Petit tour de mot de passe-passe

Il ne se passe plus une semaine sans que l'on entende parler de mots de passe usurpés. Rien de plus normal dans une société qui place ces verrous numériques comme principal rempart pour protéger notre entreprise, notre argent, notre identité, nos données privées de façon générale.

Certains analystes y voient carrément un jeu de guerre qui touche la population civile depuis l'avènement du numérique. Ce n'est sans doute pas sans oublier qu'à l'origine le terme « mot de passe » vient de l'armée. Dans une approche militaire, vous lancez le « mot de sommation », c'est-à-dire la question convenue, et le « mot de passe » doit venir en relation avec la réponse correspondante.

A bien observer la problématique des attaques, on constatera que trois aspects reviennent de façon récurrente sur le tapis: la vulnérabilité intrinsèque du mot de passe, la protection de l'endroit où ils sont mémorisés et la multiplication des couples login/password.

Les mots de passe que nous choisissons pour notre quotidien ont tendance à être faciles à retenir. Cette facilité, si humaine et si pratique, est en réalité une véritable faille de sécurité. Deloitte Canada, dans son rapport TMT 2013, nous confirme que 90% des mots de passe utilisés sont trop faciles à faire sauter et ne protègent en réalité rien du tout. Et un site du gouvernement français nous rappelle que si un mot de passe utilise minuscules, majuscules et chiffres (càd 62 caractères différents), rajouter un caractère au mot de passe multiplie le temps de calcul par 62. L'initiative est donc rapidement très efficace. Mais compliquer n'est ni une garantie de sécurité absolue ni une simplification de votre condition humaine. Eh oui, le problème c'est avant tout nous, nous qui avons une mémoire volatile et qui naturellement utilisons des trucs pour retenir et ne pas oublier. Car un mot de passe aléatoire s'oublie...très facilement. Et chacun d'entre nous a déjà vécu un moment de solitude face à l'écran qui réclame le précieux sésame. Bien entendu, vous avez tenté le coup quand même, et là, catastrophe: accès coupé. Galère momentanée, ras-le-bol de la technologie, contact du helpdesk, tout y passera.

Mais n'est-ce pas mieux que d'avoir un sentiment de viol tel que celui qu'éprouvent les personnes qui découvrent qu'un imposteur a utilisé les "credentials" d'une application? Car un délinquant – pour utiliser un mot modéré – qui parvient à s'introduire dans votre messagerie va certainement chercher des messages pouvant contenir des mots de passe de votre vie numérique.

En cas d'usurpation, une personne intègre et honnête qui estime ne pas avoir commis d'impair remettra en cause, à juste titre, la sécurité du système qui attend, et donc héberge, le mot de passe. En effet, chacun utilise des solutions ou accède à des sites qui demandent une authentification faible. Par exemple le mot de passe n'est pas crypté ou on autorise des mots de passe très faibles (123456 ou password ou encore qwertzu restent au hit parade) sans autre mesure.

Alors une première leçon à tirer est d'identifier ces solutions, de les éviter ou de les remplacer dans la mesure du possible, et de n'y utiliser que des mots de passe uniques sur votre trousseau. Parlons-en de ce trousseau. Vous ne vous inquiéterez qu'avec modération quand votre navigateur a enregistré ce mot de passe sur votre ordinateur personnel (évitez d'accepter un enregistrement sur un poste qui ne vous appartient pas), mais vous allez vite vous rendre compte que les autres se multiplient comme des petits pains. Il est courant d'en avoir plus de 30. Cela commence avec Facebook, puis avec votre messagerie, le code PIN de votre GSM, l'alarme du domicile, les PIN de vos cartes, le récent mais oh combien pénible 3DSecure...et c'est au travail que les choses se compliquent car on va vous demander parfois plusieurs mots de passe forts (comprenant au moins 10 caractères et mêlant des lettres, des chiffres et des symboles). Et l'informaticien vicieux qui pourrit votre vie a mis une règle qui impose un renouvellement tous les mois, qui se souvient des anciens mots et qui rejette les incrémentations. C'est là que la majorité des gens commettent la faute magistrale, le post-it ou le calepin des secrets cachés. Laissez les trainer par inadvertance et vos ennemis, vos mauvais collègues, vos enfants vous dirons MERCI, pour certains ce sera la presse!

Pour rappeler les bases de la sécurité informatique, rappelons la métaphore brillante rédigée par une très sérieuse université du Wyoming: les mots de passe, c’est comme des sous-vêtements, il faut les changer souvent, il faut garder le mystère, il ne faut pas les partager avec ses amis, il ne faut pas les laisser trainer partout et plus ils sont longs, mieux ils protègent.

Est-ce la panacée? Non, nous venons de le voir. Pour y remédier, les solutions qui proposent de l'authentification multifactorielle apportent le premier pilier de la réponse efficace. Elles permettent à l'individu de diminuer la force de son mot de passe en combinant les preuves qui vous identifient avec forte présomption. Les solutions les plus connues au Luxembourg sont bien entendu celles proposées par LuxTrust néanmoins une pléthore de moyens basés sur le son, l'image, des images personnelles, de la biométrie ont vu le jour au cours des 10 dernières années. Le deuxième pilier est certainement la surveillance et la capacité à intervenir dès qu'une suspicion de piratage fait surface. Des professionnels doivent être à même d'assurer un monitoring quasi constant. Le troisième pilier sera de mettre en place pour soi-même, si votre organisation ne vous y engage pas, une politique de sécurité des mots de passe. Pour les particuliers, le Luxembourg n'est pas en reste en vous proposant de nombreux conseils sur le site beesecure.lu.

Et quand vous aurez, comme moi, plus de 60 mots de passe, un réceptacle blindé pourra accueillir ce que votre mémoire défaillante ne peut soutenir. Je ne parle pas d’un produit Google ou d’un DropBox dont la sécurité est reconnue faible, encore moins d’un cloud tel Megaupload qui a défrayé l’actualité, pensez-donc à une solution de coffre-fort virtuel hébergée Luxembourg, un pays qui permet de réellement protéger vos données sensibles. Vous aurez certes un nouveau sésame et l'obligation d'utiliser une authentification forte comme un token mais vous pourrez y écrire en totale confidentialité les autres mots de passe oubliables que vous auriez mis dans votre calepin des secrets.

Article publié dans le journal AGEFI (www.agefi.lu) - Mensuel de février 2013

Paresseux, tous à vos claviers !

Publication PaperJam édition juillet aout 2011

Diane Baertz-Kauffmann, VP Human Resources, pose la question suivante «Comment inciter les collaborateurs/trices à s’approprier les solutions et logiciels RH mis à leur disposition (self-service, intranet,…) plutôt que de continuer à solliciter les responsables des ressources humaines en face-à-face ? Comment réussir au mieux cette phase de transition sans perdre les échanges directs avec les collaborateurs/trices ? »

La paresse est souvent un réel moteur du labeur, la source de beaucoup de motivations. Comme disait Rousseau, « c'est pour parvenir au repos que chacun travaille ». Et si l’on parle de motivation avec un scientifique, après la satisfaction de besoins biologiques, les premiers plaisirs trouveraient leur source dans des conduites par lesquelles un individu gagne de l’autonomie.

Alors, comment limiter les petites promenades touristiques au RH ? Car le face à face est un luxe, vous souhaitez que l’on se plie aux SUPER outils à disposition. Ce n’est pas faute de rappeler le précepte Darwiniste: ceux qui survivent (à la crise) ne sont pas les plus forts, ni les plus intelligents, mais ceux qui s'adaptent le mieux aux changements.

Observons les ados. Qu’est-ce qui les motive à user et abuser des outils modernes dont la vertu se trouve dans l'amélioration de la diffusion de l'information ? Car ils jonglent avec et participent à la mise en place de nouveaux mécanismes de circulation de l'info, naturellement, sans notion d’effort et en prenant plaisir. Réussir à reproduire cela au sein de l'entreprise, en ciblant le travail, avec un cadre formel et sécuritaire, c’est bingo !

Loin de s'effacer, les RH doivent accompagner et faciliter cette nouvelle donne. Cette transition est non seulement nécessaire mais elle constitue une nouvelle source de légitimité. Votre collaborateur doit percevoir l’enjeu, découvrir la valeur ajoutée, l’efficacité qu’il atteint, les avantages personnels, bref il sera convaincu d’être gagnant. Et il faudra suivre ce déploiement, lever les équivoques, dissiper des inquiétudes inhérentes à toute nouveauté. Viendra le plaisir, l'appropriation, l’autonomie tant attendue.

Et de donner le coup de grâce aux anciennes pratiques, les rendre complexes ou lourdes.

Ah, j’oubliais de préciser : votre SUPER outil doit avoir de réels SUPER atouts, les collaborateurs ne s’y trompent pas !

La sécurité : un paradoxe qui mène à l’apocalypse ?

La quête de sécurité est intemporelle. L’Homme s’est toujours mis en recherche de rassurantes certitudes qui contrastent avec le mystère de la vie. En assurant sa sécurité l’individu cherche la situation présentant le minimum de risques ou de dangers pour y trouver la quiétude et l’état de confiance.
Ce sentiment n’est pas toujours bien fondé, car chacun véhicule avec soi ses angoisses les plus profondes, ses mauvaises habitudes et tout un vécu qui relativise la notion de sécurité.
A la recherche de la sécurité ultime dans tous les domaines, nous tentons de protéger nos avoirs derrière des forteresses. Ces dernières étaient de pierre il y a encore quelques centaines d’années, elles sont devenues métalliques à l’ère industrielle et sont aujourd’hui numériques à l’heure du tout internet. Le rempart s’est donc sophistiqué, est devenu de plus en plus complexe. Mais nos secrets sont-ils pour autant plus en sécurité ?
Cette question est d’autant plus pertinente que naissent vite des syllogismes du type :
Plus il y a de sécurité, plus il y a de failles.
Or plus il y a de failles, moins il y a de sécurité.
Donc plus il y a de sécurité, moins il y a de sécurité !
Ce raisonnement simpliste met en lumière un paradoxe de l’évolution : les données à caractère personnel d’une personne physique ou morale n’ont jamais été aussi vulnérables. Et si certains ont décidé de répandre leur vie sur Facebook, d’autres souhaitent maîtriser leur image et leurs informations personnelles, protéger les renseignements qui ne regardent pas tout le monde. Ce n’est pas tant l’évolution de la nature des informations que la capacité de la rechercher (et de la trouver indûment) qui pose le problème du Big Brother. Et cela prend encore une autre dimension dans un régime de type totalitaire, là où la liberté d'expression en tant que telle n’existe plus.
Alors…risquons-nous l’apocalypse de tous nos secrets? Car faut-il le rappeler apocalypse vient étymologiquement du verbe grec καλύπτω, kalúptô (« cacher »), précédé de la négation ἀπό ápó. Littéralement donc l’apocalypse c’est « dé-cacher », et donc par extrapolation, « dévoiler au yeux ».
Le passé nous a démontré qu’il n’y a pas de construction humaine qui reste impénétrable à l’intrusion d’autres hommes. Il « suffit » de laisser faire le temps !
Comme en convient Laurent Joffrin (Libération), dans son ouvrage sur la grande histoire des codes secrets, « la vérité n’est pas hors d’atteinte et une patiente réflexion y conduira ». La quête de la sécurité de l’information est donc une quête de longueur d’avance par rapport aux autres, induisant la notion temporelle mais aussi la notion de technique et de bonnes pratiques. C’est un service que proposent les coffres-forts virtuels dignes de ce nom, ceux qui garantissent l’inviolabilité du contenu et non un vague concept d’opacité.
Votre forteresse digitale est réputée inviolable, parfait ! Mais comme me le rappelait un auditeur en sécurité qui avait tout compris: le risque est l’exploitation d’une vulnérabilité par une menace.
Concluons donc qu’il est certes bon de renforcer les maillons de votre chaîne de confiance numérique mais il est essentiel de penser aux menaces. Car vos bastions numériques modernes n’éprouveront le temps que si les niveaux de discrétion qu’ils peuvent vous offrir sont forts !

Texte publié dans le journal AGEFI Janvier 2011

5 week-ends

"Profitez bien des Week-ends d’octobre: 5 vendredis, samedis et dimanches ce mois ci"

C'est effectivement rare et cela vaut la peine d'être souligné. Néanmoins ne digérez pas cette rumeur qui circule sur le net (mail, facebook, ...) qui mentionne que "cela n’arrive que tous les 823 ans"

Un grand nombre d'années répondent à ce critère de cinq week-ends (comprenant un vendredi, un samedi et un dimanche).
Jetez un coup d'œil sur les calendriers de 1999, 2004, 2010, 2021, 2027, 2032,…

Couleurs de la Medina

Au cœur des ruelles pittoresques de la Medina de Marrakech, lorsque vous quittez l'ambiance parfumée des souks inondés de couleurs, se trouve un petit bijou. Nous avons apprécié le Riad Dar Vima, havre de repos et de bien-être.
Loin de l'agitation touristique de la fameuse place Jemaa El Fna, ce havre de paix est à recommander à ceux qui souhaitent profiter de quelques jours d'authenticité ou de repos tout en trouvant les services attentionnés d'une hôtesse de maison charmante, la douce Najad.

SeeZam ouvre toi!

SSL

Lors d'un échange sur le net, quoi de plus prudent que de s'assurer de l'identité de l’interlocuteur avec qui on communique !? Comment être sûr que le serveur auquel vous parlez est bien celui qu'il prétend être ? Comment être certain que l’information transmise ne sera pas exploitée à votre insu en chemin, entre votre poste et le serveur ?

A cet effet, bon nombre des internautes ont pris le bon réflexe de vérifier que le petit cadenas apparaît dans un coin du browser. Mais à quoi cela correspond réellement ce petit symbole non équivoque quand à la mise en place d’une sécurité supplémentaire ?

Ce cadenas indique qu’une communication utilisant le protocole[1] SSL (Secure Socket Layer) est en cours. SSL est la solution technique qui répond à la problématique évoquée et nous permet d'échanger des informations de façon sûre et ce sur 3 dimensions:

1. l’authentification: il faut garantir de l'identité de l'entreprise avec laquelle on communique ;
2. la confidentialité: il n’est pas possible d'espionner les informations échangées ;
3. l’intégrité: les informations échangées ne sont pas falsifiées.

Derrière ce cadenas se cache un certificat qui est un gage de qualité et de confiance pour les consommateurs. Le choix de l’organisme de certification et la qualité des services associés est également un critère sur lequel nous avons dû nous pencher. Différentes recherches et analyses de l’offre nous ont poussés à choisir Digicert pour générer nos certificats. De simples outils permettent d’obtenir quelques garanties à savoir :

• www.seezam.com a l’adresse IP 195....
• Type de serveur: ...
• Ce certificat est reconnu/approuvé par les principaux navigateurs internet.
• Le nom d’hôte (www.seezam.com) est correctement repris dans le certificat
• Organisation: SeeZam S.A.
• Lieu: Hesperange, LU, LU
• Numéro de série: 0844dd5211fd4fb59175048eb61aae6d
• Algorithme de signature : sha1WithRSAEncryption
• Produit par: DigiCert High Assurance CA-3

Comme me le faisait remarquer un ami : « pas mal du tout, avec en plus une responsabilité de 1 million de $ si le certificat venait à être corrompu, cela inspire la confiance ! »

---

[1] ensemble de contraintes permettant d'établir une communication