Back to basics -1- : les mots de passe

Back to basics -1- : les mots de passe

Image3.png

 

Dans cette série d’articles sur le « back to basics », -le retour aux fondamentaux-, je vais vous indiquer les points qui font toujours « mal » sur les centaines
d’audits en sécurité que j’ai pu mener. Dans chaque cas, je détaillerai un moyen ou un outil pour vérifier et également une ou plusieurs parades à mettre en oeuvre.

Image4.png

En vérifiant ces quelque 12 points que j’ai identifiés, vous pourrez affirmer que vous avez une sécurité décente au delà de toute consideration des risques ou des
menaces. En effet, il y a trois grands points communs à tous les systèmes d’information de la planète:

Le système d’exploitation est Windows dans la quasi totalité des stations -clientes, pour les serveurs il est partagé entre Win Server -IIS et
LAMP (Linux Apache – Mysql – Php)

Tout utilisateur est connecté à Internet donc utilise une messagerie et un navigateur pour ce faire.

Les attaquants ont accès à toute une blibliothèque d’outils et d’attaques

Il en découle que les attaques sont toujours quasiment les mêmes et les vulnérabilités aussi. On peut en déduire un référentiel d’audit qui vérifie ces
« fondamentaux » et élimine au moins tout ce qui est trop facile à exploiter. Certaines menaces viendront de l’intérieur et d’autres de l’extérieur, mais ça n’a pas d’importance
pour ces vérifications qui permettront de bloquer les deux sources d’attaque.

Image1.png

 

-1- « LE LOGIN-PASSOIRE »

Les mots de passe constituent, et de loin, le talon d’Achille de la sécurité. Ils permettent l’accès aux données et même l’élévation de privilèges d’administration
des données, des systèmes et des bases d’informations. Quelqu’un qui connait votre mot de passe Windows ou de messagerie devient littéralement « vous » sur Internet ou à travers les droits d’accès
sur le système d’information de l’entreprise. Connaître le login-mot de passe de quelqu’un équivaut et « être » ce quelqu’un dans le monde numérique. 

 

Ce qui est très étonnant c’est de trouver les mots de passe des utilisateurs sur leur propre disque dur, y compris le mot de passe de Windows. Certaines
applications, dont le navigateur web, offrent la possibilité de mémoriser le mot de passe en local et parfois en clair ou quasiment. Il suffit alors d’avoir accès à la machine pour « vider » les
mots de passe avec une simple clé USB.

 

Voici le site où vous pouvez télécharger les utilitaires permettant de fabriquer une telle clé USB:

http://www.nirsoft.net/

 

Vous n’avez plus qu’à insérer la clé USB dans un ordinateur laissé ouvert sans protection pour récupérer les mots de passe de:

– tous les sites web où l’utilisateur s’est inscrit

– sa messagerie

– son mot de passe Windows (souvent celui du domaine)

– les mots de passe des applications réseau qui sont mémorisables

etc…

Pour en finir avec ce « login-passoire »:

– vérifier toutes les machines et analyser quels mots de passe ont été laissés en clair en local en insérant la clé USB ainsi préparée.

– empêcher que le navigateur mémorise les mots de passe.

– fournir un système de SSO (single sign on) aux utilisateurs et un coffre fort numérique aux administrateurs de systèmes.

J’utilise « Lastpass » en tant que SSO

https://lastpass.com/

(source Lastpass.com):

  • Éliminer les mots de passe doublons

    Les mots de passe identiques ou similaires sur plusieurs sites Web sont extrêmement dangereux. Vérifiez les résultats détaillés pour déterminer si vous avez des doublons. Visitez manuellement
    chaque site et changez votre mot de passe pour un nouveau qui sera à la fois unique et fort. La fonction de génération de mot de passe LastPass peut être utilisée pour créer
    rapidement et facilement des mots de passe forts.

  • Éliminer les mots de passe faibles

    Générez des mots de passe plutôt que de reproduire le même mot de passe faible mais facile à mémoriser. La fonction de génération de mot de
    passe
    LastPass peut être utilisée pour créer rapidement et facilement des mots de passe forts.

  • Ne plus stocker les mots de passe non sécurisés

    Si vous stockez vos mots de passe dans votre navigateur, sur des morceaux de papier, dans un mail, dans un document Microsoft Word, en ligne dans votre compte Google Docs ou
    dans n’importe quel format qui non sécurisé, alors vous prenez un risque grave et inutile. Le programme d’installation ou l’icône LastPass ‘Outils – fonction d’importation’ peut vous
    aider à vous assurer que vous n’avez pas de mots de passe non sécurisés stockés dans votre navigateur.

  • Commencer à utiliser un système d’authentification multifactorielle

    L’utilisation d’un schéma d’authentification à 2 facteurs augmente de manière significative la sécurité de vos informations confidentielles. Pour en savoir plus sur l’utilisation d’un schéma
    d’authentification multifactorielle, merci de lire: Authentification Multifactorielle par Grille (gratuit pour tous les utilisateurs LastPass),Authentification Sesame multifactorielle (nécessite LastPass Premium), et Authentification YubiKey multifactorielle (nécessite LastPass Premium).

     

    J’utilise une clef OTP Yubikey: http://yubico.com/yubikey

     

    Ce qui me permet de n’avoir plus aucun mot de passe à mémoriser du tout !

  • Relancez le Défi Sécurité LastPass sur une base régulière

    Rester en sécurité exige une vigilance constante. Après que vous ayez sécurisé tous vos comptes, n’oubliez pas de revenir après quelques semaines pour relancer le défi de sécurité LastPass
    pour vous assurer que vous avez continué à suivre les pratiques de stockage de mots de passe sécurisés.

 

 

et KEEPASS pour les administrateurs systèmes: http://keepass.info/

 

En appliquant ces quelques vérifications et règles simples votre sécurité va réaliser un progrès essentiel !