Connexion
Abonnez-vous

L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique

Non, 123456789 n'est toujours pas un bon mot de passe

L'ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique

Le 24 mars 2015 à 09h45

La sécurité informatique est parfois trop prise à la légère par certains, avec toutes les conséquences désastreuses que cela peut avoir. Afin de limiter les dégâts et de prodiguer quelques conseils, l'ANSSI et la CGPME ont publié un guide des bonnes pratiques de la sécurité informatique. Une première approche intéressante, mais est-ce suffisant ?

Selon un rapport de l'éditeur GFI, l'année 2014 a été relativement épouvantable pour la sécurité informatique avec plus de 7 000 failles identifiées, contre un peu moins de 4 800 l'année précédente. Pour début 2015, la situation ne s'améliore pas vraiment avec, par exemple, Adobe, plusieurs banques (Carbanak), l'affaire Gemalto, Labio.fr, Lenovo et Microsoft qui ont été victimes de pirates informatiques aux cours des dernières semaines. Selon les cas, cela se traduit parfois par des vols de données, une demande de rançon et la publication d'informations confidentielles, telles que des bilans d'analyses médicales.

Face à cela, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a décidé de s'associer avec la Confédération générale des petites et moyennes entreprises la (CGPME) afin de proposer « un guide des bonnes pratiques de l'informatique ». L'agence rappelle en effet que, « quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité ». 

Premières règles : un mot de passe robuste et des logiciels à jour

Premier élément abordé : l'incontournable mot de passe. Sur ce point, le guide recommande d'en choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ». Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter un piratage en série en cas de fuite. Mais l'ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».

Vient ensuite la mise à jour des logiciels... un point que nous avons souvent évoqué lors de l'annonce de failles sur les navigateurs, ou bien avec le cas particulier de SynoLocker. Pour rappel, des pirates exploitaient des failles sur une vieille version du Disk Station Manager (DSM) afin de prendre possession du NAS et chiffrer les données qui y étaient stockées. Ils demandaient alors une rançon afin de vous donner la clé de déchiffrement.

Mot de passe clé ordinateur
Crédits : koya79/iStock/Thinkstock

« Configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles » indique le guide. Problème : encore faut-il savoir qu'une mise à jour est disponible, ce qui n'est pas toujours évident pour tout le monde. On pourra par exemple citer le cas d'OpenSSL qui enchaine les versions à un rythme important ces derniers mois. De nombreux logiciels permettent par contre d'être avertis lors de la mise en ligne d'une nouvelle version, pensez à activer et vérifier ce genre de notification lorsque cela est possible. 

Une fois la mise à jour ou le logiciel à télécharger identifié, il faudra privilégier le site officiel de l'éditeur ou bien « d’autres sites de confiance », mais sans plus de précision sur la définition d'un site de confiance, dommage. Il est également recommandé de « penser à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires ». Attention par contre car certains jouent avec les mots et/ou la présentation des options pour vous inciter à cliquer au mauvais endroit. N'allez pas trop vite et prenez le temps de bien lire ce qui est écrit avant de valider. Dernier exemple en date : uTorrent et son bouton accepter ou décliner l'offre qui en a trompé plus d'un. Certains ont en effet cliqué sur « Accepter » sans lire précisément de quoi il était question, pensant accepter des conditions générales d'utilisation, mais ce n'est pas le cas.

Du côté de la gestion des comptes, le guide recommande d'éviter autant que possible d'utiliser un compte administrateur lorsque cela n'est pas nécessaire, le but étant de limiter les possibilités des logiciels malveillants qui pourraient être téléchargés par inadvertance. Un compte utilisateur classique sera largement suffisamment pour la plupart des tâches courantes.

La question de la sauvegarde des données, du stockage en ligne et du chiffrement

Il est ensuite question des sauvegardes, un point parfois négligé et qui peut rapidement s'avérer catastrophique en cas de panne matérielle sur un ou plusieurs disques durs par exemple. On rappellera d'ailleurs qu'un RAID ajoute une tolérance de panne, mais ne doit pas être considéré comme solution de sauvegarde. Libre à vous de choisir la méthode qui vous convient le mieux (CD, DVD, disque dur externe, etc.), mais en prenant en compte la durée de vie du support utilisé.

De plus, l'ANSSI précise, à juste titre, qu'il faut de préférence stocker vos sauvegardes « à l’extérieur de l’entreprise pour éviter que la destruction des données d’origine ne s’accompagne de la destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou que la copie de sauvegarde ne soit volée en même temps que l’ordinateur contenant les données d’origine ». Le choix du lieu ne doit pas être pris à la légère pour éviter que les données ne soient volées par des pirates. 

On s'étonne d'ailleurs qu'il ne soit pas question de chiffrement pour les sauvegardes. Ce point n'est en effet évoqué que pour les services de stockage en ligne. Si vous optez pour ce genre de solution, le guide met en garde contre certains risques : confidentialité, disponibilité et intégrité des données, « irréversibilité des contrats » et incertitude sur la localisation de vos fichiers. Sur ce point, HubiC se targue d'héberger ses données en France (voir notre entretien avec Octave Klaba), contrairement à Google Drive, Amazon, Dropbox, etc. Il est aussi possible de passer par un Cloud souverain, bien que la situation de ce dernier ne soit pas au beau fixe (voir notre dossier). 

Le Wi-Fi : « à éviter dans le cadre de l’entreprise »

Vient ensuite la question du Wi-Fi, rapidement tranchée par le guide : « à éviter dans le cadre de l’entreprise ». Si vous souhaitez quand même en profiter, le WEP est à bannir absolument puisqu'un chiffrement de ce type peut être cassé en quelques minutes seulement (voir notre dossier sur le chiffrement). Il faudra donc lui préférer du WPA/WPA2 avec une clé suffisamment longue de « plus de 20 caractères de types différents ». Le guide précise également qu'il faut « vérifier la configuration des fonctions pare-feu/routeur », mais sans donner plus de détails malheureusement. 

Afin d'assurer sa sécurité, le guide recommande de ne pas utiliser « les Wi-Fi « publics » (réseaux offerts dans les gares, les aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité ». En effet, ce genre de lieu est notamment propice à une attaque de type homme du milieu ou bien à la récupération d'information en scannant les données transmises. Le guide ne donne pas de solution de secours, mais la réponse pourrait être de passer par un routeur Wi-Fi 3G/4G permettant de disposer de sa propre connexion, et éventuellement de la partager avec ses collaborateurs. Une solution qui a certes un prix, mais qui peut éviter bien des déboires. À titre d'exemple, un forfait Nomad de Bouygues Telecom avec 6 Go de « Fair use » coûte 14,90 euros par mois.

Smartphones et ordinateurs : attentions aux applications et aux ports USB

On passe sur le mobile, avec une entrée en matière percutante de l'ANSSI et de la CGPME : « bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés ». « N’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer » recommande le guide.

En déplacement, il convient d'être prudent et d'éviter de faire n'importe quoi avec ses ports USB, entre autres, qui peuvent facilement être vecteurs d'infection d'un virus. Le guide donne un exemple parlant : « Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son ordiphone, Charles ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle  très confidentielle de Charles ».

Sur les ordinateurs portables, le guide recommande l'utilisation d'un filtre de protection permettant de limiter les angles de visions, et ainsi les indiscrétions des tiers, d'y coller un signe distinctif (autocollant par exemple) afin d'éviter un échange de machine, de ne pas préenregistrer les mots de passe afin d'éviter toute mésaventure en cas de perte et de désactiver Wi-Fi et Bluetooth lorsqu'ils ne sont pas utilisés. Des consignes strictes que bon nombre de personnes ne respectent pas au quotidien. Une fois de retour de mission, le guide donne un bon conseil :  « changez les mots de passe que vous avez utilisés pendant le voyage », on ne sait jamais.

La bonne vieille attaque par email : toujours se méfier du contenu d'une correspondance

Le guide s'attaque ensuite à un autre vecteur d'attaque important : les emails. Comme on a trop souvent tendance à l'oublier, il rappelle que « l’identité d’un expéditeur n’étant en rien garantie », il est conseillé de vérifier « la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité ». Bien évidemment, « n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts ». On se souvient par exemple du cas du compte Twitter du Monde.

Lors d'une transaction avec un site marchand, il faut également s'assurer que la connexion est bien sécurisée (généralement indiqué par un cadenas vert). Comme nous l'avons déjà évoqué, il faudra également éviter les « hot spots » Wi-Fi publics afin de ne pas subir d'attaques de type homme du milieu, comme avec FREAK. Dans le cas de Heartbleed par contre, il n'y avait pas grand-chose à faire à part différer son achat pour plus de sécurité.

Email Sécurité Chiffrement
Crédits : Melpomenem/iStock/Thinkstock

BYOD : apportez votre machine personnelle, mais attention aux risques

Se pose ensuite l'épineuse question du « AVEC (Apportez Votre Équipement personnel de Communication) ou BYOD (Bring Your Own Device) », qui « est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel ». Le guide explique en effet que « si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur) ».

Pour l'ANSSI, « dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels »... ce qui est tout sauf évident lorsqu'on amène son propre ordinateur au travail et vice-versa. Côté smartphones, BlackBerry misait là-dessus avec BlackBerry OS 10, mais cela n'a pas permis à la société canadienne de sortir la tête de l'eau pour le moment.

La CNIL s'est d'ailleurs récemment penchée sur la question avec « une fiche des bonnes pratiques ». La commission des libertés rappelle que « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ». 

Enfin, dernier point et pas des moindres : « prendre soin de ses informations personnelles, professionnelles et de son identité numérique ». Des pirates peuvent évidemment utiliser les données que vous semez derrière vous afin de tenter de déduire votre mot de passe, ou bien répondre à une question secrète permettant de le changer (prénom de votre mère, ville de naissance, etc.). Le guide recommande également l'utilisation de plusieurs adresses email dédiées à vos différentes activités : « une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux-concours…) ». Une solution peut être de passer par des alias.

Que faire lorsqu'il est trop tard ? 

Dans sa dernière partie, le guide donne enfin quelques conseils lorsque votre machine a un « comportement étrange », pouvant laisser croire à un piratage : « déconnectez la machine du réseau, pour stopper l’attaque. En revanche, maintenez là sous tension et ne la redémarrez pas, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque ». Ensuite, prévenez le responsable informatique ou un prestataire compétent si besoin.

Selon le cas, le guide indique que vous pouvez évidemment déposer une plainte auprès de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication OCLCTIC), de la Brigade d’enquêtes sur les fraudes aux technologies de l’information ou de la Direction centrale du renseignement intérieur.

Par la suite, n'utilisez pas le système compromis, mais « réinstallez complètement le système d’exploitation à partir d’une version saine, supprimez tous les services inutiles, restaurez les données d’après une copie de sauvegarde non compromise, et changez tous les mots de passe du système d’information ». Là encore, l'opération de réinstallation devra être faite sous surveillance pour éviter toute recontamination. Il faudra également s'occuper de tous les périphériques de stockage qui ont pu être branchés sur la machine infectée.

Ces recommandations peuvent-elles remplacer des professionnels de la sécurité ?

Ce guide des bonnes pratiques de l’informatique est l'occasion de rappeler certaines règles de base, mais on regrettera tout de même qu'il n'aille parfois pas plus loin. De plus, il se targue de proposer des solutions « pratiques ; peu coûteuses et faciles à mettre en œuvre permettant de limiter une grande partie des risques liés à l’usage de l’informatique », tandis que Guillaume Poupard, directeur général de l'ANSSI, ajoute que les « mesures accessibles aux non-spécialistes décrites dans ce guide concourent à une protection globale de l’entreprise ».

On peut tout de même se demander s'il ne faudrait pas davantage insister sur la nécessité de généraliser le chiffrement des données, ou sur l'importance d'un service de sécurité informatique de qualité dans certains cas, notamment pour les sociétés disposant de données personnelles hautement confidentielles (données bancaires, analyses médicales, etc.).

Les récentes fuites d'informations en tous genres laisseraient plutôt à penser que si. Contrairement à une partie de ceux qui appliqueront ces règles, les pirates ont généralement une très bonne connaissance des arcanes des systèmes informatiques, de leurs protections et bien évidemment de leurs failles. À tel point d'ailleurs qu'il est extrêmement difficile, voire impossible, de prétendre à une sécurité absolue. Stéphane Richard, PDG d'Orange, avait essayé un temps en signant une charte afin de garantir la sécurité des données, avec le résultat que l'on connait. Idem pour les navigateurs qui tombent chaque année, pourtant dans leurs dernières versions stables.

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oui, « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe », j’espère qu’ils se réfèrent à un tableur ou à un fichier texte.



Autrement, soit on les écrit sur papier (sécurité relative), soit effectivement Keepass et compagnie sont, selon moi, la meilleure solution : un mot de passe fort à retenir, tous les autres mots de passe sont générés aléatoirement.

votre avatar







ColinMaudry a écrit :



Oui, « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe », j’espère qu’ils se réfèrent à un tableur ou à un fichier texte.



Autrement, soit on les écrit sur papier (sécurité relative), soit effectivement Keepass et compagnie sont, selon moi, la meilleure solution : un mot de passe fort à retenir, tous les autres mots de passe sont générés aléatoirement.





Keepass et consorts sont effectivement à éviter.

Ce sont des points de concentration des mdp.



Il est plus facile pour un pirate de s’attaquer à un seul point d’accès (keepass) pour accéder à la totalité des fichiers protégés plutôt que de devoir s’attaquer à chacun des point d’accès pour chaque fichier protégé.



Keepass, c’est la fausse bonne idée qui fragilise la sécurité au final.


votre avatar

Le gros avantage du générateur c’est qu’on n’hésite plus à changer de mdp régulièrement et à utiliser le maximum autorisé par le service.

votre avatar

Ou alors il faut utiliser un mot de passe variable en fonction du site.



Par exemple, on prend la première lettre d’une phrase à retenir : Nextinpact Est Le Meilleur Site Du Monde Entier. Cela donne nelmsdme. On y colle un chiffre et un caractère spécial à la fin comme 62!.

On rajoute au début du mot de passe les deux premières lettres en majuscules du site (NE pour nextinpact, FA pour facebook, GO pour google, …)

Pour NextINpact, le mot de passe donnerai NEnelmsdme62! et ainsi de suite.



Ca demande une gymnastique mentale mais c’est plus facile à retenir que des mots de passe générés aléatoirement. La sécurité est moindre mais meilleure qu’avec un mot de passe unique.

votre avatar

En partant du postulat qu’il n’y pas de sécurité parfaite, Keepass est selon moi très bien. Alors certes c’est un point de concentration. En revanche, le niveau de chiffrement (AES 256 bit) et le MDP long et complexe découragera n’importe qui. A moins que ce ne soit une organisation, mais dans ce cas là, en tant que particulier, j’ai pas les moyens de vraiment m’en protéger.



Deuxièmement, c’est pratique, je peux utiliser ma mémoire pour d’autres choses.



Que proposes-tu ?

votre avatar

Effectivement, je me fais la même remarque :



Comment concilier un mot de passe différent pour chaque site/service et ne pas utiliser de système de gestion des mots de passes ?



Je ne vois pas en quoi le carnet de note, le calepin ou autre feuilles à transporter apporte un supplément de sécurité (risque de perte). Ou alors il y a quelque chose que je n’ai pas compris.



Je veux bien, retenir une dizaine de mdp avec des solutions mémotechniques ça se fait, ça devient vite l’embrouille avec des mdp à changer régulièrement, mais au delà faudrait me proposer une solution, parce que mis à part keepass, dashlane et consort, je ne vois pas ce qui peut être fait de mieux actuellement.

votre avatar







Cacao a écrit :



Je crois surtout qu’il faudrait penser à enterrer définitivement le mot de passe pour quelque chose de plus robuste. De plus en plus de services proposent la double authentification mais d’une, c’est rarement activé par défaut (ex: google), et de deux c’est très loin d’être généralisé.





Si tu penses à la biométrie, tu peux oublier car c’est tout sauf fiable.


votre avatar







js2082 a écrit :



Tu as oublié un point:





  • utiliser des logiciels dont vous avez le contrôle total, notamment sur les données entrantes/sortantes.



    Cette simple pratique suffit à éliminer 95% des programmes



    Un logiciel que tu ne peux pas contrôler ni modifier à ta guise est ou sera forcément un logiciel vérolé ou possédant des backdoors.

    Les exclure est donc une nécessité.





    Et c’est moi qu’on traite de “parano” ^^ … Non, tous les logiciels à source fermée ne sont aps des espions en puissance, faut pas pousser. De plus, rien ne garantie qu’un logiciel à sources ouvertes sera 100% “clean”. Quelques règles que je suis :

  • premièrement, chercher une alternative à un outil (quel que soit cet outil, sources ouvertes ou pas)

  • deuxièmement, faire quelques recherches sur l’éditeur/le développeur

  • troisièmement, toujours récupérer le dit logiciel sur le site/miroir officiel et pas ailleurs

  • quatrièmement, installation personnalisée pour vérifier pas à pas le processus d’intallation (exemple avec ccleaner qui t’installe chrome en loucedé avec l’install par défaut)



    Mais la vraie question est : ai-je besoin de ce logiciel ?


votre avatar







Ramaloke a écrit :



Je ne vois pas en quoi le carnet de note, le calepin ou autre feuilles à transporter apporte un supplément de sécurité (risque de perte). Ou alors il y a quelque chose que je n’ai pas compris.





L’avantage de la sauvegarde physique d’un mot de passe, c’est qu’il n’est pas accessible virtuellement. Mais effectivement ça rajoute une vulnérabilité en cas d’accès physique au mot de passe.



Comme toujours avec la sécurité, rien n’est infaillible, tout dépend des compromis que tu es prêt à faire.


votre avatar

Vu le nombre de petites entreprises informatiques qui installent des solutions low cost autant en matériel logicielles que de compétences sur le sujet… Je ne m inquiète pas sur la pérennité des mauvaises pratiques :

je ne compte pas le nombre de serveurs exchange collés sur une ip fixe d un FAI (au hazard : free) avec un modem par feu… Et une bête redirection de port en direct sur le serveur…

Cool pour monayer une passerelle mail française sur le marché noir :p car le susdit exchange est resté en rtm ou sp1 sans ru :cool:

Ce n est qu un exemple parmis tant d autres.



Edit : avec un user de l AD accessible via cet exchange car il est soit sans mot de passe ou soit un mdp genre admin ou @dm1n


votre avatar

On est bien d’accord. A chaque fois que je vois ça, je ne peux m’empêcher de penser soit au complot, soit à la méconnaissance d’une logique pourtant très simple.

Chaque fois ça me fait repenser au dessin d’XKCD dont tu parle. Et en effet, c’est tellement plus simple à mémoriser pour toi, humain, qui a associé dans sa tête les images sur les quelques mots sélectionnés.

Le lien ici puisque tu ne l’a pas mis <img data-src=" />

votre avatar







iosys a écrit :



je ne compte pas le nombre de serveurs exchange collés sur une ip fixe d un FAI (au hazard : free) avec un modem par feu… Et une bête redirection de port en direct sur le serveur…





Qu’est-ce que tu préconises ?


votre avatar







Gilbert_Gosseyn a écrit :



Et c’est moi qu’on traite de “parano” ^^ … Non, tous les logiciels à source fermée ne sont aps des espions en puissance, faut pas pousser. De plus, rien ne garantie qu’un logiciel à sources ouvertes sera 100% “clean”. Quelques règles que je suis :




  • premièrement, chercher une alternative à un outil (quel que soit cet outil, sources ouvertes ou pas)

  • deuxièmement, faire quelques recherches sur l’éditeur/le développeur

  • troisièmement, toujours récupérer le dit logiciel sur le site/miroir officiel et pas ailleurs

  • quatrièmement, installation personnalisée pour vérifier pas à pas le processus d’intallation (exemple avec ccleaner qui t’installe chrome en loucedé avec l’install par défaut)



    Mais la vraie question est : ai-je besoin de ce logiciel ?





    Si on ne peut pas te contrôler, cela signifie que tu caches quelque chose de louche.

    &nbsp;J’applique la même politique que nos gouvernants à l’égard des citoyens.

    &nbsp;

    Pourquoi donc ne pas faire la même chose aux entreprises?

    Cela devrait même être encore plus la norme à l’égard des entreprises sachant que celles-ci commercialisent ces données dans ton dos.

    &nbsp;

    Bref, il n’y a aucune raison de faire confiance à une entreprise qui refuse de se faire contrôler.

    Les affaires Snowden ont bien démontré qu’on ne peut avoir confiance dans les grandes sociétés telles MS/google/apple.



    On est donc obligé de s’en passer.

    &nbsp;


votre avatar







Bel Iblis a écrit :



“Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d’éviter un piratage en série en cas de fuite. Mais l’ANSSI recommande également de&nbsp;« ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».”



Je viens de regarder, j’ai 160 mots de passe dans ma base keepass.

Alors il faudrait peut-être en sortir que les services les plus sensibles mais bon c’est un investissement d’en apprendre une dizaine de différents et de plus de 12 caractères.





Ma première réflexion en lisant ce guide a été qu’ils sont déconnectés de la réalité du terrain. A cause de ce chapitre. pas le temps de lire le reste en détail tout de suite, mais je suis inquiet. Je doute de la capacité de la plupart des gens de retenir plus de 3 mots de passe respectant leurs contraintes. Et nous vivons tous avec bien plus de 3 “services sensible” (compte pro, email perso principal, impôts et tous les fournisseurs de services de base: banque, énergie, etc.).


votre avatar







js2082 a écrit :



Même une double authentification peut être piratée, voire peut-être même plus facilement, les gens pensant du coup qu’ils sont en sécurité, ils se méfieront moins.





Pardon?


votre avatar







DetunizedGravity a écrit :



Pardon?





<img data-src=" />



Nooon…???

<img data-src=" />


votre avatar



L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique





Un très bon guide totalement inapplicable pour la quasi totalité des gens.



Aujourd’hui, les seuls capables de mettre en oeuvre une (relative) sécurité informatique ce sont les sites/serveurs/éditeurs, et pas les utilisateurs.



On ne peut pas espérer que les utilisateurs retiennent des dizaines de passwords C0Wb0yS, ou qu’ils soient sans arrêt en mode hyper-vigilance paranoiaque.

votre avatar

Cela fait plusieurs commentaires où tu dégommes les solutions proposées sans proposer d’alternative. Je serais curieux de savoir comment tu gères tes mots de passe.

votre avatar







js2082 a écrit :



Keepass et consorts sont effectivement à éviter.

Ce sont des points de concentration des mdp.



Il est plus facile pour un pirate de s’attaquer à un seul point d’accès (keepass) pour accéder à la totalité des fichiers protégés plutôt que de devoir s’attaquer à chacun des point d’accès pour chaque fichier protégé.



Keepass, c’est la fausse bonne idée qui fragilise la sécurité au final.





C’est un faux argument, tant que la sécurité de l’algorithme de Keepass n’est pas compromise. Et aux dernières nouvelles elle ne l’est pas à ma connaissance. Je sais que c’est contre-intuitif mais qu’il n’y ait qu’un seul point d’attaque ne le rend pas par définition plus faible en l’occurrence. Au contraire puisque, n’ayant qu’un seul mot de passe à retenir, je peux le choisir beaucoup plus robuste que si je devais en retenir des dizaines. Et puisqu’il s’agit d’un outil open source réputé et tenu à jour.



Rappels:

* Un “vol” de base Keepass consiste en une copie. Tu es toujours en possession de l’original (faites des backups les gens!), et donc tu gardes la possibilité de changer tes mots de passe.

* Keepass ne dispense pas de l’obligation de changer tes mots de passe régulièrement. Mieux, il facilite grandement leur renouvellement régulier.

* Keepass rend possible l’utilisation de mots de passe beaucoup plus robustes. Inhumainement robustes. Genre 64 caractères aléatoires, et pas deux mots de passe identiques. La fête du slip du mot de passe.

* Une utilisation correcte d’un gestionnaire de mdp implique un mot de passe maître TRES robuste.



Un attaquant se voit donc OBLIGE de casser ta base Keepass pour casser tes comptes sauf schéma d’authentification pourri de la part du fournisseur (et rien ne te protègera contre ça). Et si tu fais bien ton boulot, il n’y arrivera pas avant que le soleil cesse de briller. Ce qui te laisse largement le temps de changer tes mots de passe, et donc de rendre ses efforts inutiles.


votre avatar

Merci :)

votre avatar







js2082 a écrit :



<img data-src=" />



Nooon…???

<img data-src=" />





Tout peut être piraté, mais une authent forte plus faible qu’une authent simple? Tu peux développer? Je sors le popcorn.


votre avatar

Alors, bonne pratique “une” : la sauvegarde et pas le mot de passe.



Le reste me laisse bien dubitatif, certes cela est majoritairement vrai (hormis les mises à jour, à faire surtout sur les frontaux, bastions : le reste chez M$ c’est la pour plomber votre poste … )



La sécurité est un leurre, pour masquer le fait que les technologies ont évoluées mais pas l’être humain dans ses comportements quotidiens …

votre avatar

J’ai fait quelques recherches sur Keepass. J’ai appris que ce dernier se basait sur le runtime .NET pour s’exécuter. Or, si l’appli est à priori robuste (bien nettoyée et vérifiée), il suffirai qu’une faille un tant soit peu sérieuse existe dans le runtime pour réduire à néant la sécurité du programme. De quoi réfléchir …

votre avatar







tifounon a écrit :



Encore faut-il être capable de modifier ledit logiciel (comprendre le code, les implications, la fiabilité des bibliothèque appelés, les appels systèmes, etc..)., c’est pas donné à tout le monde.





Si tu n’as pas la capacite/le temps tu peux passer par un tiers (de confiance) qui le fera a ta place.


votre avatar

Merci à tous ceux qui ont évoqué Keepass, c’est installé ;-) Jusqu’à maintenant les mdp les moins sensibles étaient inscrits dans un fichier (en clair, oui m’dame ! Du coup, le vrai mdp, c’est le login), les autres dans un coin de mon cerveau. Et vu mon age, le clique sur “vous avez oublié votre mdp ?”, c’est au moins une fois par mois…



Il faudrait aussi passer par les armes ces vendeurs qui te demandent un mot de passe sur 26 caractères, dont trois spéciaux, et six chiffres dont la somme fait 12000. Le tout à renouveler toutes les semaines. Tout ça pour un site de vente de brosses à cheveu où tu n’iras que deux fois. Et qui finalement te renvoient ton super mdp pour confirmation … par mail.

votre avatar

“Votre mot de passe est : incorrect”&nbsp;&nbsp; …&nbsp;&nbsp; <img data-src=" />

votre avatar

Le Wi-Fi : « à éviter dans le cadre de l’entreprise »



Il est bien temps de le déconseiller dans le cadre pro, mais enfin, mieux vaut tard que jamais …<img data-src=" />

votre avatar

Oui enfin avec les PC portables/tablettes/smartphones et compagnie ça devient difficile de s’en passer dans certaines entreprises.

Là où je bosse c’était hors de question de mettre du&nbsp; Wifi il y a quelques années, mais maintenant le sujet revient sur la table, notamment pour le confort que ça apporte. Par exemple si 10 personnes font une réunion dans une salle où est actuellement câblé 1 port RJ45, c’est la guerre pour savoir qui va se brancher, et le pauvre avant-gardiste avec sa tablette wifi-only il sera sur la touche <img data-src=" />





Et l’ANSSI ils sont gentils mais certaines de leurs propositions sont inapplicables, beaucoup d’utilisateurs ne savent pas retenir un mot de passe un brin complexe, alors si c’est pour retrouvé un post-it sur le bureau avec le mot de passe écrit dessus ce n’est pas la peine.

votre avatar

Quel est le mot de passe le plus robuste et le plus facile à retenir ?



&nbsp;Π@$sW0Rd



Seloncertainessourcesprochesdudossier,l’expertdel’ANSSIvitdanslemondedesBisounours!





Vous avez 4 heures…

votre avatar

Pour ceux qui lisent les commentaire, je vais faire un peu de pub pour&nbsp;LastPass&nbsp;qui a autre approche.



Un grand nombre de paramètres [de sécurité et autres] possibles et une disponibilité online/multiplateforme.&nbsp;



(En partenariat avec Xmarks)

votre avatar

“Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d’éviter un piratage en série en cas de fuite. Mais l’ANSSI recommande également de&nbsp;« ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».”



Je viens de regarder, j’ai 160 mots de passe dans ma base keepass.

Alors il faudrait peut-être en sortir que les services les plus sensibles mais bon c’est un investissement d’en apprendre une dizaine de différents et de plus de 12 caractères.

votre avatar

Le guide en question est dlable qqpart ? <img data-src=" />

votre avatar

Un lien vers ce guide de l’Anssi ?

votre avatar

Oui par ici, un lien a aussi été ajouté dans l’actu&nbsp;<img data-src=" />

votre avatar

Merci <img data-src=" />

votre avatar

Beaucoup de choses logiques.



Question “mots de passe”, pour les “trash sites”, j’utilise un mot de passe certes relativement complexe mais relativement générique. Dès que cela requiert un truc plus solide : mot de passe unique (je n’en ai pas tant que ça). Et rien de stocké sur mes navigateurs ni d’utilisation de “keepass”.

votre avatar

Je crois surtout qu’il faudrait penser à enterrer définitivement le mot de passe pour quelque chose de plus robuste. De plus en plus de services proposent la double authentification mais d’une, c’est rarement activé par défaut (ex: google), et de deux c’est très loin d’être généralisé.

votre avatar







Cacao a écrit :



Je crois surtout qu’il faudrait penser à enterrer définitivement le mot de passe pour quelque chose de plus robuste. De plus en plus de services proposent la double authentification mais d’une, c’est rarement activé par défaut (ex: google), et de deux c’est très loin d’être généralisé.





Même une double authentification peut être piratée, voire peut-être même plus facilement, les gens pensant du coup qu’ils sont en sécurité, ils se méfieront moins.


votre avatar



« 12 caractères de type différent (…) et ne figurant pas dans le dictionnaire ».



« un mot de passe unique pour chaque service sensible ».



« ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».



Je crois que la quasi-totalité des problèmes de sécurité liés aux mots de passe est résumée dans ce paragraphe…

votre avatar







FrenchPig a écrit :



Je crois que la quasi-totalité des problèmes de sécurité liés aux mots de passe est résumée dans ce paragraphe…





Tu as oublié un point:





  • utiliser des logiciels dont vous avez le contrôle total, notamment sur les données entrantes/sortantes.



    Cette simple pratique suffit à éliminer 95% des programmes



    Un logiciel que tu ne peux pas contrôler ni modifier à ta guise est ou sera forcément un logiciel vérolé ou possédant des backdoors.

    Les exclure est donc une nécessité.


votre avatar







js2082 a écrit :



Tu as oublié un point:





  • utiliser des logiciels dont vous avez le contrôle total, notamment sur les données entrantes/sortantes.



    Cette simple pratique suffit à éliminer 95% des programmes



    Un logiciel que tu ne peux pas contrôler ni modifier à ta guise est ou sera forcément un logiciel vérolé ou possédant des backdoors.

    Les exclure est donc une nécessité.





    Encore faut-il être capable de modifier ledit logiciel (comprendre le code, les implications, la fiabilité des bibliothèque appelés, les appels systèmes, etc..)., c’est pas donné à tout le monde.


votre avatar

Les caractères “non présents” dans le dictionnaire ne sont pas DU TOUT un problème pour un ordinateur, mais présente énormément de contrainte pour les humains.



Or c’est bien nous qui utilisons ces MDP, pas des machines !



Encore une fois, plus un MDP est long, plus il est difficile de le cracker. Et pas besoin de rajouter des & “ ( @ et autres, qui ne gêne en rien les brute force.



Le comic strip d’XKCD sera toujours pertinent sur ce sujet (battery staple Horse etc…). Pour preuve je me souviens encore des mots utilisés.

votre avatar

« 12 caractères de type différent (…) et ne figurant pas dans le dictionnaire ». &nbsp;

Je suis un peu plus réaliste sur ce point, je préfère avoir une pass-phrase de 18-20 caractères (qui contiendra de toute façon des caractères spéciaux ‘ponctuation’ voire ‘accentués’) mais qui sera surtout bien plus facile à retenir…&nbsp;

Bon et après faut que les sites qui demandent un MDP acceptent les longs et les caractères spéciaux, des fois c’est pas le cas

votre avatar







tifounon a écrit :



Encore faut-il être capable de modifier ledit logiciel (comprendre le code, les implications, la fiabilité des bibliothèque appelés, les appels systèmes, etc..)., c’est pas donné à tout le monde.





Pour les pme, certes.

On ne peut que leur conseiller de s’orienter vers des solutions opensource assez fiable, dont ce “travail” est réalisé par la communauté (avec un petit soutien financier).

&nbsp;

&nbsp;Mais pour les grosses entreprises, le service informatique est censé être là pour ça.


L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique

  • Premières règles : un mot de passe robuste et des logiciels à jour

  • La question de la sauvegarde des données, du stockage en ligne et du chiffrement

  • Le Wi-Fi : « à éviter dans le cadre de l’entreprise »

  • Smartphones et ordinateurs : attentions aux applications et aux ports USB

  • La bonne vieille attaque par email : toujours se méfier du contenu d'une correspondance

  • BYOD : apportez votre machine personnelle, mais attention aux risques

  • Que faire lorsqu'il est trop tard ? 

  • Ces recommandations peuvent-elles remplacer des professionnels de la sécurité ?

Fermer