Dans mon activité de webmaster, je suis souvent confronté à un souci majeur de sécurité informatique avec mes clients. En effet, lors de la livraison d'un site, je dois communiquer au propriétaire, des données sensibles (identifiants et mots de passe). Ma préoccupation est la sécurisation du transfert de ces données. Voici comment il est possible de le résoudre.
J'ai collaboré récemment avec un cabinet de stratégie digital qui transmettait toutes les informations sensibles concernant le client final directement par mail, sans aucune sécurité et sans aucun chiffrement ! Autant dire que travailler dans de telles conditions, ramène la sécurité du projet à un niveau proche de zéro.
Il y a trois types de données qui ne doivent JA-MAIS circuler via un email non crypté :
- Les informations d'une carte de crédit,
- Un numéro de Sécurité Sociale,
- Les mots de passe.
Sécuriser la communication des mots de passe
Quelles sont les conséquences d'un incident sur un mot de passe ?
L'industrie de la sécurité informatique a établi des critères qui permettent de déterminer le niveau de gravité d'un problème de sécurité à partir de deux questions :
- Y a-t-il eu une violation des règles de sécurité qui a rendu possible cette fuite ?
- Qui était en possession de l'information ?
Disposer de ces réponses permet de retracer le mode opératoire et permet de contenir et de corriger l'incident. Dans mon cas, plusieurs acteurs (le client final, le cabinet, un prestataire externe et moi-même) étaient en possession d'informations que je qualifie volontairement de sensibles. Nous avons eu la chance car il n'y a pas eu de fuites. Les implications financières d'une faille de sécurité importante peuvent devenir des véritables cauchemars. S'il y avait eu une violation de l'intégrité du site du client final, cela se serait certainement traduit par une fuite des informations des clients inscrits sur le site, une violation de très nombreuses données qu'il contient et une très grosse perte de chiffre d'affaires (sans compter l'impact négatif sur l'image de marque de l'entreprise).
Il n'en faut pas plus pour se retrouver, malgré soi, en tête de l'actualité locale ou nationale... et voir une entreprise couler définitivement en quelques semaines. Et en prime, vous aurez droit à une action en justice de la part des clients qui ont été lésés.
Comment résoudre un incident informatique
Dès que vous avez connaissance de l'incident, la première chose à faire est de contacter votre équipe informatique : webmaster, hébergeur, etc. C'est une course de vitesse qui s'engage à partir de maintenant. Aussi plus rapidement vous pouvez communiquer l'information, plus vite ils pourront intervenir pour règler l'incident. Vous aurez tous le temps de réfléchir aux erreurs qui ont rendu possible cet incident une fois que celui-ci aura été fixé.
Dès que vous avez réuni tous les acteurs concernés, il faut commencer par mettre en place un plan d'actions efficaces pour repartir. Cela inclut généralement :
- Bloquez immédiatement tous les accès au système compromis, changer les mots de passe et faites auditer les logs du serveur,
- Il faut aviser le client final si ce n'est pas vous. S'il dispose d'une équipe de sécurité, demandez-lui à travailler de concert avec votre équipe pour apporter les corrections nécessaires.
- Nettoyez le serveur de messagerie. Supprimez tous les messages de toutes les boites mails du site compromis aussi bien sur le serveur que dans toutes les boites mails.
- Mettez en place un plan de communication avec le client final concernant l'utilisation des mots de passe.
- Si vous n'avez plus confiance en la personne qui gérait jusqu'ici votre projet, il faut prendre la décision de la remplacer. Vous risquez peut-être de perdre du temps mais à moyen/long terme, cela vaut le coup. Vous devez être parfaitement en confiance avec les personnes qui ont accès aux données les plus sensibles de l'entreprise.
Communiquer des mots de passe
Une planification préalable et un rappel régulier des procédures élémentaires de sécurité auraient sans doute pu éviter cet incident. Aussi, il est important d'établir des règles de base avant que le travail commence. En ce qui concerne la communication sécurisée des mots de passe, voici quelques pistes :
- Communiquer les mots de passe verbalement, directement à la personne,
- Communiquer les mots de passe par SMS ou messagerie type WhatsApp,
- Communiquer les mots de passe via email cryptés. Il existe quelques bons outils Open Source pour crypter vos emails. Cela nécessite un peu de configuration au départ mais cela s'avère bénéfique dans le cadre de relations professionnelles suivies. Je vous conseille un outil comme Enigmail.
- Transférer les mots de passe via un coffre-fort tel que KeePass. Cet outil vous permet de stocker les noms d'utilisateur, les mots de passe, les adresses et des notes dans un seul fichier. Le tout est ensuite crypté et protégé par un mot de passe. Vous n'avez plus qu'à communiquer ce mot de passe avec l'une des méthodes décrites ci-dessus.
Le sujet de la sécurité est essentiel et si besoin, je vous invite à (re)lire l'article consacré aux outils en ligne permettant de tester sa sécurité.
Mais tout cela ne sert à rien si vous n'avez pas la culture de la sécurité en tête lors de la création de vos mots de passe. Le prénom de vos enfants ou votre date de naissance ne sont pas des mots de passe sécurisés ! Un mot de passe sécurisé est unique - vous ne l'utilisez qu'une seule fois - et comporte au minimum 15 caractères contenant des lettres majuscules, des minuscules, des chiffres et des caractères spéciaux.
Exemples de mots de passe sécurisés : %^'{OE>IT|w$#0.cG - rMH+uC8/;IWF&x1MU - `L4(2Re!,EusX-LZ~`h ...
Vous avez besoin d'aide pour générer des mots de passe sécurisés ?
- etc
Conclusion
Avez-vous entièrement confiance sur la façon dont votre entreprise gère ses mots de passe et la sécurité de ses données ?
Avec une bonne préparation préalable et une culture régulière sur la sécurité informatique, vous pouvez vous éviter d'énormes maux de tête tout en favorisant vos relations professionnelles. Si vous avez une équipe informatique en interne, demandez-leur comment sont stockés et communiqués les mots de passe. Si vous travaillez avec des prestataires externes, adoptez les mêmes règles de sécurité que pour vos équipes en interne.
Si vous avez des questions ou si vous utilisez d'autres méthodes de partage ou d'autres applications pour la gestion et la communication des mots de passe, n'hésitez pas à commenter cet article.