Récemment pris d'une peur panique en faisant mon scan Malwarebytes de routine - celui-ci m'affichant 3 infections par trojans - et ayant appris sur des forums de sécurité qu'il s'agissait de "passwords stealers" il m'a fallu dans le doute changer tous mes mots de passe importants (donc ceux qui donnent accès à des infos personnelles et surtout à son pognon). En fait il s'agissait probablement des restes d'une infection dans les grandes largeurs quelques mois avant, et que j'avais mis plusieurs jours à résorber.
Ca m'a permis de me confronter à un sujet auquel je n'attachais jusque là pas beaucoup d'importance : la gestion des mots de passe. En quelques années on a accumulé des dizaines (oui des centaines, pourquoi pas) de mots de passe. 2.0 exige, chaque site exige désormais qu'on s'identifie (avec mot de passe donc) pour pouvoir apporter une contribution sur blogs, forums ou autres. Certains sites sensibles sont accessibles via mot de passe depuis le début : c'est le cas en particulier des sites qui ont accès à notre argent d'une manière ou d'une autre.
Et puis avec le temps les systèmes de sécurité ont évolué en même temps que les hackers arrivaient à les cracker. On a donc dû changer nos mots de passe régulièrement, pour augmenter leur taille, ajouter des chiffres, des symboles, ce qui rendait ces mots de passe de plus en plus difficile à retenir. Qui n'a pas été tenté à ce stade de choisir un seul et même mot de passe pour tout ? Ceci pose évidemment un ENORME problème de sécurité puisqu'il suffit qu'un pirate réussisse à carcker une des bases de données de stockage de mots de passe (que ce soit dans un serveur web ou sur votre propre PC) pour accéder ensuite à tous vos comptes bancaires, paypal, ebay et autres. Donc, consciencieusement vous avez opté (n'est-ce-pas ?) pour deux mots de passe : celui qui protège les données sensibles et un autre pour le tout venant des inscriptions en ligne. A ce stade il est probable que vous ayez d'ailleurs une boite mail "poubelle" pour éviter de devoir changer d'adresse email en cas de problème de spam ou autre lié à une inscription en ligne.
Dernière chose : il faut aussi se rappeler du login pour toutes ces inscriptions en ligne. Ca fait beaucoup de chose à retenir. Disons que c'est parfaitement impossible de tout retenir. Alors chacun a dû développer sa propre technique de gestion de mots de passe et identifiants. Qui a stocké dans un dossier de sa messagerie tous les mails reçus "félicitations ! vous êtes désormais inscrit sur le site trucmuche. Vos identifiants sont blablabla" (le mot de passe n'est généralement pas mentionné, sauf par les sites novices en matière de sécurité, mais vous avez sur le site un utilitaire de recouvrement de mot de passe avec une question personnelle en cas d'oubli). Qui a inscrit tout ça sur un papier qui traine sur le bureau. Qui a créé (hou là là , ça commence à balancer) un fichier .xls sur le bureau de l'ordi pour y tenir à jour la base de données des identifiants et mots de passe. C'est mal.
Entre le mot de passe unique et les mots de passe multiples il n'y a pas apparemement de bonne solution au niveau sécurité. Alors c'est là qu'on devrait pouvoir se tourner vers intenet et lui dire " bon tu m'as mis dans de beaux draps, et j'me suis niqué les doigts avec cette putain de collec de password, alors comment je fais maintenant ?". Internet semble donner un début de réponse. Il existe en effet des logiciels qui stockent vos mots de passe et identifiants. Je n'ai pas trop cherché à rentrer dans le détail mais ça a le mérite de faire ce stockage de manière sécurisée. Maintenant il faudrait continuer à développer ces outils afin qu'ils puissent changer dynamiquement les mots de passe sur les sites de vos choix. Car pour en revenir à ce qui a motivé l'écriture de ce billet, on est toujours pour l'instant confronté à la dure réalité du changement de mot de passe post-infection virusienne. Il faut se connecter sur chaque site (à supposer qu'on se souvienne donc des identifiants et mots de passe) et trouver le gestionnaire de changement de mots de passe - et croyez le ou pas, mais c'est pas toujours évident. Et dans tous les cas c'est très long.
Inscription à :
Publier les commentaires (Atom)
Tout à fait d'accord. Nous passons notre temps à avoir des mots de passe. Quelle solution alors ? Avoir toujours le même pour être sûr de s'en souvenir ?
RépondreSupprimerLe geek a déja trouvé la solution : le lecteur d'empreintes digitales
dont voici un test à cette adresse :
http://www.geekintouch.com/post/2008/10/07/Test
Est-ce que cela règle le problème du hack, je ne peux le certifier, mais cela a au moins le mérite de régler le fameux : "mais punaise, c'est quoi ce mot de passe déjà ?!" Ou bien de devoir utiliser l'option "vous avez perdu votre mot de passe".
Yo. C'est vrai que ce con d'internet nous a mis dans de beaux draps.
RépondreSupprimerPlusieurs solutions... mais aucune ne préservera de changer un mot de passe compromis par un keylogger. Donc considérons ça hors sujet.
1) avoir une grosse tête tout en minimisant le nombre de mots de passe (les merdiques, les sensibles, les mail). C'est moyennement viable à long terme...
2) gérer tous ses mots de passe par un outil protégé par... un mot de passe unique. Quand celui-là est compromis, vlan !
3) faire dépendre le mot de passe du service qu'il protège via un algorithme.
Par exemple, un exemple : "google"
On garde les consonnes : "ggl"
On remplace la deuxième par son rang alphabétique, la troisième en majuscule : "g9L"
On complète par une voyelle sur deux dans l'ordre alphabétique jusqu'à 7 caractères : "g9Laiue"
On remplace tous les i par 1 et e par 3: "g9La1u3"
On insère $ en avant dernier : "g9La1u$3". Tadaaaaa !
Oui, c'est psychopathique mais l'algorithme peut être beaucoup plus simple que ça tout en étant sûr et personnel.
MAIS ! C'est beaucoup trop taaaaard. "Si j'aurais su !" que je me suis dit, "j'aurais fait comme ça depuis le début". Ben non, le nom de son chien c'était bien quand internet était tout innocent. D'ailleurs, vous hallucineriez de savoir comment en voyant l'historique de mots de passe de bon nombre de personnes, on peut retracer leur historique de vacances !
Bref, c'est la merde. Mon conseil, faites au mieux et portez la plus grande attention à vos assurances bancaires.
Ah oui, dernière remarque...
RépondreSupprimerAu fur et à mesure que google phagocyte les petits services émergents montrant du potentiel, l'avantage c'est que tout converge vers notre seul et unique compte gmail.
Ce compte c'est la clef de ma vie puisqu'il héberge tous mes mails avec ce qu'ils contiennent de données personnelles ou de comptes sur d'autres sites. Sans parler de l'agenda, du blog, des photos, des documents, du pognon (eh oui, des sites maintenant utilisent le service google checkout). Et encore, je n'utilise qu'une fraction des services disponibles...
Tiens google, voilà ma vie privée, au moins avec toi, je suis tranquille.
Ceci dit, c'est pas si con, quitte à ce que ce M. Gmail sache tout de moi, autant que son père M. Google héberge le reste de mes services...
Pas bête le coup de l'algorithme pour se souvenir des mots de passe. Bon il faut passer 10 minutes à chaque fois à remettre le truc dans le bon sens mais normalement on en vient à bout.
RépondreSupprimerReste que :
- il n'y a pas intérêt d'avoir besoin de changer d'algorithme (parce que cracké par exemple) parce qu'on risque de finir quand même par se mélanger les pinceaux entre les mots de passe gérés par l'ancien algo (si tant est qu'on s'en souvienne après avoir changé) et le nouveau.
- et puis surtout on n'a pas réglé le changement dynamique des mots de passe de tous les comptes qu'on possède. Se souvenir de ses mdp c'est une chose, mettre à jours ceux-ci lors d'un crash de sécurité, c'est une autre paire de manche. Aujourd'hui je navigue avec la première option évoquée par Joel : différents mots de passe, pour des comptes plus ou moins sensibles. Mais j'ai ce système sur plusieurs "générations" de comptes informatiques et abonnements. Je ne me rappelle bien sûr plus des mots de passe antérieurs à 2007...Ca fait quand même une dizaine d'années de mots de passe. Alors face à un forum auquel je m'étais inscrit 2 ans auparavant j'hésite pas longtemps avant de me réinscrire à nouveau car je me rappelle plus quel mot de passe régissait ce type de compte là... Bien sûr j'utilise mon adresse poubelle !
Eh oui, gmail, ou n'importe quelle messagerie en ligne, c'est un peu l'outil dont on parlait, qui protège tous ses mots de passe par un mot de passe unique.
RépondreSupprimerC'est pratique et la faille c'est quand on se fait voler le mot de passe de la messagerie. Bon normalement les seuls sites dont on a conservé le message d'inscription avec mot de passe dans le mail sont des sites peu sensibles. m
Mis avec l'interconnexion de tout ça (j'ai des traces de ma messagerie poubelle dans ma vraie messagerie et inversement par exemple) on sait pas trop tout ce qu'une personne malveillante pourrait faire et tout ce qu'elle pourrait obtenir comme information en remontant les fils de notre activités internetoïde. L'avantage qu'on a encore c'est que ça nécessiterait un peu de travail de recherche et de bidouilles avant d'arriver à avoir des infos compromettant notre compte en banque mais pour ce qui est de la réputation numérique, c'est vite fait de poster des messages racistes sur des forums pour quelqu'un d'autre lorsqu'on possède ses identifiants de connexion...
Et puis, ça m'effleure l'esprit de temps en temps, si un jour google se crashe, il n'y aura pas grand chose à faire pour récupérer ses données. Rien que les mails, je crois pas que ça soit possible de les exporter vers une messagerie classique, une fois archivés ou labellisés. Au pire tout remettre en "inbox" et exporter le tout dans un compte POP, mais alors là si on fait pas planter le serveur en remettant des milliers de mails dans inbox...j'ai même pas envie d'essayer, au cas ou ça ferait sauter google...l'effet papillon, tout ça.