Faire la vie dure aux hackers en protégeant votre courriel (et une histoire de sous-marin)
Il y a à peine deux mois, Mat Honan a vu sa vie numérique entière être détruite à cause de failles chez Amazon et Apple. Comme ce denier l’explique, il aurait pu se protéger plutôt que de perdre le contenu de son ordinateur personnel, son compte Twitter, son compte de courriel, bref, de perdre sa vie numérique. Pour les curieux, faites en la lecture, l’histoire fait peur, mais revenez vite puisque je vais vous expliquer comment vous protéger (et probablement même simplifier votre présence en ligne). Pour les moins curieux, ça tombe bien, je vais quand même vous expliquer comment vous protéger ici.
Faites l’exercice rapidement. Combien de comptes possédez-vous sur internet? Un? Deux? Vous n’êtes pas certains et ça j’en suis sûr.
La majorité des gens en possèdent au moins deux : Un compte de courriel et un Facebook. Ce nombre augmente très rapidement si vous considérez les sites d’achats en ligne, les panneaux de contrôles des compagnies de télécommunication comme Bell et Vidéotron ou encore votre site web en WordPress ou Silverstripe.
Tous ces sites exigent de vous identifier avant d’accéder à leur service et c’est une bonne chose. Pourtant, l’internet dans sa forme actuelle ne dispose pas d’une tonne de façon de vous identifier ou de vous acheminer vos mots de passes quand vous les oubliez. Et c’est là que le bât blesse. Le courriel est devenu la pierre angulaire de votre présence web. Si votre compte de courriel est compromis, vous ouvrez toute grande la porte à faire voler votre identité. En perdre l’accès revient à perdre son portefeuille ou son téléphone portable et implique de contacter beaucoup, beaucoup de gens pour leur indiquer vos nouvelles coordonnées et leur prouver (dans le cas de sites commerciaux) que vous êtes bien la personne que vous prétendez être.
Sans être devin, j’imagine que certains se disent : « je ne suis pas à risque, j’ai un bon mot de passe ». C’est ce que l’auteur de l’article sur Wired.com avait un bon mot de passe aussi; pourtant la personne qui a compromis tous ces comptes (en plus de détruire les données de son téléphone et son ordinateur personnel) n’a pas eu besoin d’un mot de passe pour y arriver.
En sécurité il existe trois éléments principaux pour identifier quelqu’un et sa capacité à accéder un service. Ces trois éléments sont :
- quelque chose que vous connaissez : un code secret, votre courriel, votre mot de passe, votre nom d’utilisateur, votre NIP;
- quelque chose que vous possédez : votre carte de crédit, une clef, votre rapport d’impôt;
- quelque chose que vous êtes : votre ADN, votre voix, vos empreintes digitales, vos yeux.
Si vous remarquez bien, du premier au dernier, la complexité à obtenir et dupliquer un élément de sécurité va en croissant. Il en va de même de la probabilité pour le propriétaire légitime de réaliser la copie ou la perte de l’élément de sécurité. Il est bien plus facile de deviner, noter, copier, un code secret (sans être remarqué) que de répliquer / voler les empreintes digitales de quelqu’un. On augmente aussi le niveau de sécurité lorsqu’on combine des éléments de sécurité de plusieurs catégories. Par exemple votre carte de guichet à puce avec un NIP est beaucoup plus sécuritaire que votre numéro de compte bancaire seul pour protéger votre argent.
Revenons aux comptes sur le web et à votre courriel. Combien d’éléments doivent être connu pour accéder à votre courriel? Dans combien de catégories? Combien de ces éléments sont réellement secrets? Dans les faits, la majorité des comptes de courriel sont protégés par un seul élément de sécurité : votre mot de passe. Et les procédures de récupération de mot de passe permettent facilement de le contourner (la démonstration est dans l’article de Wired.com). C’est encore plus vrai que la majorité des procédures d’identification ou de récupération de mot de passe utilisent des éléments de la première catégorie (quelque chose que vous connaissez); éléments qui sont le plus facile à dupliquer et le plus difficile à reconnaître qu’ils ont été compromis.
C’est une des raisons pour lesquelles je recommande Google Apps pour les courriels. Ils offrent des fonctions de sécurité qui visent à protéger votre identité et le contenu de votre boite de courriel. La façon la plus simple d’y arriver est d’utiliser l’authentification à facteur multiple. Différents services offrent différentes méthodes mais l’idée est la même: utiliser plus qu’un mot de passe pour vous identifier. Ce que j’ai de Google c’est qu’ils ont développé une petite application qui s’exécute sur votre téléphone intelligent iPhone/iPod/iPad ou Android appelé « Google Authenticator ». Cette dernière génère des mots de passes valide pour une durée de 30 secondes. L’application ne vous intéresse pas? Ils peuvent vous envoyer un SMS qui contient ce code lors de la connexion sur un ordinateur non reconnu. Ce que j’aime de l’application « Google Authenticator » c’est qu’elle fonctionne sans connexion réseau comme en voyage et qu’elle fonctionne avec plusieurs fournisseurs de service et même avec votre blogue WordPress et site Silverstripe.
Dans la pratique comment ça fonctionne? Très simplement en fait. Une fois votre nom d’utilisateur et votre mot de passe saisi, Google vous demande alors un code que vous récupérez sur votre téléphone. Vous pouvez sauter cette étape sur votre ordinateur pendant 30 jours pour vous simplifier la vie. Et si vous êtes fan des films de guerres et de sous-marin, vous pouvez même avoir ces codes pré-imprimés sur une feuille de papier (bon ça sonne très Geek mais c’est quand même hyper cool).
Et voilà, une fois activé vous avez maintenant un compte beaucoup plus sécurisé puisque vous devez utiliser pour vous identifier de quelque chose que vous connaissez et de quelque chose que vous possédez.
Pour l’activer, suivez les instructions dans la section Sécurité de votre compte Google. Les étapes sont bien décrites. Une fois cette fonction de sécurité activée il ne vous restera qu’à configurer des mots de passes spécifiques pour votre téléphone intelligent ou encore votre client de courriel ces derniers ne supportant pas nécessairement la validation en deux étapes. La procédure de sécurisation est différente si vous êtes sur Yahoo. À ce moment, Microsoft n’offre pas cette fonction pour les comptes Hotmail.
Une fois habitué à cette procédure vous vous demanderez certainement pourquoi votre institution bancaire n’offre pas l’authentification à facteur multiple et vous vous mettrez certainement en quête d’autre comptes à sécuriser. À ce sujet, si vous connaissez d’autres services qui offrent l’authentification à facteur multiple n’hésitez pas à me le mentionner.
p.s. Si vous êtes déjà un client M2i3 et que vous n’arrivez pas à trouver cette fonction dans votre compte Google Apps envoyez-nous un message puisqu’il faut souvent l’activer. De même, n’hésitez pas à me contacter par courriel si vous désirez transférer les courriels de votre corporation sur Google Apps pour tirer profiter de l’authentification à facteur multiple.
—
Jean-Marc
Liens discutés dans ce blogue
Envoyer votre commentaire
Commentaires
Personne n’a encore commenté cette page.
flux RSS pour les commentaires de cette page | Flux RSS pour tous les commentaires