tux-secuAvec l'explosion d'internet nous avons commencé à mettre de plus en plus d'informations en ligne. Sites marchands, établissements financiers, réseaux sociaux, forums et boites mails ne sont que des exemples d'endroits sur lesquels nous laissons une empreinte numérique. Et pour tout cela l'unique protection qui nous est proposée est le bon vieux couple identifiant/mot de passe[1].
Seulement voila, avec la multiplication des mots de passe nous sommes tentés de prendre des raccourcis dangereux en matière de sécurité.

Ainsi, moi comme beaucoup d'autres, j'ai été tenté par les solutions de simplification dans la gestion des accès à mes informations numériques. Je n'avais que 3 ou 4 mots de passes différents que je mettais sur tous les sites, car il faut bien le reconnaitre, se souvenir de plus était difficile pour moi. L'autre travers dans le quel je étais tombé était d'utiliser les fonctions d'enregistrements des mots de passe proposées par les navigateurs ... ouais je sais ...

Toutefois, suite à l'écoute de l'histoire du piratage des comptes de Mat Honan dans l'excellent podcast "Le Rendez-vous Tech" n°93, je me suis (enfin) rendu compte que non seulement mes comptes étaient pas mal vulnérables mais en plus que les conséquences d'un piratage pouvaient être vraiment désagréables[2].
J'ai donc décidé d'augmenter le niveau de sécurité de ma vie numérique mais avec une idée en tête, conserver un maximum de souplesse d'utilisation.

La première étape dans la sécurisation de mes comptes a été de faire appel à un gestionnaire de mots de passe. Dans le cadre professionnel j'utilisais keepass. Bien que keepass soit excellent, j'ai voulu tester lastpass. Je dois avouer que je suis très satisfait de la simplicité qu'offre cette solution tout en augmentant considérablement le niveau de sécurité.
Quel est le principe ? C'est très simple. On part du fait qu'il faudrait un mot de passe très compliqué et différent pour chacun des sites sur lequel on crée un compte. Mais comme il serait très difficile de s'en souvenir, on passerait notre temps avec la procédure de mot de passe perdu. L'idée avec lastpass est de créer un compte chez eux, d'y mettre un mot de passe fort dont on se souviendra et ensuite laisser lastpass se souvenir des autres mots de passe pour vous.
J'ai donc créé un compte chez lastpass puis j'ai téléchargé le plugin pour firefox et chrome. Le programme vous invite à importer les mots de passe stockés dans les navigateurs de sorte que ce soit à présent lastpass qui gère cette partie. Puis, vient la partie un peu longue qui consiste à faire le tour des sites pour changer les mots de passe. J'ai opté pour des mots de passe auto-générés de 25 caractères avec caractères spéciaux. Là encore, on est guidé par lastpass il est très facile de changer et sauvegarder les mots de passe des différents sites. Une fois ce travail rébarbatif effectué, la navigation n'est pas plus compliquée qu'avant. On va sur son site marchand, on clique sur connexion et lastpass remplit les champs pour vous. Pour certains sites "sensibles", il est possible d'indiquer à lastpass de d'abord demander le mot de passe principal avant de compléter les champs de login et password.

Étant donné que je suis un utilisateur d'Android, mon compte google a une vraie importance pour moi. J'ai donc décidé de mettre en œuvre la validation en deux étapes. Cette technique consiste utiliser deux facteurs d'authentification. Dans la pratique lorsque vous voulez vous connecter sur votre compte google, vous devez saisir votre mot de passe habituel[3] plus un code qui vous a été envoyé via sms par google (ou via le Google authenticator[4]). C'est un peu plus long mais vraiment plus sûr. D'autant qu'en plus il vous est possible de définir certains ordinateurs comme étant sûr et depuis lesquels Google ne demandera pas le second code. Toutefois attention, cette méthode est disponible sur les services web de Google, mais lorsque l'on utilise ces services au travers d'applications tierces, ce mécanisme, qui n'avait pas été prévu à l'origine, ne fonctionne pas ( y compris le compte google sur les téléphones Android [sic] ). Google propose alors de générer un mot de passe fort (qui ne sera visible qu'une seule fois) a destination de ces applications. Il faut alors générer un mot de passe, le saisir dans l'application et demander à cette dernière de se souvenir du mot de passe. Là encore ça prend un peu de temps mais rien d'insurmontable.

Si l'on étudie ces nouveaux outils, ils augmentent certes la sécurité si l'on considère chaque compte de manière individuelle, mais de manière globale lastpass représente un gros "SPOF"[5]. Le problème des gestionnaires de mots de passe est que l'on centralise tous les mots de passe au même endroit. C'est presque pire que de tous les noter sur un calepin puisque dans notre cas c'est en plus accessible depuis le net. Alors certes lastpass ne stocke pas les mots de passe en clair, ils sont chiffrés et le seul moyen de les déchiffrer est de connaître le mot de passe principal ( [sic] ). Ok, donc il suffit à un pirate de cracker un seul de vos mots de passe, le plus important, pour avoir accès à toute votre vie numérique... Pas si génial finalement.
Alors, que faire ? Revenir à 3 ou 4 mots de passe que l'on met partout ? Non. Lastpass permet lui aussi de mettre en œuvre une authentification à deux facteurs via l'utilisation d'une Yubikey.
Yubikey est un produit de la société Yubico qui se présente sous la forme d'une clé USB muni d'un bouton. Elle se comporte comme un clavier à une seule touche. Une pression sur cette touche envoie sur l'entrée standard un mot de passe à usage unique. Une fois ajoutée à lastpass, il faudra saisir le mot de passe principal puis appuyer sur le bouton de la clé USB pour être authentifié sur lastpass. C'est bien mieux là déjà non ?

Pour résumer, effectuer ces opérations n'est pas réellement à la porté de tout le monde[6] mais c'est je pense vraiment nécessaire si l'on souhaite bénéficier d'un niveau de sécurité correct sur le net. La sécurité a du mal à faire écho auprès des entreprises et c'est pire pour le grand public. Pourtant, on a pu voir avec l'histoire de M. Honan que le risque existe et que les conséquences peuvent être vraiment désagréables. Alors je ne suis pas dupe, il existe des failles dans tous les systèmes et même avec les nouvelles solutions que j'ai mis en place je reste vulnérable. Mais je pense qu'augmenter le niveau de sécurité est toujours une bonne chose et que même si la protection n'est pas complète elle limitera au moins les dégâts.

 

[1] http://fr.wikipedia.org/wiki/Mot_de_passe
[2] Je ne sais pas pourquoi, mais jusqu'alors j'avais l'impression qu'il n'y avait rien de bien important pour moi sur le net... étrange non ?
[3] Dans mot cas un mot de passe de 25 caractères généré par lastpass.
[4] C'est un logiciel que l'on installe sur smartphone et qui donne le code au lieu de recevoir le sms. C'est la solution que j'ai choisie.
[5] Sauf pour le compte google qui dispose d'une authentification à deux facteurs.
[6] Même si ce n'est pas non plus super complexe.