Failles de sécurité chez un gestionnaire de mot de passe : en attendant le prochain, que faire ?

wp-1472981987629.jpg

Voilà qui incite à la formation en sécurité et la prudence pour tous Utilisateurs et Informaticiens

Car même les entreprises qui n’existent que pour la sécurité ne sont, et seront jamais à 100% … Ces spécialistes commencent à éduquer en communicant sur le fait que les pratiques à risque sont un facteur aggravant, qui est de plus en plus exploité (sans s’étendre sur le sujet, sur le blog Zataz.com ou le blog.lastpass.com vous trouverez les détails d’incidents et la réponse/remédiation des éditeurs).

Quand on considère qu’une pratique à risque, ça peut aller d’utiliser un laptop professionnel pour surfer (perso?) depuis le wifi ouvert de l’hôtel, en se débrouillant pour contourner le filtrage d’URL et autres VPNs d’entreprise, comme de consulter tout à fait normalement un site d’information ou métier depuis le bureau, et ne même pas soupçonner que les bandeaux de pub, ou ces sites propres sur eux peuvent-être détournés pour distribuer des malwares… (des logiciels réellement malveillants, pas que les fameux cookies analytiques/publicitaires, qui souvent serviront de porte d’entrée à des menaces plus élaborées).

 

Il reste quoi pour « garantir » la sécurité ?

L’illusion perdue de la perfection, c’est fait. En espérant que ce n’est pas à cette occasion que vous le découvrez. Car si ça arrive fréquemment aux acteurs de la cybersécurité eux-mêmes, statistique malheureusement normale au vu de leur nombre de l’étendue de ce marché, « ça vous est arrivé » peut se conjuguer à tous les temps.

we-need-youDonc pour tout le reste il y a : D’abord vous, moi, tout le monde en fait. Puis le bon sens, et ensuite seulement la technique, les solutions et autres logiciels.

 

Savoir interpréter les signes

Repris par le triumvirat de la presse

Bon c’est un concept assez personnel, voilà un exemple pour illustrer:

C’est le signe que même si le sujet est cryptique, au vu de son impact et du fond, il mérite d’être médiatisé y compris (et surtout) aux yeux du grand public.

Car il illustre à la fois la complexité de la sécurité informatique aujourd’hui, et le besoin impératif de la simplifier (ses impacts, ses contraintes surtout) pour la rendre vaguement supportable au quotidien sans la dévoyer ou l’affaiblir au point d’en devenir ridicule (LesEchos.fr le mot de passe le plus utilisé sur internet est 123456).

 

Que faire pour réduire ce type de risque ?

Sur-réagir : peut-être…

  Changer d’outil pour un autre gestionnaire de mots de passes : Non, car en étant simplement réaliste, chacun à son tour tombe sous le coup de vulnérabilité plus ou moins faciles à exploiter, d’un impact plus ou moins important etc.

⊗  Jouer la carte « déconnecté » : avec un programme gestionnaire et coffre fort numérique strictement local, non plus. Car vous allez bien finir par le faire voyager (vos sauvegardes sont faites automatiquement dans le cloud/NAS/drive n’est-ce pas ?). Et un exploit sur le gestionnaire ou votre système reste bien possible etc.

⊗  Abandonner le principe d’un gestionnaire de mots de passes / coffre fort numérique / gestionnaire d’identité ? Quelle idée ! Là vous ne passez même pas par la case départ et vous ne touchez pas 30€48. Cf. l’équilibre sécurité-facilité que vous venez d’annihiler, en plus des bénéfices collatéraux de ces solutions comme la traçabilité, et la conformité entre autres.

Améliorer en continu, pour limiter…

  Faire un minimum de veille, c.a.d. tout simplement rester à l’écoute de votre presse favorite, ou un petit peut mieux en ajoutant à vos flux de news une source sécurité ou informatique professionnelle.

  Partager l’information, former et informer. Là c’est probablement une de vos missions et obligations si vous lisez ceci, et c’est une de mes mesures préférées en ce moment, au vu de son efficacité large spectre et son rapport efficacité x coût x complexité avantageux. L’humain à le premier rôle dans la sécurité, donc un peu de formation, de bon sens, ça permet de partager la confiance et les enjeux plus sereinement.

  Changer d’avis:  Interrogez vous, car le choix (de logiciel, de service, de prestataire, de principe…) qui vous a paru optimal il y a quelque temps n’est peut-être plus adapté aujourd’hui face à l’évolution de la menace, de la réglementation ou de vos propres objectifs.

  Encourager et continuer l’effort: pas facile de réussir pleinement ou faire évoluer ce type de sujet en perso comme en entreprise (AAA, IAM, PAM…), est pourtant c’est à peu près tout ce qu’il y a aujourd’hui dans la boite à outil.

En attendant la suite

Les solutions qui se dessinent à l’horizon ne peuvent être que meilleures, enfin espérons.

Pour ne prendre qu’un seul exemple, l’une des entreprises qui gèrent des millions de comptes, profils, identités, droits & cie pourraient bien révolutionner cet aspect de la sécurité informatique sans même que ce soit leur cœur de métier : Usine-Digitale.fr : L’astucieuse idée (très intrusive) de Google pour remplacer les mots de passe

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s