Sécuriser ses passphrases

Comment mettre en place une politique de mots de passe sécurisés.

Pour protéger certaines données, qu’il s’agisse de courriers ou de documents, vous avez souvent besoin de « passwords ». Attention à ne pas tomber dans certains écueils.Une règle de base : Plus un « mot de passe » est court et moins il y aura d’imagination dans le choix des caractères, plus il sera facile à cracker.

La variété des caractères

Des sites proposent aujourd’hui des réglages par défaut vous obligeant, au moment du choix de votre password, à entrer un ou plusieurs caractères numériques. Mais c’est à vous que cette idée doit arriver automatiquement en mémoire. Et pas que pour les chiffres, les caractères spéciaux sont aussi recommandés. idem pour les majuscules.

Un petit exemple

« Demain dès l’aube à l’heure où… » pourrait ainsi se transorfmer en d3m41n,d3sl’Aub3;4l,h3ur30u…

Si vous vous basez sur les 96 touches que vous offre le clavier :

0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSs
TtUuVvWwXxYyZz <SP>! »#$%&'()*+,-./:;<=>?@[]^_`{|}~

il faudra 83,5 jours pour craquer un password de 8 caractères, comme « B33r&Mug » au vu du nombre de combinaisons que peuvent tester les robots. Alors qu’en utilisant seulement les chiffres et les lettres, 62 caractères, votre password peut être découvert en 60 heures.

Plus c’est long…

Oui, bon, d’accord, elle est facile… mais c’est vrai ! Plus votre password sera long, plus vous multipliez le nombre de combinaisons possibles. Vous me direz que oui, mais ensuite, c’est difficile à retenir. Bon, sauf « demain dès l’aube… » qui est déjà dans tous les bons dictionnaires de passwords sous toutes les formes possibles, donc tu l’oublies.

C’est vrai qu’une succession de chiffres et de lettre de manière aléatoire peut être difficile sans enregistrer ses codes quelquepart (ce à quoi je me refuse, mais on parlera bientôt ici de keepass et ses alternatives), il font dont trouver quelques procédés mnémotechniques.

Les paroles de chansons, par exemple, peuvent être une bonne alternative si on décide de ne pas choisir un extrait de refrain des Beatles, tout autre morceau archiconnu. Réfléchissez ! Il y a forcément un morceau que vous adorez, dont vous vous souviendrez facilement et qui ne serait pas connu du grand public, du dialecte local, un morceau d’un groupes de potes…

Kakamou…

Kamoulox !

Une autre alternative peut aussi être le kamoulox, une série de mots sans queue ni tête.

Exemple :

« je photocopie du sable et je promène un Bee Gees »
j3ph0t0c0p13dusAbl3,
j3pr0m3n31BG

Hacking social

On a beau assez le répéter, je ne le fais que pour la forme sinon ce billet ne serait pas complet, évitez bien entendu les prénoms de vos enfants, votre adresse, vos passions… Sinon il sera très facile pour quelqu’un qui vous connaît, ne serait-ce qu’un peu, de deviner.

Bien entendu, évitez de mettre la même passphrase, aussi sécure soit-elle, sur tous vos comptes. A chaque porte son verrou, donc à chaque compte sa clé bien distincte.

  • Les liens qui vont bien

Oubliez les mots de passe, pensez phrases de passe
En combien de temps vos passwords sont-ils vulnérables ?
Et si tu chiffrais tes dossiers avec Truecrypt ?
Et si tu chiffrais tes mails avec GPG ?

 

Je ne suis pas fidèle

Saches, donc, que si tu possèdes une carte Virgin Megastore, tu vas être revendu… Comme un joueur de foot, sauf que toi, t’y gagnes rien. D’après le site des Antipubs, chaque information que tu déposes sur un site marchand est ensuite revendue 0,30 euros l’information… Triste monde.

 Non, madame, en tout cas pas au sens où nos marquetteux l’entendent. Je n’ai aucune carte de fidélité dans mon portefeuille.

Vous voulez une carte de fidélité ? ça donne droit à des cadeaux, à des réductions supplémentaires, et c’est trop bien, quoi ! Si tu es chanceux, dans ton commerce de proximité, grâce aux points accumulés, tu peux même gagner un grille pain !

Sont sympas, nos commerçants, ils pensent à nous, ils sont mignons…

Ben non, en fait. Ça t’étonne ?

Pour pouvoir t’envoyer des mails d’invitation aux pré (ou post) soldes, ils doivent avoir ton adresse, pour t’offrir une savonnette le jour de ton anniversaire, ils doivent récupérer ta date de naissance et ton adresse postale.

Tu vois où je veux en venir ?

La belle arnaque des cartes de fidélité, c’est qu’ils ne t’offrent rien. Par contre, toi, tu mets à disposition tout un tas de données personnelles (oui, y compris la liste des sports que tu aimes ou les lieux de tes dernières vacances pour gagner un rouge à lèvres).

Ces données sont ensuite revendues aux plus offrants et tu te retrouves comme par magie avec tout plein de boites qui te contactent pour des crédits à la conso (là, c’est quand ils voient que tu n’achètes pas souvent, et que du tchip), des assurances, d’autres boutiques qui te proposeront des chaussures dégriffées (mais que pour toi, hein!) de la couleur du pantalon que tu viens d’acheter.

Pas possible ?

Virgin, en liquidation judiciaire, vend les informations de ses fidèles

Ils sont 1 612 723 ! Combien de kébabs peut-on faire avec autant de moutons ? Si tu as la réponse, tu gagnes une carte e fidélité dans le magasin de ton choix.

Les données personnelles sont vendues aux enchères, le site précise d’ailleurs :

« 1 612 723 clients porteurs de la carte de fidélité au 31 décembre 2012 dont 1 211 105 clients contactables (adresse email valide) »

On est content pour eux.

Saches, donc, que si tu possèdes une carte Virgin Megastore, tu vas être revendu… Comme un joueur de foot, sauf que toi, t’y gagnes rien. D’après le site des Antipubs, chaque information que tu déposes sur un site marchand est ensuite revendue 0,30 euros l’information… Triste monde.

On apprend ce matin que les données de ces 1 612 723 personnes ont été vendues 122 euros a un inconnu… à 5 euros le kébab, on voit à peu près ce que ça peut donner, non ?

En attendant qu’on fasse un PiPhone pour spammer les spammeurs, c’est aussi (un peu) beaucoup ta faute, s’ils t’écrivent.

Ton dossier médical sur Internet

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

Voilà quelques mois que l’on parle de ces questions de sécurité de données médicales. Le marché est florissant et visiblement, tous les acteurs ne mettent pas le même entrain à chiffrer, puisque une Marseillaise à découvert, tranquillette en surfant sur la toile, son dossier médical en ligne.

Capture

Le cas n’est pas isolé puisqu’en février dernier, Actusoins révélait les résultats de son enquête sur l’accessibilité en ligne des données médicales. Il suffisait de taper le nom d’un médecin suivi de la mention « hopital foch » pour accéder au serveur de l’hosto de Suresne et se taper la totalité des dossiers de ses patients.

La faille a été réparée depuis mais il a quand même été possible d’accéder en quelques clics aux dossiers médicaux pendant plusieurs mois. C’est la non sécurisation en amont des données et le fait qu’il ait fallu que l’article sorte pour que l’administration hospitalière daigne prendre les choses en main qui est ici problématique.

Business de la protection sociale

Mieux ! le site révélait aussi que les listings étaient accessibles et que l’on pouvait ainsi connaitre jusqu’au numéro de chambre des patients et le service dans lequel ils étaient soignés… De quoi déduire, pour certains d’entre eux, que la personne hospitalisée est atteinte d’une grave maladie.

Les conséquences sont désastreuses puisque si fuite de données médicales il y a, les assurances peuvent s’en servir pour refuser de prendre en charge tel ou tel patient, pour augmenter leurs tarifs suivant les problèmes médicaux des personnes… Le business de la protection sociale que cela pourrait entraîner s’ajouterait donc à la violation de vie privée.

L’enquête pointe aussi du doigt la volonté de certaines administrations hospitalières à refuser de faire appel à des sociétés agréées par l’Etat, qui garantissent la protection de ces données médicales. Elles préfèreraient auto-héberger leurs données dans des conditions de sécurité déplorables plutôt que de dépenser le budget nécessaire.