Gérer les mots de passe
Comment gérer les mots de passe qui se multiplient et les règles de sécurité à respecter ? Comment les logiciels que nous utilisons manipulent ces mots de passe ? Et comment les configurer pour éviter certaines menaces ?
Nous avons vu que de nombreuses règles de sécurité doivent être prises en compte concernant l’authentification par mot de passe.
Dans cette unité, nous allons tenter de répondre à quelques-unes de ces questions et vous donner quelques bonnes pratiques supplémentaires qui permettront de protéger vos mots de passe contre la divulgation.
Gérer les mots de passe qui se multiplient
La multiplication des services sur internet (e-commerce, service public, etc.) fais que nous possédons aujourd’hui une multitude de comptes et de mot de passe associés.
Pour nous aider à gérer ces problématiques, des solutions existent comme nous les découvrirons dans cette unité.
Utilisation des points d’authentification uniques
Pour limiter le nombre de mots de passe, certains services proposent d’utiliser ce qu’on appelle d’un point d’authentification unique, solutions que vous connaissez peut-être sous l’appellation anglaise Single Sign On (SSO).
Le point d’authentification unique est une solution qui permet de centraliser les systèmes d’authentification de plusieurs applications où systèmes d’informations.
Par exemple, lors de la création de votre connexion sur un service de stockage de photos, il vous est proposé d’utiliser votre compte Facebook ou Google (qui sont des points d’authentification très répandus sur internet).
Si vous optez pour cette solution, vous n’aurez pas besoin de créer un compte et surtout un mot de passe pour ce service, il vous suffira d’utiliser le compte du point d’authentification unique.
Bien que cette solution soit pratique, le point d’authentification unique présente 2 contraintes.
Tout d’abord, en quête de découverte du mot de passe du compte utilisé comme point d’authentification unique, toutes les applications qui utilisent cette solution seront, à leur tour, exposées. L’attaquant pourra alors accéder aux différentes données stockées sur ses applications.
Ensuite, il est important de noter que ces points d’authentification permettent généralement bien plus que de nous authentifier. il permet aussi de partager des informations entre les services virgules en nous demandant normalement notre consentement.
Par exemple, l’utilisation de Facebook en tant que point d’authentification unique pour une application mobile de course à pied peut impliquer la publication de vos parcours sur le mur Facebook.
Au-delà d’afficher ces informations, les services mettant en œuvre ce point d’authentification unique peut récupérer les informations de tous les services associés au compte, les analyser pour s’en servir à des fins commerciales ou bien les revendre à d’autres services.
Avant de les utiliser, il faut donc lire les conditions générales d’utilisation et faire attention à ce qu’elles impliquent. Si vous ne trouvez pas les conditions précédentes, n’utilisez pas les services du ou des distribution(s) en question.
Utiliser un coffre-fort de mot de passe
Vous avez encore trop de mots de passe à retenir malgré l’utilisation des points d’authentification ?
Comment conserver tous les mots de passe sans remettre en cause les différentes règles de sécurité vu dans les unités précédentes ?
Une solution consiste à utiliser des coffres-forts de mot de passe. Les coffres-forts de mots de passe sont des logiciels spécialisés dans la gestion de mot de passe. Ils permettent de centraliser le stockage de tous ses mots de passe dans une base de données dont le contenu est chiffré (contrairement à un simple fichier stocké sur son ordinateur).
En cas de perte ou de vol, personne ne peut accéder aux mots de passe, car la base est protégée par un mécanisme qui la rend illisible lorsqu’on ne l’utilisent pas.
Au-delà de la sécurisation des mots de passe, les logiciels permettent également de générer des mots de passe robustes. Ils sont véritablement conçus pour gérer les mots de passe. La base de données chiffrées peut être conservée sur un support numérique : disque dur d’un ordinateur, disque dur externe, clé USB pour la transporter, ainsi que sur une application mobile.
Le coffre-fort numérique a donc l’avantage de permettre de ne plus avoir à retenir ses mots de passe, et celui de renforcer leur robustesse dans leur choix mais il présente l’inconvénient de ne pas être accessible à tout moment, puisqu’il faut un équipement informatique pour le lire (ordinateur, téléphone mobile).
Il est également important de sauvegarder son coffre-fort sur plusieurs supports numériques, en quête de panne de matériel ou de problèmes logiciel, le risque est de perdre tous les mots de passe en une seule fois.
Attention aussi de n’utiliser le coffre-fort que sur les équipements de confiance, sinon un virus installé pourrait lire les données du coffre-fort après son déverrouillage.
Configurer les logiciels pour gérer des mots de passe
Pour accéder à un service où sont stocker des informations potentiellement importantes (par exemple vos courriers électroniques), vous pouvez utiliser un logiciel ou un navigateur internet installé sur votre ordinateur ou bien encore une application installée sur votre téléphone mobile.
Ces logiciels et applications manipulent les mots de passe des comptes et sont chargés de leur transfert. Afin de protéger la confidentialité de vos mots de passe, il est possible de configurer ses logiciels et applications, tout comme il est possible de configurer l’ordinateur ou le téléphone mobile utilisé pour y accéder.
Accéder à ses e-mails en utilisant un logiciel
Pour accéder à ses e-mails depuis son ordinateur en utilisant un logiciel de gestion des e-mails (appelé aussi client mail, tel que même Mozilla Thunderbird ou Microsoft Outlook par exemple), il est nécessaire de fournir le mot de passe de sa messagerie.
Il est alors préférable, lors de la configuration, de ne pas cocher les cases demandant au client mail de le mémoriser. En effet, il est généralement peu protégé et peut ensuite être facilement voler par un virus ou par un individu qui accèderait brièvement un autre ordinateur (par attaque indirecte comme nous l’avons vu dans l’unité 2).
Accéder à ses e-mails en utilisant un navigateur
De manière similaire, pour l’authentification auprès d’un service internet en utilisant un navigateur, nous entrons notre identifiant et notre mot de passe dans un formulaire d’authentification.
Lors de cette étape, la plupart des navigateurs (Internet Explorer, Edge, Firefox, chrome, etc.) propose de mémoriser ces informations pour remplir automatiquement le formulaire d’authentification et éviter ainsi de le faire la prochaine fois.
Il est par conséquent préférable de refuser cette mémorisation en particulier sur un ordinateur partagé entre plusieurs utilisateurs.
Notez toutefois que si vous tenez à utiliser cette fonctionnalité, certains navigateurs offrent la possibilité de protéger des mots de passe stockés par le paramètre d’un mot de passe principal qui sera demandé lors du pré-remplissage automatique la formulaire d’authentification.
Tout comme pour les coffres-forts de mot de passe, un tel mot de passe doit être suffisamment fort pour ne pas être trouvé par les attaquants.
Accéder à un ordinateur
Pour accéder à un ordinateur personnel (c’est-à-dire ouvrir une session utilisateur) il est possible et préférable de configurer des comptes avec un mot de passe.
Il existe 2 types de comptes, le compte administrateur et le compte utilisateur.
Le compte administrateur qui permet d’accéder à toutes les fonctionnalités et données stockées de l’ordinateur, et de créer des comptes d’utilisateur (non-administrateur) qui dispose de droits restreints.
Pour éviter une prise de contrôle de l’ordinateur par un logiciel malveillant, il est important d’utiliser un compte utilisateur restreint pour l’utilisation quotidienne de l’ordinateur, et de paramétrer un mot de passe fort pour le compte administrateur.
Dans le cadre d’une utilisation par plusieurs membres de la famille, il est également préférable de créer un compte avec un mot de passe personnel par membre. Cela permet de gérer les droits en fonction des besoins d’utilisation, pour restreindre l’accès à des données ainsi que l’installation où l’exécution de logiciels.
L’utilisation de l’ordinateur avec un compte restreint et nominatif permet également d’éviter de contaminer d’autres comptes présents sur le même ordinateur, en cas d’attaque.
Accéder à son téléphone mobile
Les téléphones mobiles contiennent de plus en plus d’informations personnelles.
Un nombre croissant d’applications installées permettent d’accéder à des services sur internet grâce au réseau mobile de plus en plus performants. Ces applications peuvent stocker localement des informations pour augmenter encore leurs performances en évitant l’utilisation du réseau.
Une application bancaire peut par exemple stocker l’historique de vos opérations bancaires directement sur le téléphone.
Certaines applications, pour faciliter l’accès, ne demande pas une authentification systématique, elle conserve alors localement un jeton d’authentification. C’est souvent le cas des applications des réseaux sociaux.
Afin d’éviter que n’importe qui puisse accéder à ses informations personnelles, il est important de protéger l’accès du téléphone mobile dans un verrouillage automatique au bout de quelques minutes sans utilisation et une authentification pour le déverrouiller.
En fonction du modèle et du système d’exploitation, il est possible d’utiliser un code de 4 à 6 chiffres, un mot de passe, l’empreinte d’un doigt, une figure géométrique reliant des points entre eux, etc.
Attention, l’authentification de déverrouillage du téléphone mobile est indépendante du code pin de déverrouillage de la carte SIM (carte fournie par votre opérateur téléphonique et à insérer dans le téléphone°. Les 2 sont complémentaires et doivent être différents.
Transmettre des mots de passe sur le réseau
Nous venons de voir qu’il est possible de protéger vos authentifications de certains risques en configurant vos logiciels et matériels.
Nous allons conclure cette unité avec : de contrôle à effectuer pour protéger vos authentifications et données sensibles d’éventuelles interceptions.
Pour cela, il est d’abord nécessaire de comprendre que lorsque vous envoyez des e-mails ou que vous naviguer sur internet, vos logiciels de messagerie et de navigation communiquent via internet avec des machines appelées serveurs.
Nous reviendrons plus en détail, sur le fonctionnement d’Internet et la notion de serveur lors du prochain module, retenez néanmoins pour le moment que lorsque vous vous authentifiez, votre mot de passe transitent sur le réseau parce que l’on appelle un protocole et que ce protocole peut être sécurisé ou non.
Il existe beaucoup de protocoles et Internet ne se résume pas à de la notification web ou de la messagerie.
Néanmoins, ce agissant de ces 2 usage principaux, les : de contrôle que nous allons évoquer ici vise à vérifier que les protocoles dédiés à ces usage sont sécurisés.
Pour la navigation internet tout d’abord, un moyen assez simple et assez efficace et de repérée le caractère « S » on suffixe du nom du protocole utilisé. Ce « S »signifie « sécurisé ». même si dans les faits, c’est un peu plus compliqué que cela, cet élément est déjà un bon début.
Dans la barre d’adresse de votre navigateur, http, signifie que l’échange n’est pas sécurisé (ma session de navigation et toutes les données saisies où affichés peuvent être interceptées facilement, et https signifie qu’il est protégé en confidentialité (les données ne peuvent être interceptées) et intégrité (les échanges ne peuvent être altérés).
Si vous devez saisir vos identifiant et mot de passe, et accéder à des données sensibles, assurez-vous donc au préalable d’être connecter en https.
De la même façon avec votre messagerie, ce sont des protocoles IMAP et SMTP qui doivent être sécurisés et donc apparaître avec un « S » pour assurer que vos échanges sont sécurisés et que vos emails ne pourront être intercepté facilement. penser à vérifier que les paramètres de messagerie que les protocoles utilisés sont bien IMAPS et SMTPS.
Dans certains logiciels, l’option s’appelle SSL, TLS ou STARTTLS.