dimanche 20 décembre 2020

Cybersécurité - Sécuriser son ordinateur et ses données

Dans le précédent article, nous avons fait le tour (ou presque) des mots de passe. Vous avez donc normalement des mots de passe résistants et soigneusement rangés dans votre gestionnaire de mots de passe.

Tout est donc parfait... ou presque

...pour faire simple, disons qu'avec des moyens rudimentaires il ne faut que quelques minutes pour contourner le mot de passe et dérober les données d'un ordinateur volé/perdu au bureau, dans le train...

Plutôt que de vous demander ce qu'il arrivera à vos dossiers clients quand vous vous ferez voler votre portable en terrasse comme votre collègue Michel la semaine dernière, je vous propose de continuer notre programme.

  • Les Mots de passe
  • Sécuriser son ordinateur et ses données
  • Finir de sécuriser ses données - A venir

 N'hésitez pas m'indiquer si vous souhaitez que j'aborde d'autres thèmes.

 

Sécuriser son ordinateur et ses données

Pour démarrer votre ordinateur, certes il faudra votre mot de passe, mais rien n'empêchera le pirate d'extraire votre disque dur et d'accéder à vos données comme s'il s'agissait d'un vulgaire disque externe.

Il existe une solution simple : crypter le disque... Pour accéder aux données, soit il faut suivre la logique du système et fournir le mot de passe, soit il faut chercher à casser le chiffrement. La solution devient alors beaucoup moins évidente pour qui veut accéder à vos données.

Il existe plusieurs logiciels de chiffrement. Cela va du bricolage le plus sommaire au logiciel certifié par l'Etat. Je vous propose un juste milieu qui vous tend les bras : BitLocker intégré en standard dans Windows (je pars du principe que nos amis Linuxiens sont suffisamment avancés pour ne pas avoir besoin de cet article et de mes lumières).

Notons toutefois que BitLocker n'est pas validé par l'ANSSI, cette solution n'a donc pas vocation à protéger des données à caractère stratégiques pour une entreprise (le prochain article abordera ce thème plus en détail, même nous restons, encore une fois, dans une démarche de vulgarisation).

 

Et maintenant cliquons 😁

Il existe plusieurs façon de lancer BitLocker (notamment depuis le panneau de configuration), mais la plus simple est de commencer depuis l'Explorateur de fichiers.
  • Cliquez avec le bouton droit sur C:
  • Cliquer sur Activer BitLocker
 
Si vous obtenez ce message d'erreur, c'est que Windows ne trouve pas votre puce TPM. Vérifiez sur le site du constructeur de votre machine si votre ordinateur en possède une et s'il existe une procédure pour l'activer.
 
Sinon BitLocker s'initialise
 
L'assistant vous demande où vous souhaitez enregistrer votre clé de récupération. Il s'agit d'une sorte de double des clés si l'ordinateur perd sa clé de démarrage principale. Gardez la en sécurité, sinon vous pourriez perdre définitivement accès à vos données.
Une fois sauvegardée, cliquez sur Suivant

Cliquez simplement sur Suivant

... et encore sur Suivant

Je recommande vivement de sélectionner Exécuter la vérification du système BitLocker.
Cela permet notamment au système de vérifier que votre puce TPM fonctionne correctement.
Cliquer sur Continuer

 

Selon les options choisies, le poste pourra demander redémarrer avant de lancer le chiffrement du disque.

 

On peut suivre l'état du chiffrement de la machine dans Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.

 

Vous noterez dans l'explorateur qu'un petit cadenas est apparu, indiquant que votre volume est désormais chiffré.


 

Et les clés USB, les disques externes ?!

Cette démarche permet également de protéger vos clés USB et autres disques durs internes ou externes. La protection pourra reposer sur un mot de passe voire même une carte à puce.

En configurant le déverrouillage automatique (dans le propriétés de BitLocker), on peut facilement protéger ses données tout en gardant une expérience utilisateur extrêmement fluide.


Conclusion

Votre disque (et même vos clés USB) étant maintenant chiffré(s), vous n'êtes plus vulnérables à la plupart des attaques directes contre votre disque dur : réinitialisation des mots de passe, accès direct aux données...

Cette protection comporte néanmoins plusieurs grosses limites :

  • Cette solution ne protège pas vos données en cas d'attaque de votre poste (virus, vol de données depuis le réseau...) ;
  • Cette solution ne protège pas vos données en transite, ailleurs sur votre poste : serveur externe, cloud, messagerie...

 Nous verrons dans un prochain article comment protéger de façon plus sûres les données.

 

 

Pour aller plus loin :

Pour protéger le système avec BitLocker, il existe plusieurs protections en complément de la puce TPM. Selon la version de votre système, il ne sera pas toujours possible d'y accéder depuis l'assistant. Il me semble cependant pertinent de présenter des différents scénarios de protection :

- TPM seule : Le déchiffrement du poste est transparent si et seulement si l'utilisateur démarre normalement l'ordinateur (pas de démarrage par clé USB, pas de modification matérielle bizarre...).

- TPM + Code PIN : En plus des conditions précédentes, l'utilisateur doit entrer un code. Cette configuration est particulièrement recommandée si vous voulez la certitude que vos données resteront hermétiquement cryptées sans votre code. Cette configuration est particulièrement adaptée pour des portables avec des données potentiellement importantes.

- TPM + USB : En plus des conditions imposées par la puce TPM, il est nécessaire de connecter une clé USB configurée lors du chiffrement du poste. Chez le particulier, je trouve cette configuration particulièrement utile, par exemple pour l'ordinateur du salon : le démarrage est transparent pour tout le monde et la session peut même s'ouvrir automatiquement. En revanche, si vous partez en vacances, il suffit de mettre la clé USB en lieu pour être certain qu'un cambrioleur par exemple ne partira pas avec votre ordinateur et surtout les mots de passe des comptes bancaires familiaux.

Les plus parano pourront même faire du TPM + PIN + USB.

mardi 1 décembre 2020

Cybersécurité - Les Mots de passe


Vu l'évolution et l'ampleur des attaques informatiques dont les entreprises comme les particuliers sont victimes et au nombre de questions (quand ce n'est pas des bêtises) que je rencontre, il me semble pertinent de partager quelques bases.

Je lance donc une série d'articles, un peu moins simplistes/idéalistes que ce qu'on peut trouver et plus pragmatiques que les publications de spécialistes.

L'idée n'est pas de dire à chacun ce qu'il doit faire, mais :

  • De permettre à chacun de situer ses pratiques informatiques sur une échelle de sécurité dans un contexte privé comme professionnel ;
  • De permettre à chacun d'améliorer ses pratiques de façon concrète.

Il s'agit évidemment de vulgarisation avec certains aspects simplifiés voire occultés.

 

Au programme :

 N'hésitez pas m'indiquer si vous souhaitez que j'aborde d'autres thèmes.

 

Les Mots de Passe

Commençons pas le commencement : Le mot de passe permet de confirmer que vous êtes celui que vous vous prétendez être : "JE sais".

Il faut comprendre qu'en matière d'attaque, tout s'achète et tout se vend.

On a vu récemment un attaquant qui prétendait avoir depuis des mois un contrôle de la machine de sa victime, pouvant ainsi récupérer des photos (compromettantes) par la webcam ou des informations sensibles (documents, comptes bancaires, échanges mails...). Il demandait un paiement en bitcoin à défaut de quoi il publierait toutes les informations à vos contact, etc... Pour montrer sa bonne fois, il vous donnait votre mot de passe... en tout cas, un mot de passe récupéré lors de l'attaque d'un site quelconque.
Cette attaque est à la portée de tout le monde, puisque l'attaquant n'a fait qu'acheter une base de mots de passe piratée et envoyer des mails. Il y a cependant fort à parier que l'opération a été très rentable.

Au passage, si vous voulez savoir si un de vos comptes ou mots de passe a été hacké quelques part, vous pouvez aller sur ce site qui répertorie les comptes récupérés lors d'attaques : https://haveibeenpwned.com/

 

Moralité :

R1 : Utilisez des mots de passes uniques pour les différents usages / sites où vous allez

R2 : Utilisez des mots de passe complexes

 

1. Faire un mot de passe complexe

Évidement, on arrête avec le nom du poisson rouge, la date de naissance des enfants...
Il n'y a pas de règle absolu, mais disons qu'un mot de passe de 8 caractères (l'ANSSI dit 12), chiffres, majuscules, minuscules et ponctuation va être compliqué à retrouver.

Généralement, ce genre de mot de passe n'est ni facile à créer, ni facile à retenir. Voici une première astuce :

  • Permuter des lettres en chiffre : o -> 0, E -> 3, A-> 4, i->1, for-> 4, to->2, etc...
  • Jouez avec une majuscule dans le mot

toto sera un grand classique facile à trouver. Néanmoins t0T8 devient beaucoup moins trivial.

 

Plutôt qu'un mot, on peut utiliser une phrase. Prenez vos citations favorites ou une phrase de votre livre préféré... en retenant l'ensemble de la phrase ou seulement les premières lettres :
Exige beaucoup de toi-même et attends peu des autres. pourra donner Ebdt-meapda.


En  mélangeant les différentes approches :
La mienne est plus grosse donnera L4M13nnE&p1u5gR05s3.😁

Le mot de passe est facile à mémoriser, mais compliqué à craquer et il risque de décourager celui qui regarde par dessus votre épaule. Bref, de quoi décourager les attaques les plus classiques.


ANSSI - Guide des mots de passe : https://www.ssi.gouv.fr/guide/mot-de-passe/


2. Faire un mot de passe unique

La règle d'or consiste évidemment à ne pas mélanger les torchons et les serviettes. Il ne faut jamais utiliser des mots de passe similaires entre le domaine professionnels et le domaine personnel. Imaginez l'impact si votre dernière commande chez fripon-magazine permet d'accéder à vos dossiers clients !

Pour créer un mot de passe unique, une astuce que j'emploie assez souvent consiste à ajouter à un mot de passe de base quelque chose de propre au client ou au site.

Par exemple, si le mot de passe de base est t0T8. (je vous invite évidemment à prendre un mot de passe un peu moins trivial que mon exemple), pourquoi ne pas ajouter les 2 premières lettres du site web sur lequel on est ?

Chez fripon-magazine, le mot de passe pourra donner t0T8.+Fr .

Il fait 8 caractères, il est complexe, ce ne sera pas le même que celui du site de la Redoute et vous le retrouverez facilement.

En entreprise où il faut changer de mot de passe régulièrement, plutôt que le nom du mois, on peut ajouter quelques chose de particulier. Le code postal de votre dernier week-end ou le numéro de votre dernière amante 😜.


3. Le gestionnaire de mots de passe

Évidement jusque là, on reste dans le bricolage. Efficace certes, mais si vous avez, comme moi, des comptes auprès de centaines de sites web, chacun avec ses propres exigences en terme de longueur et de complexité, vous risquez d'en revenir au bon vieux post-it.

...On a donc inventé les gestionnaires de mots de passe : Une base de données chiffrée à laquelle on accède grâce à un outil éprouvé. En plus de stocker les mots de passe, ces gestionnaires permettent souvent de générer des mots de passe complexes voire de saisir les mots de passe à votre place.

A ce sujet, je ne recommande pas :

  • des gestionnaires en ligne (LastPass...) : Ils permettent de retrouver vos mots de passe depuis n'importe quel Smartphone, tablette, PC... et c'est notamment ce que je leur reproche. D'ailleurs, une faille a été reportée chez LastPass
  • des gestionnaires intégrés dans les navigateurs : certes, c'est pratique d'avoir des mots de passe qui se tapent tout seul, mais ces gestionnaires sont davantage conçus pour être pratiques que pour être sûrs. Le Virus Emotet qui a fait pas mal de victimes, y compris en entreprise, ciblait notamment ces gestionnaires de mots de passe (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/)

J'utilise personnellement Keepass (https://keepass.info/) que l'on retrouve régulièrement en environnement sécurisé et dont une version est certifiée par l'ANSSI (https://www.ssi.gouv.fr/entreprise/produits-certifies/produits-certifies-cspn/), gage de sérieux.

L'outil est disponible sous Windows, mais également Linux et MacOS. Il existe même des versions non officielles pour iOS ou Android.

Il existe de multiples extensions, plus ou moins sécurisées, dont notamment Kee et KeepassRPC qui permettent de saisir automatiquement les mots de passe sous Firefox et Google Chrome (https://www.numetopia.fr/comment-utiliser-keepass-avec-firefox/).

Il existe aussi une version "portable" de KeePass, ce qui permet de transporter par exemple sa base avec l'outil sur une clé USB.

Évidement, pour protéger votre base de données de mots de passe, il faudra... un mot de passe, qu'on appellera mot de passe "maître" que vous fabriquerez à l'aide de vos répliques de films préférées... sachant vous aurez pris le soin de créer une base pour votre vie professionnelle et une autre pour votre vie privée.

CNIL - 5 arguments pour adopter le gestionnaire de mot de passe : https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe

 

3. La limite du mot de passe

99% des authentifications se passent avec un mot de passe. Pourtant la solution est loin d'être parfaitement efficace. Il suffira qu'un petit malin regarde par dessus votre épaule ou pirate votre ordinateur (écoute du clavier notamment) pour qu'il puisse se faire passer pour vous. Le mieux est donc de pouvoir s'en passer. 

Voici 2 approches complémentaires :

3.a. L'authentification à double facteur

Pour confirmez que vous êtes la bonne personne, en plus de vous demander ce que "vous savez" on vous demandera quelques chose que "vous avez". Ce sera soit un code envoyé par SMS, soit un code tournant généré généralement par une application sur votre smartphone (Google Authenticator, Microsoft Authentificator, ou autre...).

R3 : A chaque fois que cela est possible, activez la double authentification.

La plupart des sites "sérieux" la proposent Gmail, Facebook, Apple, Paypal, les banques (en tout cas, celles que je côtoie)...


3.b. Windows Hello et le Code PIN

L'idée de Microsoft est de protéger le mot de passe de votre compte par un code PIN. Pour ouvrir votre session, plutôt qu'un long mot de passe, il vous suffit de taper votre code PIN.

Quel intérêt ? Votre code PIN n'a d'existence que sur votre machine. Un attaquant peut "écouter" ce que vous tapez au clavier, il ne verra jamais passer votre mot de passe, seulement votre code PIN. Sans la machine, le code PIN ne sert à rien. Votre mot de passe, quant à lui, est stocké de façon sécurisée dans votre machine. Il ne sort qu'à de rares occasion sous bonne garde. Pour le pirate classique, c'est peine perdue.

Microsoft  - Pourquoi un code confidentiel est-il préférable à un mot de passe ? : https://docs.microsoft.com/fr-fr/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password

Comment activer le code PIN sur son poste : https://www.reneelab.fr/code-pin-windows10.html


Certes que se passe-t-il si un collègue me voit taper mon code PIN ?

Avec Windows Hello, votre code PIN ouvre la voie à la biométrie. Il peut s'agir de reconnaissance faciale (sous réserve de disposer d'une webcam compatible) ou d'empreinte digitale. Là, votre collègue peut vous regarder faire !

Si votre poste n'est pas équipé d'un lecteur d'empreinte, je vous recommande l'excellent lecteur Kensington VeriMark : https://www.ldlc.com/fiche/PB00228473.html (Je précise que je n'ai aucun lien avec eux. Je suis simple utilisateur).



Vous l'avez compris : vous n'avez plus d'excuses pour utiliser toujours le même mot de passe depuis vos débuts sur Internet. Un gestionnaire de mots de passe efficace comme Keepass devrait vous permettre de stocker efficacement des mots de passe uniques et robustes que vous n'aurez même plus besoin de connaître. L'authentification à double facteur devrait aussi vous éviter de vous faire voler vos comptes, en particulier votre boite mail.


Maintenant que nous avons des "serrures" efficaces, dans les prochains articles, je vous parlerai de la sécurité du poste et des données.