Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Prendre le contrepied des règles de sécurité

Prendre le contrepied des règles de sécurité
2010-04-212013-02-11sécurité physiquefr
Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L'exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l'utilisateur et de...
Publié le 21 Avril 2010 par Christophe Roland dans sécurité physique

Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L'exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l'utilisateur et de lui seul et ne jamais être consigné par écrit... Nombreux sont les utilisateurs qui se plaignent de devoir constituer des mots de passe (un par application) de plus en plus complexes et de ne plus arriver à les retenir ou à les gérer convenablement.

Ces règles qui semblent aller de soi sur le papier sont-elles pour autant efficaces dans la réalité? Faisons nous un instant l'avocat du diable et tentons de remettre en question ces règles.

Il existe des entreprises qui ont pris le parti de ne pas interdire aux utilisateurs de consigner leurs mots de passe par écrit. Ils sont ainsi autorisés à conserver les mots de passe par écrit dans un tiroir verrouillé aussi longtemps que ces mots de passe restent dans les locaux de l'entreprise. Les utilisateurs ont donc plus de facilité à choisir (et à changer régulièrement) des mots de passe longs et complexes. Le risque est donc transféré au niveau de la sécurité physique.

Les mots de passe doivent être complexes. Pour beaucoup un mot de passe complexe ressemble à "0e5C112fM79aa". Mais pour un logiciel comme un keylogger qui tente entre autre chose de capturer les login/mots de passe des utilisateurs sur leur poste de travail, la complexité attire l'attention. En effet, pour un attaquant '0e5C112fM79aa' ressemble plus à un mot de passe que 'La réunion de Jeudi est décalée à 11h30' (pourtant bon candidat pour un mot de passe : long, majuscules, minuscules, caractères accentués, chiffres ; seuls les espaces peuvent poser problèmes à certaines applications).

Le challenge d'un mot de passe est de rester secret. Or il existe toutes sortes de logiciels (keylogger...) dont le but est de capturer ces précieuses informations. Que se passerait-il si mon mot de passe était sauvegardé dans un coffre-fort de mots de passe ou, solution encore plus dégradée, dans mon navigateur? En cas de perte/vol du matériel, son nouveau propriétaire aura tout ce qu'il lui faut pour accéder à mes applications (ex: mon webmail). Mais après tout, si je m'aperçois du vol de mon PC portable, j'ai peut être suffisamment de temps pour changer mes mots de passe depuis un autre poste (ou de verrouiller l'accès à mes applicatifs en proposant N fois un mot de passe erroné. Parons à l'urgence, on verra plus tard pour obtenir un nouveau mot de passe). Bref, mon mot de passe étant sauvegardé, tout ce que le keylogger pourra observer, c'est le mot de passe d'accès au coffre-fort et non celui de mes applicatifs.

Une fois de plus, preuve est faite que la sécurité absolue n'existe pas. Il est primordial de s'intéresser au contexte et à la culture propre à chaque entreprise pour trouver 'une' bonne solution. Authentification forte multi-facteurs, coffre-fort de mots de passe, règles d'usages... les éléments de solutions ne manquent pas et certaines pratiques sont loin d'être à dénigrer.

3 Commentaires

  • 29 Avril 2010
    2010-04-29
    par
    Philippe Guarnieri
    "Une fois de plus, preuve est faite que la sécurité absolue n'existe pas. Il est primordial de s'intéresser au contexte et à la culture propre à chaque entreprise pour trouver 'une' bonne solution."

    Tout à fait d'accord ... culture d'entreprise, contexte d'utilisation, deux expressions maître dont les responsables de la sécurité de 'l'information ( et non seulement informatique) devraient plus souvent tenir compte ...

    Très bon article !
  • 28 Avril 2010
    2010-04-29
    par
    Il faut développer le single sign on (un seul compte donne accès à toutes les applications), et expliquer aux utilisateurs quelques méthodes pour créer un mot de passe un peu sérieux, et dont il puisse se souvenir.
    J'avais expliqué à un utilisateur, prendre une phrase de son penseur préféré, et garder la première lettre de chaque mot, donc la phrase "les veuves vivent plus longtemps que leurs maris" (JP Raffarin) donne un mot de passe presque décent. Mélanger les majuscules et les minuscules, ajouter quelques chiffres et caractères spéciaux et voilà !

    Je me souviens d'une entreprise où quand les mots de passe sont passés de 4 à 6 caractères, un utilisateur a changé devant moi son mot de passe, ancien aaaa, nouveau aaaaaa.
    D'autres avaient un post-it collé sur l'écran avec le mot de passe écrit...
  • 20 Novembre 2009
    2010-04-29
    par
    Je partage l'avis que la sécurité physique est une meilleure barrière pour faire face aux attaques aveugles d'outils offshore.

    Une fois ce détail réglé, il est plus facile d'identifier en interne qui a accédé à une armoire, un bureau.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage