendu combiner lettres majuscules et minuscules à sa convenance.

A la suite de ce préfixe, il suffit d’ajouter un numéro unique. Un chiffre au hasard ou une suite connue mais variée. Même les plus amnésiques n’auront cure de le retenir, puisque le but est de voir ce mot de passe écrit sur un papier collé en évidence près de l’ordinateur de travail ou conservé dans un fichier. Et là s’arrête la fabrication de la « partie publique » du mot de passe. Car la véritable clef devra être complétée par un « code PIN » secret, toujours identique, jamais écrit et connu du seul utilisateur. N3rD+ ! par exemple. Ou g33k**… bref, quelque chose de mnémotechnique, d’absent de tout bon dictionnaire d’attaque en brute force et de légèrement « complexe ». Ajoutée en fin ou au milieu du mot de passe, cette sorte de « clef privée » achèvera la fabrication du mot de passe final.

Schneier, pour sa part, et dans des cas précis, ouvre une boîte de messagerie spécifique à chaque nouvelle création de crédence publique, dont l’adresse respecte plus ou moins la même logique. Ama.cnis-mag@gmail. Com pour un compte Amazon, par exemple. Cette précaution supplémentaire permet de détecter immédiatement, en cas de spam massif, l’origine de la fuite d’identité.

Cette méthode est très loin d’être parfaite. Le « cassage » du code PIN – surtout si la « partie publique » du mot de passe est affichée de manière évident e- est d’autant plus rapide que ledit PIN est court. Ce risque s’affaiblit considérablement si les mots de passe partiels sont stockés sur une clef USB attachée à un trousseau de clefs ou inscrits sur une feuille contenue dans un porte-carte. Instinctivement, l’on préserve en permanence des biens matériels tels que les clefs d’une automobile ou une série de carte de crédit.

Même si cette technique est loin d’arriver à la cheville des générateurs de mots de passe aléatoires « certifiés DoD », elle s’avère considérablement plus robuste que l’éternel nom d’un membre de la famille, d’un club de football ou de l’éternel « aaa », « AZERTYUIOP » ou « 123456 ». Rappelons également que Bruce Schneier – encore lui - est l’auteur de Password Safe, un utilitaire Open Source et gratuit, inviolable dans l’état actuel des connaissances en cryptologie et dont le rôle est précisément de stocker les mots de passe classés par application. Une dernière solution consiste à « faire confiance » à ces coffres forts de crédence que sont les composants TPM, à condition de savoir très exactement comment sauvegarder les éléments nécessaires à la récupération des secrets en cas de panne matérielle.

2) Apple : penses pas, c’est pour ton bien ! 

Le prétexte sécuritaire et la protection de l’enfance, les deux mamelles de l’autocratie, sont parfois invoqués là où on les attend le moins. Apple, relate Boing Boing, vient de rejeter une appliquette iPhone baptisée Eucalyptus, sous prétexte que «  it contains inappropriate sexual content ». Eucalyptus serait donc une couverture masquant une collection d’ouvrages pédopornographiques ? Cacherait-il une incitation manifeste à la zoophilie ?

Non. Le crime est bien plus grave encore. Eucalyptus est un « eBook reader », une interface de visualisation de livres électroniques. Mais pas n’importe laquelle : il est spécifiquement conçu pour afficher les œuvres tombées dans le domaine public et patiemment collectées par le « projet Gutemberg ». Plus de 28 000 œuvres classiques gratuites donc, qui vont de la Bible au Kamasoutra, de la Cousine Bette de Balzac à la Religieuse de Diderot. Autant d’ouvrages où se succèdent de manière insoutenable des séances de coucherie révoltantes que seule la sagesse de la société de Cupertino a su censurer sans ciller, ça c’est sûr. Un public –surtout jeune - qui commencerait à lire le patrimoine littéraire de l’humanité via des téléchargements gratuits serait, par voie de conséquence, profondément perverti, hors la loi et peut-être moins consommateur de ces fondamentaux que sont la musique de variétés et les jeux vidéo commercialisés par les magasins en ligne Apple Store.

Les âmes dévoyées et itinérantes qui persisteraient dans la voie du péché de connaissance peuvent toujours télécharger le lecteur mobipocket compatible avec les terminaux BlackBerry, PalmOS, Symbian, Windows et Windows Mobile. Rappelons à nos lecteurs qu’il est grande forfaiture de « jailbreaker » un iPhone. Signalons également l’existence du lecteur Plucker qui, comble de l’infamie, ne se contente pas de « lire » les formats ebook, mais semble également capable de les générer.

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close