Mettre à jour mes 25 mots de passe, mais bien sûr ! - Goufablog
Goufablog

Geek, nouvelles technologies, société et jeux vidéos!
Aucune information sur l'auteur !
28
mars
2016		 Mettre à jour mes 25 mots de passe, mais bien sûr !
Technique - par Goufalite - 4990 hits


Il y a quelques temps, quelques internautes ont lancé l'opération Reset The Net. Le résumé est simple : suite aux révélation de Snowden, pourquoi plein de gens continuent à utiliser Gmail et Google ? Et pourquoi votre serviteur qui est pourtant au fait de la technologie ne fait pas plein d'articles sur comment se sécuriser chez soi ? Peur ? Flemme ? Résignation ? Je vais vous détailler pourquoi.

L'exigence de la sécurité, le bouleversement du confort et l'indisponibilité

Reset The Net avait pour objectif de sensibiliser tous les utilisateurs du Net à basculer vers des plateformes qui garantissent la non surveillance par un quelconque organisme d'espionnage :

  • utiliser du https en permanence.
  • utiliser des logiciels de chiffrage en amont des logiciels de base.
  • utiliser des logiciels libres pour s'assurer que le mécanisme de chiffrage est fiable.
  • ne pas s'abonner à plein de services qui demandent des informations confidentielles.
  • ...

En gros prendre conscience qu'on est espionnés tout le temps et qu'il faut empêcher (ou ralentir) cette pratique pour protéger notre vie privée.

Donc si vous regardez la liste ci-dessus vous vous rendez compte que l'on demande à tous les utilisateurs d'Internet de changer carrément de mode de vie pour ne pas être espionné. On envoyait un mail en un clic, il en faudra maintenant une dizaine pour passer dans le logiciel de chiffrage que la NSA va de toutes façons anéantir en quelques minutes.

Eh oui, se protéger chez soi de l'espionnage est aussi contraignant que de se battre contre le spam ou le terrorisme, il faut s'adapter en permanence aux nouvelles menaces sans forcément savoir si l'on est bien protégé ou non au vu de la transparence des services de renseignements. Et je me vois mal dire à la mamie du Cantal qu'elle doit changer de logiciel de messagerie tous les deux mois et de mettre un mot de passe différent dans tous les services qu'elle utilise...

Mais dès que tout le monde aura sécurisé son petit chez soi en mettant des VPNs, proxies, chiffrage à tous les étages, comment va-t-on reconnaître les vrais pirates du citoyen lambda qui ne veut pas se faire fliquer ? Congestion réseau, trop de manipulations, trop de logiciels peu sûrs, tant de raisons pour ne pas franchir le pas.

Des sécurités de mot de passe trop éparses

Question: quelle est la différence entre le site web d'une banque et d'un forum de jeux vidéo ? Réponse : le forum de jeux vidéo est plus sécurisé ! Banques, assurances et mutuelles sont obligées de mettre des chiffres à position variable afin de faire un semblant de cryptage en Javascript, mais chacune a ses propres règles en fonction du nombre de chiffres (5,6 ou 8) dans le code. Bilan : dates d'anniversaire, de mariage,... et si on ne suit pas cette règle on est forcé d'écrire quelque part ce code, mais surtout le nombre de combinaisons de chiffres est bien faible (10^x) par rapport aux caractères (255^x).

Les mots de passe de caractères ne sont pas non plus à l'abri des règles chaotiques, entre

  • nombre minimum de caractères
  • (sic)nombre maximum de caractères voire tronquage du mot de passe
  • obligation ou interdiction de certains caractères
  • une ou plusieurs majuscules/minuscules,...
  • détection de l'incrémentation ("mdp1", "mdp2", "mdp3",...)

Avec toutes ces règles, il est impossible de se rappeler facilement d'un mot de passe enregistré sur un site en particulier. Bref, on le note sur un papier ou on utilise un mot de passe générique marchant avec la plupart des règles. L'inverse de ce qui est demandé, à savoir un mot de passe différent par service.

Et enfin 3 mois est une bonne durée de vie minimum d'un mot de passe. Ne nous forcez pas à le changer toutes les semaines sinon on sera obligé d'incrémenter ou de le noter quelques part, on n'a pas assez d'imagination en un laps de temps si court...

Je n'ai rien à cach... oh et puis tant pis !

Juste pour lire des messages sur un service...
Juste pour lire des messages sur un service...

Elles sont vachement pratiques ces applications sur le Store : météo, accordeur de guitare, prochaines règles,... Mais qu'ont-elles en commun ? Un besoin maladif de connaître notre position, notre répertoire d'appels, d'aller sur le net,... La prostitution publicitaire fera l'objet d'un autre article mais on voit bien que tout le monde veut connaître tout de tout le monde !

Hélas, j'en ai besoin, l'application est populaire, pas si exigeante que ça en termes de permissions, tous mes amis l'ont,... Je vais l'installer. A ce moment-là tout ce qui compte est que l'application fasse ce qu'elle dit, pense-je en balayant du doigt la popup me demandant de mettre 5 étoiles sur le Market, et tout ce flicage, cette surveillance, toutes ces données qui partent sur Internet ne me font plus aucun effet.

La popularité et la mode

J'ai entendu des histoires de filles qui se faisaient tabasser au collège parce qu'elles n'ont pas "liké" le status Facebook d'une amie posté à 3h du matin. Des gens utilisent encore 4square malgré mon article et le site Please Rob Me.

Eh oui, la clef pour que tout le monde adhère à la sécurité et à la non-transmission de données sensibles est d'en faire un phénomène de mode ! Malgré les affiches du parti pirate et les actions de la quadrature du net, je ne vois aucun gros mouvement de foule pour dénoncer toutes ces pratiques. Dès qu'une vidéo parle de tous ces agissements, on copie le lien et on le like sur Facebook.

Tout le monde a conscience de ce problème mais il n'y a pas de solution évidente ou qui ne remettrait pas en cause des organisations existantes. On subit en se contentant ce petit confort et de la reconnaissance des autres.

Protection minimale

Je ne vous demande pas de vous balader à poil sur Internet, quelques normes de sécurité minimale s'imposent...

  • créez un mot de passe FORT : pensez à une phrase et transformez-la ("il fait beau aujourd'hui, demain non" > ilfba2uidn).
  • mettez la première lettre (ou une autre) du service que vous utilisez dans le mot de passe ("facebook" > filfba2uidn)
  • apprenez à bien gérer vos mails, créez une adresse poubelle pour les inscriptions et ne mettez pas vos coordonnées partout.
  • lisez les commentaires des applications avant de les télécharger.

Et bon courage pour appliquer ces règles, entre les sites qui n'acceptent que les chiffres comme mot de passe, qui tronquent, imposent ou refusent certains caractères,...

Il est aussi possible d'utiliser un porte-clef de mots de passe comme KeePass ou LastPass qui permettent une génération de caractères purement aléatoires, hélas ils dépendent d'un mot de passe maître qu'il faudra forcément noter quelque part pour ne pas perdre les accès, et ne permettent pas d'ouvrir une session sur le poste de travail.

Et enfin, je vous en supplie : ne hurlez pas les mots de passe que ce soit chez vous ou au boulot, c'est une clef qui doit rester secrète entre un certain nombres de gens, pas les passants qui l'entendront par la fenêtre ouverte. Pensez aussi à supprimer les mails de confirmation d'inscription contenant les mots de passe en clair...

1984 2016

Voilà pourquoi vous ne verrez pas d'articles de sécurisation massive sur ce blog, d'autres le font très bien. A vous de voir si vous voulez vous engager dans ce combat et sécuriser vous-même à outrance vos moyens de communication en sachant qu'ils seront percés un jour ou l'autre pour soi-disant combattre le terrorisme.

+ Sources des images


Vous pouvez aussi lire :

CC-BY-SACet article est protégé par une licence CC-BY-SA.


Tags : gmail, mot de passe, paranoïa, piratage, snowden
Delicious   Facebook   Commentaires(0) | Permalink
Sans commentaires!
Votre avis?
(Obligatoire)
Site et style réalisé par Goufalite
Reproduction interdite sans l'accord de l'auteur.