Les coffres-forts numériques et les petites lignes du contrat 

 

Vos identifiants sont strictement personnels et confidentiels

Processed by: Helicon Filter;C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banquebank-safe-lease

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.

 

Failles de sécurité chez un gestionnaire de mot de passe : en attendant le prochain, que faire ?

wp-1472981987629.jpg

Voilà qui incite à la formation en sécurité et la prudence pour tous Utilisateurs et Informaticiens

Car même les entreprises qui n’existent que pour la sécurité ne sont, et seront jamais à 100% … Ces spécialistes commencent à éduquer en communicant sur le fait que les pratiques à risque sont un facteur aggravant, qui est de plus en plus exploité (sans s’étendre sur le sujet, sur le blog Zataz.com ou le blog.lastpass.com vous trouverez les détails d’incidents et la réponse/remédiation des éditeurs).

Quand on considère qu’une pratique à risque, ça peut aller d’utiliser un laptop professionnel pour surfer (perso?) depuis le wifi ouvert de l’hôtel, en se débrouillant pour contourner le filtrage d’URL et autres VPNs d’entreprise, comme de consulter tout à fait normalement un site d’information ou métier depuis le bureau, et ne même pas soupçonner que les bandeaux de pub, ou ces sites propres sur eux peuvent-être détournés pour distribuer des malwares… (des logiciels réellement malveillants, pas que les fameux cookies analytiques/publicitaires, qui souvent serviront de porte d’entrée à des menaces plus élaborées).

 

Il reste quoi pour « garantir » la sécurité ?

L’illusion perdue de la perfection, c’est fait. En espérant que ce n’est pas à cette occasion que vous le découvrez. Car si ça arrive fréquemment aux acteurs de la cybersécurité eux-mêmes, statistique malheureusement normale au vu de leur nombre de l’étendue de ce marché, « ça vous est arrivé » peut se conjuguer à tous les temps.

we-need-youDonc pour tout le reste il y a : D’abord vous, moi, tout le monde en fait. Puis le bon sens, et ensuite seulement la technique, les solutions et autres logiciels.

 

Savoir interpréter les signes

Repris par le triumvirat de la presse

Bon c’est un concept assez personnel, voilà un exemple pour illustrer:

C’est le signe que même si le sujet est cryptique, au vu de son impact et du fond, il mérite d’être médiatisé y compris (et surtout) aux yeux du grand public.

Car il illustre à la fois la complexité de la sécurité informatique aujourd’hui, et le besoin impératif de la simplifier (ses impacts, ses contraintes surtout) pour la rendre vaguement supportable au quotidien sans la dévoyer ou l’affaiblir au point d’en devenir ridicule (LesEchos.fr le mot de passe le plus utilisé sur internet est 123456).

 

Que faire pour réduire ce type de risque ?

Sur-réagir : peut-être…

  Changer d’outil pour un autre gestionnaire de mots de passes : Non, car en étant simplement réaliste, chacun à son tour tombe sous le coup de vulnérabilité plus ou moins faciles à exploiter, d’un impact plus ou moins important etc.

⊗  Jouer la carte « déconnecté » : avec un programme gestionnaire et coffre fort numérique strictement local, non plus. Car vous allez bien finir par le faire voyager (vos sauvegardes sont faites automatiquement dans le cloud/NAS/drive n’est-ce pas ?). Et un exploit sur le gestionnaire ou votre système reste bien possible etc.

⊗  Abandonner le principe d’un gestionnaire de mots de passes / coffre fort numérique / gestionnaire d’identité ? Quelle idée ! Là vous ne passez même pas par la case départ et vous ne touchez pas 30€48. Cf. l’équilibre sécurité-facilité que vous venez d’annihiler, en plus des bénéfices collatéraux de ces solutions comme la traçabilité, et la conformité entre autres.

Améliorer en continu, pour limiter…

  Faire un minimum de veille, c.a.d. tout simplement rester à l’écoute de votre presse favorite, ou un petit peut mieux en ajoutant à vos flux de news une source sécurité ou informatique professionnelle.

  Partager l’information, former et informer. Là c’est probablement une de vos missions et obligations si vous lisez ceci, et c’est une de mes mesures préférées en ce moment, au vu de son efficacité large spectre et son rapport efficacité x coût x complexité avantageux. L’humain à le premier rôle dans la sécurité, donc un peu de formation, de bon sens, ça permet de partager la confiance et les enjeux plus sereinement.

  Changer d’avis:  Interrogez vous, car le choix (de logiciel, de service, de prestataire, de principe…) qui vous a paru optimal il y a quelque temps n’est peut-être plus adapté aujourd’hui face à l’évolution de la menace, de la réglementation ou de vos propres objectifs.

  Encourager et continuer l’effort: pas facile de réussir pleinement ou faire évoluer ce type de sujet en perso comme en entreprise (AAA, IAM, PAM…), est pourtant c’est à peu près tout ce qu’il y a aujourd’hui dans la boite à outil.

En attendant la suite

Les solutions qui se dessinent à l’horizon ne peuvent être que meilleures, enfin espérons.

Pour ne prendre qu’un seul exemple, l’une des entreprises qui gèrent des millions de comptes, profils, identités, droits & cie pourraient bien révolutionner cet aspect de la sécurité informatique sans même que ce soit leur cœur de métier : Usine-Digitale.fr : L’astucieuse idée (très intrusive) de Google pour remplacer les mots de passe