/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Dans cette série d'articles sur le "back to basics", -le retour aux fondamentaux-, je vais vous indiquer les points qui font toujours "mal" sur les centaines d'audits en sécurité que j'ai pu mener. Dans chaque cas, je détaillerai un moyen ou un outil pour vérifier et également une ou plusieurs parades à mettre en oeuvre.
En vérifiant ces quelque 12 points que j'ai identifiés, vous pourrez affirmer que vous avez une sécurité décente au delà de toute consideration des risques ou des menaces. En effet, il y a trois grands points communs à tous les systèmes d'information de la planète:
- Le système d'exploitation est Windows dans la quasi totalité des stations -clientes, pour les serveurs il est partagé entre Win Server -IIS et LAMP (Linux Apache - Mysql - Php)
- Tout utilisateur est connecté à Internet donc utilise une messagerie et un navigateur pour ce faire.
- Les attaquants ont accès à toute une blibliothèque d'outils et d'attaques.
Il en découle que les attaques sont toujours quasiment les mêmes et les vulnérabilités aussi. On peut en déduire un référentiel d'audit qui vérifie ces "fondamentaux" et élimine au moins tout ce qui est trop facile à exploiter. Certaines menaces viendront de l'intérieur et d'autres de l'extérieur, mais ça n'a pas d'importance pour ces vérifications qui permettront de bloquer les deux sources d'attaque.
-1- "LE LOGIN-PASSOIRE"
Les mots de passe constituent, et de loin, le talon d'Achille de la sécurité. Ils permettent l'accès aux données et même l'élévation de privilèges d'administration des données, des systèmes et des bases d'informations. Quelqu'un qui connait votre mot de passe Windows ou de messagerie devient littéralement "vous" sur Internet ou à travers les droits d'accès sur le système d'information de l'entreprise. Connaître le login-mot de passe de quelqu'un équivaut et "être" ce quelqu'un dans le monde numérique.
Ce qui est très étonnant c'est de trouver les mots de passe des utilisateurs sur leur propre disque dur, y compris le mot de passe de Windows. Certaines applications, dont le navigateur web, offrent la possibilité de mémoriser le mot de passe en local et parfois en clair ou quasiment. Il suffit alors d'avoir accès à la machine pour "vider" les mots de passe avec une simple clé USB.
Voici le site où vous pouvez télécharger les utilitaires permettant de fabriquer une telle clé USB:
Vous n'avez plus qu'à insérer la clé USB dans un ordinateur laissé ouvert sans protection pour récupérer les mots de passe de:
- tous les sites web où l'utilisateur s'est inscrit
- sa messagerie
- son mot de passe Windows (souvent celui du domaine)
- les mots de passe des applications réseau qui sont mémorisables
etc...
Pour en finir avec ce "login-passoire":
- vérifier toutes les machines et analyser quels mots de passe ont été laissés en clair en local en insérant la clé USB ainsi préparée.
- empêcher que le navigateur mémorise les mots de passe.
- fournir un système de SSO (single sign on) aux utilisateurs et un coffre fort numérique aux administrateurs de systèmes.
J'utilise "Lastpass" en tant que SSO
(source Lastpass.com):
-
Éliminer les mots de passe doublons
Les mots de passe identiques ou similaires sur plusieurs sites Web sont extrêmement dangereux. Vérifiez les résultats détaillés pour déterminer si vous avez des doublons. Visitez manuellement chaque site et changez votre mot de passe pour un nouveau qui sera à la fois unique et fort. La fonction de génération de mot de passe LastPass peut être utilisée pour créer rapidement et facilement des mots de passe forts.
-
Éliminer les mots de passe faibles
Générez des mots de passe plutôt que de reproduire le même mot de passe faible mais facile à mémoriser. La fonction de génération de mot de passeLastPass peut être utilisée pour créer rapidement et facilement des mots de passe forts.
-
Ne plus stocker les mots de passe non sécurisés
Si vous stockez vos mots de passe dans votre navigateur, sur des morceaux de papier, dans un mail, dans un document Microsoft Word, en ligne dans votre compte Google Docs ou dans n'importe quel format qui non sécurisé, alors vous prenez un risque grave et inutile. Le programme d'installation ou l'icône LastPass 'Outils - fonction d'importation' peut vous aider à vous assurer que vous n'avez pas de mots de passe non sécurisés stockés dans votre navigateur.
-
Commencer à utiliser un système d'authentification multifactorielle
L'utilisation d'un schéma d'authentification à 2 facteurs augmente de manière significative la sécurité de vos informations confidentielles. Pour en savoir plus sur l'utilisation d'un schéma d'authentification multifactorielle, merci de lire: Authentification Multifactorielle par Grille (gratuit pour tous les utilisateurs LastPass),Authentification Sesame multifactorielle (nécessite LastPass Premium), et Authentification YubiKey multifactorielle (nécessite LastPass Premium).
J'utilise une clef OTP Yubikey: http://yubico.com/yubikey
Ce qui me permet de n'avoir plus aucun mot de passe à mémoriser du tout !
-
Relancez le Défi Sécurité LastPass sur une base régulière
Rester en sécurité exige une vigilance constante. Après que vous ayez sécurisé tous vos comptes, n'oubliez pas de revenir après quelques semaines pour relancer le défi de sécurité LastPass pour vous assurer que vous avez continué à suivre les pratiques de stockage de mots de passe sécurisés.
et KEEPASS pour les administrateurs systèmes: http://keepass.info/
En appliquant ces quelques vérifications et règles simples votre sécurité va réaliser un progrès essentiel !