Quelques notions de sécurité rudimentaires

Tout d'abord, il y a un concept à bien comprendre. L'expression "sécurité parfaite" est une hérésie, c'est tout bonnement impossible, la seule chose qu'on puisse faire, c'est jouer avec les probabilités, et tenter par tous les moyens possibles de les rendre aussi proche de 0 que possible. En tant qu'utilisateur, la seule manière de manipuler cette probabilité est de jouer sur la complexité des mots de passe.

Si un site internet vous propose de vous renvoyer le mot de passe que vous avez déterminé, cela implique que le mot de passe est stocké soit en clair soit avec un chiffrement réversible, autrement dit n'importe qui peut y avoir accès. Ce genre de site est à bannir, n'hésitez pas à envoyer à un mail de plainte à l'administrateur, cette pratique peut être hautement préjudiciable et doit cesser. (Au passage, merci de ne plus utiliser du MD5 ou SHA-1 pour hasher les passwords, mais préférer le SHA-2 (SHA-256/SHA-512)

J'ai lu il y a qqs temps une expression qui m'avait plu et qui reflête ce que je pense dans une certaine mesure, "un bon mot de passe est un mot de passe impossible à mémoriser". Si vous êtes capable  de le mémoriser, il n'y a que 4 issues possibles : soit vous êtes un génie, soit il est trop petit, soit il est régie par un logique donnée que vous utilisez partout, soit vous utilisez le même partout.

Si il est trop court, cela implique qu'il peut être cracké en moins d'une journée, si il est régie par une logique, si quelqu'un obtient d'une quelconque manière un seul de vos mots de passe, il les récupère tous et finalement, si vous utilisez le même partout .. cela rejoint le point précédent.

Il est donc primordiale d'utiliser des mots de passe complexes, générés par un système aussi aléatoire que possible (j'ai conscience que le terme 'aléatoire' est aussi une hérésie, mais c'est un autre débat cf le paradoxe de Borel). Et surtout de systématiquement en générer un nouveau à chaque fois qu'on vous en demande un.

La question qui se pose est quel logiciel utiliser, pour générer et stocker ces dizaines (voir centaines) de mots de passe. Mon choix s'est porté sur PassReminder, basé sur Java, il est multi-OS (Linux, Win, Mac), il existe en version portable pouvant être déployé sur une clé USB sans installation préalable. Il est flexible et gère une arborescence de répertoire complexe, ce qui permet de manager proprement et rapidement tous ces passwords. L'archive est encodée en blowfish, un algorithme de chiffrement fiable vu qu'à l'heure actuelle, seule une recherche exhaustive permet de le casser (c'est le type de crackage le plus long qui soit, il peut prendre plusieurs années sur un ordinateur lambda-on l'appelle plus couramment brute-force).

L'archive PassReminder est régie par un Master Password, il est important de le rendre extraordinairement complexe, pour ma part, j'utilise une phrase de 200 caractères contenant une séquence de chiffres au début et à la fin. Assez facile à retenir, mais une attaque par brute force mettrait des centaines d'années pour la trouver au vu des combinaisons possibles. (2¹⁰⁰⁰ combinaisons grossièrement)

Exemple : 853516J'ai voulu acheté du pain ce matin mais la boulangerie était fermée car un comète s'est écrasée sur la Tour Eiffel5698547

Mais pourtant j'ai dit au début de l'article, qu'il était important que le password ne soit pas mémorisable, certes, cependant ce mot de passe n'a pas pour vocation d'être utilisé sur le wan, vous ne l'utiliserez qu'en local cela réduit donc énormément les chances qu'il soit intercepté (Il est très important d'avoir un bon anti-virus qui détecte les keyloggers - programme malicieux qui enregistre toutes les frappes au clavier et qui les envoit à un tiers-évitez les solutions gratuites qui ont des performances pitoyables sur les programmes qui se réécrivent (polymorphes), il faut qu'il gère une analyse comportementale et non uniquement par empreinte, des solutions comme BitDefender, Kaspersky ou McAffee sont à préférer).

Poussons le raisonnement un peu plus loin, admettons que cette archive soit récupérée par un quelconque moyen et cracké par BotNet (un réseau de machines zombies soumis à la volonté d'un pirate - un ordinateur sur 5 est concerné (et ce n'est pas de l'intox ... cela étant, ces réseaux sont censés être sous haute surveillance), autrement dit BotNet peut prétendre posséder plusieurs Exaflops (1 Exaflop = un trillion (un milliard de milliards) d'opérations par seconde).

On va donc en remettre une couche et placer l'archive dans une partition blindée créée via l'excellent logiciel (portable lui aussi) TrueCrypt. Parenthèse à part, TrueCrypt permet de créer des partitions contenus dans un fichier, ce qui a pour énorme interet de pouvoir sauvegarder rapidement une partition contenant des milliers de fichiers en quelques secondes, de fait il est 100 à 1000 fois plus rapide de copier un fichier de 1Go que 100.000 fichiers de 1Ko-au passage cela peut aussi permettre d'alonger la durée de vie de votre hdd surtout si vous êtes utilisé des partitions type FAT(32) ou NTFS).

On choisiera bien entendu la méthode de chiffrement la plus fiable disponible (je vous conseille le triplet Serpent-Twofish-AES - Truecrypt (parmis d'autres tel que Bestcrypt et m-crypt ) utilisent des chiffrements en cascade ce qui rend le chaine chiffrée quasiement inviolable). On pendra soin encore une fois d'utiliser un master password aussi complexe que possible.

Et pour finir, en mode utlra parano, personne ne vous empêche de mettre cette partition chiffrée dans une autre partition chiffrée .. ce qui fait un total de 3 master password de 200 caractères à connaître.

Ce qu'il faut retenir, c'est utiliser un manager de mot de passe tel que PassReminder ! Pour le reste .. à priori ce n'est pas 'fortement' utile si vous ne traitez pas de données extremement sensibles.