Politique de sécurité des mots de passe

Le mot de passe tient son origine du besoin des militaires de se reconnaître. Ainsi, on trouve dans le manuel “Devoirs du soldat” de 1825 les consigne suivantes :
Question: Quand la sentinelle est isolée, qui doit reconnaître les rondes ou patrouilles ?
Réponse: La sentinelle doit les reconnaître elle-même, suivant l’ordre de la place.
Q: Quel est l’usage accoutumé pour cette reconnaissance ?
R: Que la sentinelle fasse avancer au mot de ralliement après qu’on lui a répondu ronde ou patrouille.
Q: Que doit faire la sentinelle, si c’est une patrouille qui vient à elle ?
R: Elle doit crier: Halte la troupe ! chef de patrouille, avancez au mot de ralliement !
Q: Que doit faire la sentinelle, si c’est une ronde ?
R: Elle doit crier: Avancez au mot de ralliement.
Q: Que doit, dans tous les cas, faire la sentinelle ?
R: Elle doit toujours croiser la bayonnette lorsqu’elle reçoit le mot, et ne doit jamais se laisser dépasser par la personne qui le lui donne.

Le Littré de 1880 donne comme définition de “ralliement” : mot qu’on donne après avoir reçu le mot d’ordre. Il s’agit donc d’un échange codifié, avec un secret partagé que les deux parties doivent connaître. “L’officier qui commande la troupe est obligé de venir donner le mot de l’ordre et de reconnaissance à celui qui le reconnaît. L’officier de la troupe arrêtée est obligé de prononcer le premier des deux noms, et celui qui reconnaît est obligé de prononcer l’autre, de crainte de surprise.” (Manuel du Garde national, Paris, an 2.)

Dans la littérature, les mots de passe sont utilisés pour s’identifier à l’entrée d’une porte discrète, lors de réunions secrètes. Dans la pièce de théâtre Hernani de Victor Hugo, le mot de passe des conjurés (acte IV scène3) est Ad Augusta per Angusta (Vers les sommets par des chemins étroits).

L’inventeur du mot de passe de l’ère informatique est Fernando Corbató qui a mis au point cette technique dans les années 60 pour sécuriser l’utilisation de son système d’exploitation à temps partagé CTSS. Il est mort en juillet 2019, et portait vers la fin de sa vie un regard critique sur son invention : il estimait cette pratique largement faillible, et que la gestion des mots de passe était devenue un cauchemar. Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

A l’aube de l’utilisation massive de la biométrie, le mot de passe reste pourtant souvent le seul rempart de protection pour l’accès à des données sensibles. Ainsi, il est important dans chaque organisme (cabinet d’avocat ou grande entreprise), de réfléchir à la sécurité des mots de passe. Je partage ici avec vous la politique de gestion des mots de passe que je préconise, mélange de réalisme et de vœux pieux. Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.

Utilisez un mot de passe suffisamment long et complexe

Une technique d’attaque répandue, dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, je recommande qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant au moins trois des quatre types de signes suivants : des majuscules, des minuscules, des chiffres ou des caractères spéciaux (comme par exemple !#?%). Cette recommandation est conforme aux préconisations 2018 de la CNIL et de l’ANSSI.

Le mot de passe doit être complexe, mais facile à retenir. Nous allons voir comment arriver à surmonter cette difficulté. Voici par exemple, trois méthodes pour choisir simplement des mots de passe complexes :

  • La méthode phonétique : « J’ai acheté dix cd pour cent euros cet après-midi » deviendra « ght10CD%E7am » [1]
  • La méthode des premières lettres : la phrase « Créé en 1971, le 44e a pour devise Rien ne craint que le silence » donnera « Ce1,l4apdRncqls » [1]
  • La méthode de l’association de 4 mots choisis au hasard et séparés de caractères spéciaux : « Lunettes:Ballons#Chat_Rouge » [1]. Cette méthode s’appelle « phrases de passe », et est très efficace et permet de créer une suite bien plus difficile à déchiffrer qu’un mot de passe compliqué « classique ».

Ainsi choisi, votre mot de passe est très difficile à deviner. Vous pouvez bien entendu inventer votre propre méthode connue de vous seul (poème, proverbe, chanson…).

Utilisez un mot de passe différent pour chaque site

Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seront piratables. Lorsqu’un pirate arrive à récupérer l’un de vos mots de passe, il va le tester (de manière automatique) sur un grand nombre de sites : messageries, sites bancaires, sites d’achat, etc.

OK, donc un mot de passe différent par site. Mais comment faire ? Je vous recommande la procédure suivante :
[edit du 16/10 : recommandation modifiée grâce à vos commentaires]

  • Choisissez un mot de passe « racine », selon l’une des méthodes évoquées précédemment, par exemple « Ce1,l4apdRncqls » [1]
  • Ajoutez, dans ce mot de passe « racine », une ou deux lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « aP » pour ugap.fr, en 5e position, ce qui donnerait « Ce1,aPl4apdRncqls » [1]

C’est tout, c’est simple, c’est facile à retenir et cela fait un mot de passe différent pour chaque site.

Changez votre mot de passe au moindre soupçon

Je ne préconise pas le changement régulier des mots de passe (tous les ans, tous les semestres, tous les 90 jours…) car cela fragilise la sécurité du système d’information et de plus en plus de RSSI pensent la même chose (cf https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ). En effet, lorsqu’un utilisateur est forcé de changer régulièrement son mot de passe, il y a de fortes chances que le nouveau mot de passe soit similaire à l’ancien. Les attaquants savent exploiter cette faiblesse. Le nouveau mot de passe a de grande chance avoir été utilisé ailleurs, et les attaquants le savent aussi. Le nouveau mot de passe est également plus susceptible d’être noté, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d’être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs dont les comptes sont verrouillés et pour les centres de service qui doivent réinitialiser leurs mots de passe.

C’est un scénario de sécurité contre-intuitif : plus les utilisateurs sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système.

J’ai donc demandé à mon service informatique de ne pas forcer l’expiration régulière des mots de passe. Nous croyons que cela réduit les vulnérabilités associées à l’expiration régulière des mots de passe tout en faisant peu pour augmenter le risque d’exploitation à long terme des mots de passe. Les attaquants peuvent souvent trouver le nouveau mot de passe, s’ils ont l’ancien. Et les utilisateurs, forcés de changer un autre mot de passe, choisiront souvent un mot de passe “plus faible” pour ne pas l’oublier.

Mais si vous avez un doute sur la sécurité d’un de vos comptes ou si vous entendez qu’une organisation ou une société chez qui vous avez un compte s’est faite pirater, n’attendez pas de savoir si c’est vrai ou pas : changez immédiatement le mot de passe concerné avant qu’il ne tombe dans de mauvaises mains. Ne pas être obligé de changer son mot de passe régulièrement ne signifie pas que vous ne devez jamais en changer : au moindre doute, changez votre mot de passe.

Méfiez-vous par exemple des smartphones qui pourraient, lors d’une présentation publique, vous filmer pendant que vous tapez votre mot de passe…

Utilisez un gestionnaire de mots de passe

N’écrivez jamais un mot de passe en clair sur une feuille de papier, dans un carnet ou dans un fichier Excel (même protégé par un mot de passe). Les pirates connaissent toutes les astuces communément mises en place par les utilisateurs : par exemple, un code de carte bancaire sera souvent noté dans un carnet d’adresse sous la forme d’un numéro de téléphone…

Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie, ou dans un fichier non protégé de votre ordinateur ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe protégeant votre gestionnaire de mots de passe et qui permet d’en ouvrir l’accès.

Je vous recommande le logiciel KeePass. Ce logiciel libre et en français, certifié par l’ANSSI (dans une ancienne version, mais bon), permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Le logiciel est disponible dans les environnements Windows, MacOS, GNU/Linux, Android, iOS, BlackBerry, Windows Phone, ChromeOS, PalmOS… Il existe également en version ne nécessitant pas d’installation qui peut être placée sur une clef USB, ou un partage de fichiers (OneDrive…) pour être synchronisée entre plusieurs ordinateurs.

Ne communiquez jamais votre mot de passe à un tiers

Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique ». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une tentative de piratage ou d’escroquerie.

Inversement, si un tiers vous fournit un mot de passe (le service support informatique par exemple), ce mot de passe doit être considéré comme provisoire et changé rapidement par l’utilisateur.

Le tiers le plus dangereux est le collaborateur proche. Il arrive qu’un VIP confie son mot de passe à son assistant “parce que c’est plus pratique” et qu’il travaille avec cette personne en toute confiance. Le problème vient que cet assistant peut parfaitement utiliser ce mot de passe pour son propre compte, et de fils en aiguilles pour un site personnel associatif peu sécurisé… Un pirate cible toujours les plus proches collaborateurs de sa cible principale.

Ne mémorisez pas vos mots de passe sur un ordinateur partagé

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre : utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques ; veillez à bien fermer vos sessions après utilisation ; n’enregistrez jamais vos mots de passe dans le navigateur.

Activez la « double authentification » lorsque c’est possible

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez, par exemple, autoriser un nouvel appareil à se connecter aux comptes protégés ou autoriser une transaction bancaire.

Exemples (non exhaustifs) de services répandus proposant la double authentification :
⦁ Office365, Gmail, Yahoo Mail…
⦁ Facebook, Instragram, LinkedIn, Twitter…
⦁ Skype, WhatsApp…
⦁ Amazon, eBay, Paypal…
⦁ Apple iCloud, Dropbox, Google drive, OneDrive…

Protégez en particulier votre messagerie

Une attention particulière sera apportée à la sécurisation de la boite email professionnelle, cible particulière des pirates souhaitant prendre le contrôle de tous les comptes associés à cette adresse email. En effet, une fois la boite email contrôlée, le pirate peut facilement déclencher les procédures d’oubli de mot passe, procédures qui envoient en général un lien de saisie d’un nouveau mot de passe vers l’adresse email.

Si vous disposez de plusieurs boites emails (professionnelles, personnelles, etc.), je vous recommande de relever séparément ces différentes boites, chacune ayant un mot de passe différent, et d’éviter le renvoi des emails vers une boite unique (dont le contrôle par un pirate deviendrait alors encore plus critique).

Votre mot de passe de messagerie est donc l’un des mots de passe les plus importants à protéger.

Bibliographie :

Recommandations de la CNIL
Recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
The problems with forcing regular password expiry
The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!
Fiche pratique – Comment bien gérer ses mots de passe


[1] Ne pas utiliser les mots de passe de ce billet, qui ne sont donnés qu’à titre d’exemple.

Ce site se fera pirater

En attendant que la peinture sèche sur ce nouveau site, je préfère annoncer la couleur : ce site se fera pirater. Pourquoi une telle certitude ? Parce que c’est comme cela qu’un responsable de la sécurité informatique fonctionne : il sait que le pire arrivera, il doit s’y préparer et arrêter de vendre à ces patrons un rêve impossible : une sécurité absolue.

Ce site se fera pirater parce que j’ai choisi, pour l’instant, d’en administrer une partie moi-même. J’avais choisi Blogger en 2006 parce que je suis profondément fainéant : j’avais envie de publier des billets de blog, pas d’en gérer la tuyauterie. Quand le premier blog s’est fait pirater, j’ai eu besoin de l’équipe sécurité de Google pour le remettre sur pied (et je les remercie encore pour leur rapidité). Une fois nettoyé, ils ont remonté une sauvegarde que j’ai ensuite pu comparer avec mes propres sauvegardes.

Alors pourquoi quitter ces terres confortables pour un territoire incertain ?

Passer du poste de DSI multicartes à celui de RSSI m’a donné le goût du risque, mais aussi la certitude qu’il n’existe pas de situation de sécurité absolue : une faille de sécurité peut être découverte par une personne malveillante avant tout le monde, et surtout avant l’éditeur du logiciel : c’est ce que l’on appelle une faille 0day. Tant que la faille n’est pas repérée par un “gentil” elle sera exploitée par un “méchant” (je caricature un peu, mais vous voyez l’idée). Et quand le “gentil” aura repéré la faille, il faudra que l’éditeur du logiciel la corrige, vérifie que la correction ne génère pas de nouvelle faille, puis la diffuse aux utilisateurs du logiciel sous la forme d’une rustine (patch). Il faut ensuite que l’utilisateur fasse la mise à jour. Pendant tout le temps qui s’écoule entre la découverte de la faille et l’application de la mise à jour, le site est vulnérable. Et être responsable de la sécurité informatique n’implique pas d’être capable de passer son temps à chercher des failles, à les faire corriger en alertant. Certains le sont, pas moi.

Mais s’occuper de sécurité informatique, cela nécessite aussi de mettre un peu les mains dans le cambouis, ne serait-ce que pour comprendre et mieux appréhender les risques informatiques.

Bloguer est pour moi un passe-temps, une thérapie, un amusement, un partage, une expérience, et une tentative de laisser à mes enfants une trace de mon passage. Ce n’est pas une vitrine de mon savoir-faire, surtout en matière de sécurité. J’en connais un peu plus que certains, mais bien moins que beaucoup : l’idée est de faire progresser ceux qui ont envie, même si cela fait rire les connaisseurs.

J’ai choisi WordPress. OMG ! Les raisons : parce que c’est joli. C’est aussi le CMS le plus utilisé, donc celui qui a la plus grande communauté d’utilisateurs. C’est du coup aussi le CMS le plus ciblé par des attaquants. C’est donc un bon terrain d’expérimentations pour moi. Quand ce site aura été piraté, que je serai rouge de confusion, il sera alors temps de le réparer, de parfaire sa sécurité et de le réinstaller à partir des sauvegardes. La honte sera passagère. J’aurai appris parce que je serai tombé.

Pour rassurer certains lecteurs inquiets, je n’ai pas baissé les bras à peine le site en place. J’ai installé le minimum de plugins, mis en place des fichiers .htaccess contraint et forcé puisque je n’ai pas accès à la conf du serveur Apache sur mon serveur mutualisé. J’ai configuré un certificat pour le https, en priant pour qu’il se mette correctement à jour le moment venu. Bref, je retrouve le boulot d’admin que je faisais il y a 20 ans, mais en beaucoup plus compliqué.

Et surtout, je continue à faire des sauvegardes, que je teste régulièrement. Si vous voyez que le site est en rade, c’est soit qu’il a été piraté, soit que mon test de restauration s’est mal passé, soit une configuration DNS hasardeuse, soit un test de protection quelconque qui s’avère inefficace, soit ma bascule vers mon Yunohost de secours qui s’est mal passée, soit qu’une mise à jour importante de sécurité a eu lieu pendant que j’étais loin du clavier, par exemple en vacances, soit que j’ai oublié de payer l’hébergement.

Il ne faut pas avoir honte de s’être fait pirater. Ceux qui pensent ne pas s’être fait pirater, ce sont juste ceux qui ne s’en sont pas encore rendu compte.

Comment les experts en sécurité du SI doivent me voir

Attention peinture fraiche

Bienvenue sur le blog de Zythom v2 🙂

La peinture est encore fraiche, et il reste du travail de configuration, et d’apprentissage de WordPress, mais c’est le but.

L’ancien blog (v1) restera à l’adresse https://zythom.blogspot.com et me servira de repli si tout explose ici. La sécurité de WordPress est incertaine à mes yeux.

Bienvenue à tous ceux qui atterrissent ici. L’aventure continue.

Des news

Bonjour à tous les lecteurs, les anciens comme les nouveaux qui atterrissent ici en nombre (c’est rafraîchissant ;-). J’ai plusieurs articles dans les tuyaux mais les vacances ont été mouvementées et m’ont tenu LDC alors que j’avais prévu des trucs pour fêter les 13 ans de ce blog…

Une petite présentation rapide pour les nouveaux arrivants :

– Ce blog est pour moi un cahier extime sur lequel je partage mes expériences. C’est un plaisir d’écriture pour moi, mais aussi une expérience. J’explique tout cela dans la page “A propos” que je vous invite à lire.

– Le blog totalise aujourd’hui 1014 billets en ligne, malgré sa destruction par un voyou en 2012, et le nettoyage régulier que je peux faire. Le principe des blogs étant la présentation des billets par ordre antéchronologique, je vous propose de les lire au format livre que vous trouverez en téléchargement gratuit sur cette page. Les formats papiers sont destinés à mes proches, mais vous pouvez également les acquérir (sur la même page).

– Les 10 billets les plus lus à cette date sont les suivants :

– De tous les billets du blog, celui que je préfère est celui-ci : Yéléna. Je pleure de nouveau à chaque fois que je le relis… Je pense aussi parfois à Manon13 en espérant qu’elle mène une vie heureuse 10 ans après, malgré tout.

–  Ce blog ne m’a pas valu que des amis. La liberté de parole fournie par internet casse les codes habituels, et rend caduc l’intérêt des représentants et portes paroles officiels. Les petits peuvent s’exprimer directement, et je ne m’en suis pas privé. Cela a donné l’Affaire Zythom.

– J’ai travaillé 25 ans dans la même entreprise. Avec passion et implication. Je raconte cette tranche de vie sous la forme d’une série de billets courts “à rebondissements” regroupés sous l’intitulé 25 ans dans une startup.

– En tant qu’expert informatique, je travaille surtout pour les magistrats (missions judiciaires) ou pour les avocats (missions privées), mais jamais par l’intermédiaire de ce blog. Une brève recherche sur internet vous donnera mon vrai nom si nécessaire. J’accepte par contre volontiers de dialoguer par email et de répondre à des questions, en fonction de mes capacités (voir les détails sur ma page Contact). Notez que je n’ai pas encore la discipline mentale pour appliquer les règles de Crocker, et que j’encourage un formalisme minimum (bonjour, merci, mots complets…). C’est lié à mon éducation, je suis un peu coincé.

– J’adore partager mes passions avec des personnes. Mais je suis un peu timide face aux inconnus, sauf en amphithéâtre devant mes étudiants (c’est assez curieux). Du coup, mes proches sont un peu assommés par mes histoires de serveurs, de réseaux, d’astronomie, d’optimisation de fonctions à très grand nombre de variables, de réseaux de neurones, d’IA, de calculs parallèles, de mots de passe, de NAS, de sauvegardes, d’IDS… Alors ils me soutiennent dans ma démarche d’écriture sur ce blog. Ça les laisse souffler un peu.

– J’aime beaucoup aussi lire les autres blogueurs. Je profite de votre arrivée en ces lieux pour vous inciter à aller aussi ailleurs 🙂 Voici ma liste de blogs préférés, je vous en souhaite une bonne lecture (attention, certains ont du contenu subversif non filtré 😉 :

Le meilleur de la Justice
•    de bric et de blog
•    Decryptages : droit, nouvelles technologies…
•    ITEANU Blog
•    Journal d’un avocat
•    Maître Mô

Les chapeaux blancs
•    binaire
•    Blog de Stéphane Bortzmeyer
•    Korben
•    Le Hollandais Volant
•    n0secure.org
•    SkullSecurity

Le 4e pouvoir
•    Authueil
•    Coulisses de Bruxelles
•    BUG BROTHER
•    La Plume d’Aliocha

Les soigneurs
•    Alors voilà.
•    Au Pays Des Vaches Mauves
•    Boules de Fourrure
•    Farfadoc
•    Journal de bord d’une jeune médecin généraliste de Seine-Saint-Denis
•    Juste après dresseuse d’ours
•    Le blog de MimiRyudo
•    Les carnets du Docteur Lazarre

Cerveau gauche
•    Pourquoi Comment Combien
•    Science étonnante
•    Tu mourras moins bête

Cerveau droit
•    Déjà-vu
•    Globalement Inoffensif
•    Kozeries en dilettante

Blogs BD
•    .chez kek.
•    BlogLaurel
•    Bouletcorp
•    BugBlog
•    Creali
•    Debybloog
•    Fabriqué à mains nues
•    Fortuworld
•    Le blog de Jeromeuh
•    Le blog de Zelba
•    Les petits riens
•    MALIKI – Webcomic
•    Margaux Motin
•    Mélakarnets
•    Petit précis de Grumeautique
•    Trentenaire, marié, 2 enfants
•    YODABLOG

L’Empire des sens (NSFW)
•    Bellaminettes Blog
•    Oh Joy Sex Toy
•    Pingoo
•    The Rock Cocks

Amusez-vous bien !

Extrait de http://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans “service informatique”, il y a le mot “service”. Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que “Comment survivre à une cyberattaque ?”, les articles de presse devraient s’intituler : “Comment survivre à ses utilisateurs ?”. C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique “Sécurité informatique, ne pas en avoir peur“. Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur “ne cliquez pas sur les liens bizarres”, alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas “l’utilisateur a cliqué sur un lien piégé”. Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. “ALORS ? Mmmmm… tout ça pour ça ?”. Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (“je ne peux pas être considéré comme responsable, je dormais à ce moment-là“).
Pourtant tout le monde connaît la loi de Murphy : “Tout ce qui est susceptible d’aller mal, ira mal”. Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa “valeur ajoutée” prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que “Skype souhaite se mettre à jour”, “la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE”. Alors, il a parfois envie de hurler “MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?”. Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : “Ah, vous allez me demander de changer mon mot de passe ?”. 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : “nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau”. Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.

Le junior aux cheveux blancs

C’est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d’essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c’est plus simple : de Directeur des Systèmes d’Information (DSI), je suis devenu Responsable de la Sécurité du Système d’Information (RSSI). Ça sonne presque pareil, et puis c’est toujours dans l’informatique.

C’est vrai. Mais ces deux fonctions n’ont presque rien à voir entre elles. Le DSI que j’étais, décidait des orientations des évolutions du système d’information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d’autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l’inverse !).

Quand on vient de sortir d’une école où l’on a appris toutes ces connaissances, c’est “facile” : il ne manque que l’expérience. Cette expérience pourra, par exemple, s’acquérir dans une société de service dédiée à la sécurité, ou à l’ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c’est une autre paire de manche : l’expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J’ai la chance d’avoir été bien accueilli par une équipe d’ingénieurs qui, passé le moment gênant où ils se demandaient ce qu’allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m’initier à leur système d’information bien plus complexe que celui que j’avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j’ai bien prévenu que je ne deviendrai jamais aussi bon qu’eux dans leur domaine d’expertise respectif. Ce n’est ni mon objectif, ni ma fonction.

Beaucoup d’entreprises n’ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance… et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s’exercent, se corrigent, s’entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n’ont pas besoin d’un chef d’orchestre pour leur donner le rythme, l’un d’entre eux s’y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n’est pas nécessairement un virtuose d’un instrument (même si elle peut l’être), et surtout, elle ne peut pas remplacer chacun des membres de l’orchestre.

Le RSSI peut être ce chef d’orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d’améliorer la sécurité. Il n’est pas nécessairement expert d’un domaine pointu (pentesteur, admin réseau…) même s’il peut l’être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l’entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu’un certain nombre de personnes de l’entreprise se disent “ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !”.

De même que l’harmonie musicale d’un orchestre est l’affaire de tous les musiciens, du chef d’orchestre, de la qualité des instruments, de la salle, de l’historique du groupe, la sécurité est l’affaire de tous : l’équipe réseaux, l’équipe de développement, l’équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l’instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d’expertises judiciaires où j’ai pu constater in situ beaucoup d’erreurs à ne pas faire, et où j’ai pu étudier les chapeaux noirs pour essayer d’être un chapeau blanc.

Il me faut accepter d’être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It’s the hat