Ça va partir dans tous les sens

Ce petit billet pour prévenir mes lecteurs que ce blog va partir un peu dans tous les sens, alors ne m’en veuillez pas… Voici approximativement le programme des prochains billets.

J’ai participé l’été dernier à un exercice littéraire très riche d’enseignements, et je voudrais en faire un bilan à la Asimov (toute proportion gardée), en publiant les billets de l’histoire que j’ai inventée, avec des explications introductives et conclusives pour chaque billet. Pour que cela fasse sens, je vais les publier les uns à la suite des autres, pour garder la continuité de l’histoire. Les introductions spoileront sans doute un peu l’histoire, mais présenteront le contexte de sa construction, et les conclusions seront un exercice de bilan critique.

J’apprends beaucoup sur la sécurité informatique, et pas seulement au niveau technique. J’ai envie de faire part ici de cet apprentissage, non pas pour les experts de ce domaine qui n’apprendront rien, mais pour les débutants, les étudiants et les utilisateurs qui se débattent entre leur chaise et leur clavier. Ce seront des billets entre le rapport d’étonnement, la mise en place des règles que je préconise, des expérimentations d’outils… Il faut que j’arrive à me défaire de cette idée que quand on écrit sur la sécurité informatique, on se heurte nécessairement à des roxors hautains lanceurs de piques assassines. Je crois qu’il y a de la place pour une approche bienveillante, même dans ce domaine.

Je bricole pas mal avec les réseaux de neurones de ma jeunesse. J’explore des outils « clef en main » mais je tente aussi le hacking de ces technos pour mieux comprendre ce qu’elles font. En ce moment, ça part un peu dans tous les sens, mais c’est passionnant. A voir s’il y a matière pour jeter ça dans un billet.

Un professeur m’a contacté pour m’interviewer avec l’un de ses étudiants sur le métier de RSSI. L’exercice est toujours périlleux, mais mes réflexes d’ancien expert judiciaire reviennent souvent à la charge : quand on me demande mon avis, j’ai toujours envie de le donner (en mon âme et conscience). Peut-être ce travail commun de questions/réponses trouvera-t-il le chemin de ce blog…

Je m’amuse pas mal à bricoler le réseau de la maison et mes services autohébergés. Entre mes nouvelles bornes Wifi, mes tests sur les NIDS, la segmentation, les parefeux, les routeurs et ma découverte de l’IPv6, j’ai beaucoup à écrire, pour faire un retour d’expérience, mais aussi pour avoir vos avis.

Je suis tombé dans la marmite de la généalogie, et je passe des week-ends entiers à remonter le temps et découvrir les terres de mes ancêtres. Là aussi, il y a beaucoup à dire et tant à partager 🙂

Je teste pas mal de générateurs de blogs statiques. Je me suis rapidement mis au Markdown, mais je tâtonne encore : je cherche le bon équilibre entre mains dans le cambouis et poils dans la main… Donc il va peut-être y avoir du changement de ce côté-là aussi 🙂

Je lis beaucoup en ce moment : des livres papiers, des billets de blogs, des articles de recherche, des comptes rendus de conférences… J’admire tant de gens, j’apprécie tant leur énergie, leur entrain, que parfois je m’épuise. J’ai fortement réduit le temps passé sur les réseaux sociaux, même si cela reste ma bouffée d’oxygène et ma fenêtre sur le monde : j’ai choisi de suivre les bonnes personnes, et pour l’instant j’ai échappé à la malveillance. J’ai prévu de faire un point sur le thème des réseaux sociaux également.

La publication en livres des billets de ce blog a pris du retard. Je ne désespère pas d’arriver à enfin sortir les tomes 7 et 8, toujours en version électronique gratuite sans DRM et en version papier pour ma famille et mes amis.

Ce blog restera ce qu’il a toujours été : le web log extime de Zythom, à destination de la première IA qui sera capable d’en absorber toute la substance et me faire vivre pour l’éternité. En vrai, il est surtout à destination de mes enfants et de leurs futurs enfants, pour qu’ils sachent ce que faisait leur (pé)père quand il ne jouait pas avec eux.

La vie est si courte, et il y a tant de choses à faire.
A bientôt.

La formation du RSSI

L’ANSSI a publié un panorama des métiers de la cybersécurité 2020. Assez naturellement, je suis allé lire la fiche consacrée au RSSI (pages 10 à 13). A la partie « formation recommandée », il est écrit : « Bac + 5 avec une spécialisation en cybersécurité ».

Je disconviens respectueusement.

Premier point : il manque une connaissance approfondie des rouages de l’entreprise. En discutant aux Assises de la Cybersécurité 2020 avec Mathieu Rigotto (qui m’autorise à le citer), celui-ci me faisait remarquer qu’un bon RSSI devrait aussi avoir un MBA. En effet, la maîtrise en administration des affaires est le diplôme international d’études supérieures du plus haut niveau dans le domaine de la conduite globale des affaires : stratégie, marketing, finances, ressources humaines et management (source Wikipédia).

Je rencontre souvent deux types de RSSI : un expert technique pour qui les challenges sécurité n’ont aucun secret, ou un diplomate fin négociateur pour qui les exigences métiers n’ont aucun secret. Deux profils assez différents.

Le premier est un Snipper, le deuxième est un Général.

Pour être un bon Général, il n’est pas nécessaire d’être un bon Snipper (mais c’est un cheminement possible). Et pour être un bon Snipper, il n’est pas nécessaire d’être un bon Général (mais c’est un cheminement également possible).

Les deux profils cohabitent donc, et à mon avis, la meilleure formation, c’est la somme des deux : le meilleur RSSI doit donc avoir une solide formation technique, complétée par une bonne vision méthodologique, mais aussi une solide formation orientée sur les besoins des métiers de l’entreprise. Un ingénieur informatique avec spécialisation en cybersécurité ayant complété sa formation par un MBA.

Un RSSI ne doit pas produire une analyse de risque basée uniquement sur l’aspect technique, comme par exemple, « cette application est trouée de toute part, je m’oppose à ce qu’elle soit utilisée ». Il doit aussi intégrer le besoin métier, voire le besoin stratégique de l’entreprise. Ainsi, par exemple : « notre percée sur ce marché dépend de la rapidité avec laquelle nous allons pouvoir le conquérir, au besoin avec une application trouée de toute part ».

Et ça, c’est BEAUCOUP plus difficile à assumer.

Deuxième point de désaccord : bac + 5. En effet, beaucoup de jeunes arrêtent les études supérieures avant, pour un tas de raisons. Ils commencent à travailler dés le bac (ou avant), ou à bac+2 ou +3. Pourtant, la connaissance ne s’acquière pas uniquement sur les bancs de l’école, fut-elle supérieure, ou de l’université. Vous pouvez apprendre dans l’entreprise, avec l’aide des collègues, des anciens, sur le tas confronté aux projets, dans les livres, ou tout simplement en faisant de la veille.

Cela peut paraître contradictoire avec mon premier point, où j’évoquais le diplôme d’ingénieur et le MBA, mais pas du tout : il y a une équivalence naturelle avec l’expérience acquise en entreprise (enfin qui devrait être naturelle si les recruteurs étaient moins fermés). Il y aurait tellement à écrire sur le problème des diplômes en France…

Bref, il y a longtemps, mes professeurs vantaient les avantages des formations technico-commerciales, de même aujourd’hui, je conseille une solide expérience technique, assortie à une très bonne connaissance de la conduite des affaires. L’une complète l’autre, pour envisager être un bon RSSI. Savoir capturer le drapeau n’est pas forcément nécessaire, ni suffisant.

Politique de sécurité des mots de passe

Le mot de passe tient son origine du besoin des militaires de se reconnaître. Ainsi, on trouve dans le manuel « Devoirs du soldat » de 1825 les consigne suivantes :
Question: Quand la sentinelle est isolée, qui doit reconnaître les rondes ou patrouilles ?
Réponse: La sentinelle doit les reconnaître elle-même, suivant l’ordre de la place.
Q: Quel est l’usage accoutumé pour cette reconnaissance ?
R: Que la sentinelle fasse avancer au mot de ralliement après qu’on lui a répondu ronde ou patrouille.
Q: Que doit faire la sentinelle, si c’est une patrouille qui vient à elle ?
R: Elle doit crier: Halte la troupe ! chef de patrouille, avancez au mot de ralliement !
Q: Que doit faire la sentinelle, si c’est une ronde ?
R: Elle doit crier: Avancez au mot de ralliement.
Q: Que doit, dans tous les cas, faire la sentinelle ?
R: Elle doit toujours croiser la bayonnette lorsqu’elle reçoit le mot, et ne doit jamais se laisser dépasser par la personne qui le lui donne.

Le Littré de 1880 donne comme définition de « ralliement » : mot qu’on donne après avoir reçu le mot d’ordre. Il s’agit donc d’un échange codifié, avec un secret partagé que les deux parties doivent connaître. « L’officier qui commande la troupe est obligé de venir donner le mot de l’ordre et de reconnaissance à celui qui le reconnaît. L’officier de la troupe arrêtée est obligé de prononcer le premier des deux noms, et celui qui reconnaît est obligé de prononcer l’autre, de crainte de surprise.” (Manuel du Garde national, Paris, an 2.)

Dans la littérature, les mots de passe sont utilisés pour s’identifier à l’entrée d’une porte discrète, lors de réunions secrètes. Dans la pièce de théâtre Hernani de Victor Hugo, le mot de passe des conjurés (acte IV scène3) est Ad Augusta per Angusta (Vers les sommets par des chemins étroits).

L’inventeur du mot de passe de l’ère informatique est Fernando Corbató qui a mis au point cette technique dans les années 60 pour sécuriser l’utilisation de son système d’exploitation à temps partagé CTSS. Il est mort en juillet 2019, et portait vers la fin de sa vie un regard critique sur son invention : il estimait cette pratique largement faillible, et que la gestion des mots de passe était devenue un cauchemar. Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

A l’aube de l’utilisation massive de la biométrie, le mot de passe reste pourtant souvent le seul rempart de protection pour l’accès à des données sensibles. Ainsi, il est important dans chaque organisme (cabinet d’avocat ou grande entreprise), de réfléchir à la sécurité des mots de passe. Je partage ici avec vous la politique de gestion des mots de passe que je préconise, mélange de réalisme et de vœux pieux. Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.

Utilisez un mot de passe suffisamment long et complexe

Une technique d’attaque répandue, dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, je recommande qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant au moins trois des quatre types de signes suivants : des majuscules, des minuscules, des chiffres ou des caractères spéciaux (comme par exemple !#?%). Cette recommandation est conforme aux préconisations 2018 de la CNIL et de l’ANSSI.

Le mot de passe doit être complexe, mais facile à retenir. Nous allons voir comment arriver à surmonter cette difficulté. Voici par exemple, trois méthodes pour choisir simplement des mots de passe complexes :

  • La méthode phonétique : « J’ai acheté dix cd pour cent euros cet après-midi » deviendra « ght10CD%E7am » [1]
  • La méthode des premières lettres : la phrase « Créé en 1971, le 44e a pour devise Rien ne craint que le silence » donnera « Ce1,l4apdRncqls » [1]
  • La méthode de l’association de 4 mots choisis au hasard et séparés de caractères spéciaux : « Lunettes:Ballons#Chat_Rouge » [1]. Cette méthode s’appelle « phrases de passe », et est très efficace et permet de créer une suite bien plus difficile à déchiffrer qu’un mot de passe compliqué « classique ».

Ainsi choisi, votre mot de passe est très difficile à deviner. Vous pouvez bien entendu inventer votre propre méthode connue de vous seul (poème, proverbe, chanson…).

Utilisez un mot de passe différent pour chaque site

Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seront piratables. Lorsqu’un pirate arrive à récupérer l’un de vos mots de passe, il va le tester (de manière automatique) sur un grand nombre de sites : messageries, sites bancaires, sites d’achat, etc.

OK, donc un mot de passe différent par site. Mais comment faire ? Je vous recommande la procédure suivante :
[edit du 16/10 : recommandation modifiée grâce à vos commentaires]

  • Choisissez un mot de passe « racine », selon l’une des méthodes évoquées précédemment, par exemple « Ce1,l4apdRncqls » [1]
  • Ajoutez, dans ce mot de passe « racine », une ou deux lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « aP » pour ugap.fr, en 5e position, ce qui donnerait « Ce1,aPl4apdRncqls » [1]

C’est tout, c’est simple, c’est facile à retenir et cela fait un mot de passe différent pour chaque site.

Changez votre mot de passe au moindre soupçon

Je ne préconise pas le changement régulier des mots de passe (tous les ans, tous les semestres, tous les 90 jours…) car cela fragilise la sécurité du système d’information et de plus en plus de RSSI pensent la même chose (cf https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ). En effet, lorsqu’un utilisateur est forcé de changer régulièrement son mot de passe, il y a de fortes chances que le nouveau mot de passe soit similaire à l’ancien. Les attaquants savent exploiter cette faiblesse. Le nouveau mot de passe a de grande chance avoir été utilisé ailleurs, et les attaquants le savent aussi. Le nouveau mot de passe est également plus susceptible d’être noté, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d’être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs dont les comptes sont verrouillés et pour les centres de service qui doivent réinitialiser leurs mots de passe.

C’est un scénario de sécurité contre-intuitif : plus les utilisateurs sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système.

J’ai donc demandé à mon service informatique de ne pas forcer l’expiration régulière des mots de passe. Nous croyons que cela réduit les vulnérabilités associées à l’expiration régulière des mots de passe tout en faisant peu pour augmenter le risque d’exploitation à long terme des mots de passe. Les attaquants peuvent souvent trouver le nouveau mot de passe, s’ils ont l’ancien. Et les utilisateurs, forcés de changer un autre mot de passe, choisiront souvent un mot de passe « plus faible » pour ne pas l’oublier.

Mais si vous avez un doute sur la sécurité d’un de vos comptes ou si vous entendez qu’une organisation ou une société chez qui vous avez un compte s’est faite pirater, n’attendez pas de savoir si c’est vrai ou pas : changez immédiatement le mot de passe concerné avant qu’il ne tombe dans de mauvaises mains. Ne pas être obligé de changer son mot de passe régulièrement ne signifie pas que vous ne devez jamais en changer : au moindre doute, changez votre mot de passe.

Méfiez-vous par exemple des smartphones qui pourraient, lors d’une présentation publique, vous filmer pendant que vous tapez votre mot de passe…

Utilisez un gestionnaire de mots de passe

N’écrivez jamais un mot de passe en clair sur une feuille de papier, dans un carnet ou dans un fichier Excel (même protégé par un mot de passe). Les pirates connaissent toutes les astuces communément mises en place par les utilisateurs : par exemple, un code de carte bancaire sera souvent noté dans un carnet d’adresse sous la forme d’un numéro de téléphone…

Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie, ou dans un fichier non protégé de votre ordinateur ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe protégeant votre gestionnaire de mots de passe et qui permet d’en ouvrir l’accès.

Je vous recommande le logiciel KeePass. Ce logiciel libre et en français, certifié par l’ANSSI (dans une ancienne version, mais bon), permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Le logiciel est disponible dans les environnements Windows, MacOS, GNU/Linux, Android, iOS, BlackBerry, Windows Phone, ChromeOS, PalmOS… Il existe également en version ne nécessitant pas d’installation qui peut être placée sur une clef USB, ou un partage de fichiers (OneDrive…) pour être synchronisée entre plusieurs ordinateurs.

Ne communiquez jamais votre mot de passe à un tiers

Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique ». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une tentative de piratage ou d’escroquerie.

Inversement, si un tiers vous fournit un mot de passe (le service support informatique par exemple), ce mot de passe doit être considéré comme provisoire et changé rapidement par l’utilisateur.

Le tiers le plus dangereux est le collaborateur proche. Il arrive qu’un VIP confie son mot de passe à son assistant « parce que c’est plus pratique » et qu’il travaille avec cette personne en toute confiance. Le problème vient que cet assistant peut parfaitement utiliser ce mot de passe pour son propre compte, et de fils en aiguilles pour un site personnel associatif peu sécurisé… Un pirate cible toujours les plus proches collaborateurs de sa cible principale.

Ne mémorisez pas vos mots de passe sur un ordinateur partagé

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre : utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques ; veillez à bien fermer vos sessions après utilisation ; n’enregistrez jamais vos mots de passe dans le navigateur.

Activez la « double authentification » lorsque c’est possible

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez, par exemple, autoriser un nouvel appareil à se connecter aux comptes protégés ou autoriser une transaction bancaire.

Exemples (non exhaustifs) de services répandus proposant la double authentification :
⦁ Office365, Gmail, Yahoo Mail…
⦁ Facebook, Instragram, LinkedIn, Twitter…
⦁ Skype, WhatsApp…
⦁ Amazon, eBay, Paypal…
⦁ Apple iCloud, Dropbox, Google drive, OneDrive…

Protégez en particulier votre messagerie

Une attention particulière sera apportée à la sécurisation de la boite email professionnelle, cible particulière des pirates souhaitant prendre le contrôle de tous les comptes associés à cette adresse email. En effet, une fois la boite email contrôlée, le pirate peut facilement déclencher les procédures d’oubli de mot passe, procédures qui envoient en général un lien de saisie d’un nouveau mot de passe vers l’adresse email.

Si vous disposez de plusieurs boites emails (professionnelles, personnelles, etc.), je vous recommande de relever séparément ces différentes boites, chacune ayant un mot de passe différent, et d’éviter le renvoi des emails vers une boite unique (dont le contrôle par un pirate deviendrait alors encore plus critique).

Votre mot de passe de messagerie est donc l’un des mots de passe les plus importants à protéger.

Bibliographie :

Recommandations de la CNIL
Recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
The problems with forcing regular password expiry
The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!
Fiche pratique – Comment bien gérer ses mots de passe


[1] Ne pas utiliser les mots de passe de ce billet, qui ne sont donnés qu’à titre d’exemple.

Ce site se fera pirater

En attendant que la peinture sèche sur ce nouveau site, je préfère annoncer la couleur : ce site se fera pirater. Pourquoi une telle certitude ? Parce que c’est comme cela qu’un responsable de la sécurité informatique fonctionne : il sait que le pire arrivera, il doit s’y préparer et arrêter de vendre à ces patrons un rêve impossible : une sécurité absolue.

Ce site se fera pirater parce que j’ai choisi, pour l’instant, d’en administrer une partie moi-même. J’avais choisi Blogger en 2006 parce que je suis profondément fainéant : j’avais envie de publier des billets de blog, pas d’en gérer la tuyauterie. Quand le premier blog s’est fait pirater, j’ai eu besoin de l’équipe sécurité de Google pour le remettre sur pied (et je les remercie encore pour leur rapidité). Une fois nettoyé, ils ont remonté une sauvegarde que j’ai ensuite pu comparer avec mes propres sauvegardes.

Alors pourquoi quitter ces terres confortables pour un territoire incertain ?

Passer du poste de DSI multicartes à celui de RSSI m’a donné le goût du risque, mais aussi la certitude qu’il n’existe pas de situation de sécurité absolue : une faille de sécurité peut être découverte par une personne malveillante avant tout le monde, et surtout avant l’éditeur du logiciel : c’est ce que l’on appelle une faille 0day. Tant que la faille n’est pas repérée par un « gentil » elle sera exploitée par un « méchant » (je caricature un peu, mais vous voyez l’idée). Et quand le « gentil » aura repéré la faille, il faudra que l’éditeur du logiciel la corrige, vérifie que la correction ne génère pas de nouvelle faille, puis la diffuse aux utilisateurs du logiciel sous la forme d’une rustine (patch). Il faut ensuite que l’utilisateur fasse la mise à jour. Pendant tout le temps qui s’écoule entre la découverte de la faille et l’application de la mise à jour, le site est vulnérable. Et être responsable de la sécurité informatique n’implique pas d’être capable de passer son temps à chercher des failles, à les faire corriger en alertant. Certains le sont, pas moi.

Mais s’occuper de sécurité informatique, cela nécessite aussi de mettre un peu les mains dans le cambouis, ne serait-ce que pour comprendre et mieux appréhender les risques informatiques.

Bloguer est pour moi un passe-temps, une thérapie, un amusement, un partage, une expérience, et une tentative de laisser à mes enfants une trace de mon passage. Ce n’est pas une vitrine de mon savoir-faire, surtout en matière de sécurité. J’en connais un peu plus que certains, mais bien moins que beaucoup : l’idée est de faire progresser ceux qui ont envie, même si cela fait rire les connaisseurs.

J’ai choisi WordPress. OMG ! Les raisons : parce que c’est joli. C’est aussi le CMS le plus utilisé, donc celui qui a la plus grande communauté d’utilisateurs. C’est du coup aussi le CMS le plus ciblé par des attaquants. C’est donc un bon terrain d’expérimentations pour moi. Quand ce site aura été piraté, que je serai rouge de confusion, il sera alors temps de le réparer, de parfaire sa sécurité et de le réinstaller à partir des sauvegardes. La honte sera passagère. J’aurai appris parce que je serai tombé.

Pour rassurer certains lecteurs inquiets, je n’ai pas baissé les bras à peine le site en place. J’ai installé le minimum de plugins, mis en place des fichiers .htaccess contraint et forcé puisque je n’ai pas accès à la conf du serveur Apache sur mon serveur mutualisé. J’ai configuré un certificat pour le https, en priant pour qu’il se mette correctement à jour le moment venu. Bref, je retrouve le boulot d’admin que je faisais il y a 20 ans, mais en beaucoup plus compliqué.

Et surtout, je continue à faire des sauvegardes, que je teste régulièrement. Si vous voyez que le site est en rade, c’est soit qu’il a été piraté, soit que mon test de restauration s’est mal passé, soit une configuration DNS hasardeuse, soit un test de protection quelconque qui s’avère inefficace, soit ma bascule vers mon Yunohost de secours qui s’est mal passée, soit qu’une mise à jour importante de sécurité a eu lieu pendant que j’étais loin du clavier, par exemple en vacances, soit que j’ai oublié de payer l’hébergement.

Il ne faut pas avoir honte de s’être fait pirater. Ceux qui pensent ne pas s’être fait pirater, ce sont juste ceux qui ne s’en sont pas encore rendu compte.

Comment les experts en sécurité du SI doivent me voir

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.

Et parfois il fait n’importe quoi…

Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :

Les liens piégés :

L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :

Le RSSI
est attendu au tournant : à la première attaque réussie, tous les
regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le
Conseil d’Administration met la pression sur le Directeur Général, le DG
se tourne vers son Directeur des données qui appelle son DSI, lequel
convoque le RSSI… Dans une politique de sécurité du système
d’information, on appelle cela la chaine de responsabilité. En cas
d’attaque réussie (entreprise arrêtée, données dans la nature…) la
pression est énorme. Je pense que le succès de la série Chernobyl tient
aussi du fait que beaucoup de personnes se reconnaissent dans
l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à
appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est
susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera.
Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI.
C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai
dans un billet dédié (teasing :).

Le lien de confiance :

Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :

Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :

Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans « service informatique », il y a le mot « service ». Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que « Comment survivre à une cyberattaque ? », les articles de presse devraient s’intituler : « Comment survivre à ses utilisateurs ? ». C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique « Sécurité informatique, ne pas en avoir peur« . Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur « ne cliquez pas sur les liens bizarres », alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas « l’utilisateur a cliqué sur un lien piégé ». Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. « ALORS ? Mmmmm… tout ça pour ça ? ». Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (« je ne peux pas être considéré comme responsable, je dormais à ce moment-là« ).
Pourtant tout le monde connaît la loi de Murphy : « Tout ce qui est susceptible d’aller mal, ira mal ». Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa « valeur ajoutée » prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que « Skype souhaite se mettre à jour », « la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE ». Alors, il a parfois envie de hurler « MAIS POURQUOI CA CHANGE TOUT LE TEMPS ? ». Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : « Ah, vous allez me demander de changer mon mot de passe ? ». 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : « nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau ». Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.