Quiconque veut être en sécurité doit se protéger soi-même

Une déclaration de Sergej Schlotthauer, VP Security chez Matrix42, concernant le piratage des célébrités et des personnes politiques en Allemagne


Pensez-vous vraiment que c’est un élève qui a piraté une grande quantité de données provenant de célébrités et de personnes politiques et qui les a publiées sur Twitter en guise de calendrier de l’Avent ? Lors de l’interrogatoire, l’accusé n’a même pas réussi à contourner une authentification à deux facteurs, qui a pourtant été un élément de l’attaque selon les autorités. Il est plus probable que plusieurs pirates aient participé à l’attaque et que toute la lumière n’ait pas été faite sur cette affaire. Appréhender les vrais coupables est extrêmement difficile et empêcher de telles attaques est presque impossible pour l’État et les autorités. Quiconque veut être en sécurité doit se protéger soi-même. Mais quelle protection est la bonne ?

 

Le mot de passe sécurisé

Il faut tout d’abord considérer les mots de passe ; on entend toujours des mises en garde sur l’utilisation de mots de passe trop faciles ou sur le fait de les manier sans précaution. On peut trouver des directives à ce sujet publiées par des instances officielles telles que l’ANSSI sur Internet depuis des années. Malgré cela, on lit toujours avec surprise que « 123456 » est encore le mot de passe le plus utilisé ; comment est-ce possible ? Le problème vient peut-être justement des recommandations officielles, car un mot de passe doit être complexe et comporter différents types de caractères. Il est alors difficile d’apprendre ces mots de passe par cœur, d’autant plus que l’on a aujourd’hui besoin de nombreux mots de passe. Il faut alors les noter quelque part, ce qui pose également un problème.

 

Le gestionnaire de mots de passe sécurisé

Comment puis-je m’assurer que mes mots de passe sont disponibles lorsque j’en ai besoin, mais sans que des tiers puissent me les dérober ? Les gestionnaires de mots de passe modernes peuvent fournir une solution. Ils fonctionnent comme un coffre-fort sur l’ordinateur ou dans le cloud. On ne doit se souvenir que d’un mot de passe: celui permettant d’ouvrir le coffre-fort. Tous les autres mots de passe sont chiffrés dans le gestionnaire de mots de passe.

 

Chiffrement sécurisé

La deuxième mesure de sécurité qui est souvent évoquée est le chiffrement. Certes, il n’empêche pas le vol des données, mais au moins, elles sont inutilisables pour le voleur. Les efforts nécessaires pour décrypter les clés de chiffrement modernes sont bien trop importants pour un pirate ordinaire. Pourtant, le chiffrement est bien trop rarement utilisé, aussi bien dans le domaine privé que pour les activités commerciales. Mais pourquoi ? La commodité pour les utilisateurs joue ici un grand rôle. La méthode de chiffrement la plus répandue est celle du chiffrement basé sur des conteneurs. Elle nécessite de définir un conteneur, de le créer et de générer un mot de passe pour celui-ci. Toutes les données placées dans le conteneur sont chiffrées. Si l’on doit à nouveau se servir de ces données, il faut à chaque fois ouvrir le conteneur à l’aide du mot de passe. Cela signifie que des étapes de travail supplémentaires et pénibles sont nécessaires, et ce, à chaque fois que l’on souhaite chiffrer ou déchiffrer des données. Des mots de passe supplémentaires s’ajoutent ici aussi à la collection.

 

Mais s’il est conseillé de tout chiffrer de toute façon, pourquoi a-t-on besoin d’un conteneur ? Pourquoi ne pas simplement chiffrer toutes les données lors du processus d’enregistrement classique ? C’est exactement ce que font les solutions de chiffrement basées sur les fichiers ou « à la volée », sans aucune étape de travail supplémentaire. On s’identifie une fois et les données sont toujours prêtes à l’utilisation. Si l’on y ajoute une authentification à deux facteurs, le niveau de sécurité est très élevé. Du fait de leur maniement simple, ces méthodes sont recommandées pour les utilisateurs informatiques à la fois privés et professionnels. Pour les données utilisées à des fins professionnelles, le RGPD de l’Union européenne prescrit en outre le chiffrement des données personnelles ; ce problème serait donc résolu par la même occasion.

 

L'ordinateur sécurisé et géré

Pour les activités commerciales, un troisième principe important s’applique : seul un ordinateur géré est un ordinateur sûr. Tous les appareils informatiques professionnels doivent obligatoirement être intégrés dans la gestion de la sécurité et du réseau de l’entreprise. La sécurité des entreprises et des organisations est la plus élevée lorsque celles-ci mettent en place une solution qui propose la gestion et la sécurité de tous les points terminaux depuis une seule source.