Vie privée : 10 mythes à propos de la sécurité informatique

Pour beaucoup d’entre nous, avoir un antivirus est suffisant pour protéger nos ordinateurs, nos données, notre vie privée.  C’est l’un des dix mythes sur la sécurité informatique dont il est question aujourd’hui.

Mis à jour le 20-06-2013 à 12h53 : remplacement de “destruction pure et simple de vos données” par “l’impossibilité de décriffer les données… et donc leur perte tant pour vous que pour les pirates potentiels.”  Cette formulation est plus correcte.

Les autorités néerlandaises ont été l’objet de cyber-attaques nombreuses ces dernières années.  Alors que l’informatisation des administrations est quasi-totale, la sécurité n’est vraiment pas à la hauteur, comme je l’ai déjà écrit dans plusieurs articles dont un sur la cyber-guerre aux Pays-Bas et en Belgique.

L’excellent site Gemeente.nu – un site d’information destiné aux administrations locales – publiait aujourd’hui un article sur le thème “10 mythes à propos de la sécurité informatique”.  Je l’ai trouvé bien fait, intéressant et je l’ai donc synthétisé sous forme d’une carte mentale que voici.  Vous pouvez la télécharger gratuitement depuis le site de Biggerplate.  Cliquez sur l’image pour l’agrandir.

1. Ca n’arrive qu’aux autres !

J’aimerais bien.  Mais j’ai moi-même été la cible de plusieurs attaques.  J’en ai raconté une ici : celle d’un magicien viennois qui a tenté de m’extorquer mes données via un faux mail Linked In.

La cause de ce mythe est une trop grande confiance : trop grande confiance dans les mots-clés, dans les appareils ou dans les outils de protection, comme les antivirus.   Nous verrons plus loin ce qu’il en est.

La solution tient en trois mots :

1. Informez
2. Formez
3. Responsabilisez

Qui ?  Tous les membres de votre personnel !  La sécurité, c’est l’affaire de tous, y compris en informatique !  Ne laissez pas vos collaborateurs s’endormir et revenir aux mauvaises habitudes…

Définissez un cadre clair et répétez régulièrement les consignes.

2. Nous consacrons 10 % de notre budget informatique à la sécurité

Les études montrent qu’en réalité rares sont les entreprises ou les services qui y consacrent plus de 5 % !

Et encore, sans une réelle politique de sécurité…

La cause de cette illusion ?  Les voeux pieux, les bonnes intentions : on aimerait bien qu’il en soit ainsi et on finit par le croire…

La solution : adaptez vos budgets à la réalité ?  De quoi avez-vous réellement besoin ?  Combien cela coûte-t-il ?  Allouez les ressources nécessaires.

3. Nous pouvons quantifier le risque

Quel risque ?  Certains risques peuvent être quantifiés, d’autres non.  Cette impression relève de ce que les Anglo-Saxons qualifient d’Excel Management.  Parce que vous disposez de chiffres, vous croyez tout maîtriser.

Faites la part des choses.  Quelles sont les données que vous ne maîtrisez pas ?  Le danger, c’est l’imprévu.  C’est un pirate qui entre par une “porte de derrière” : une faiblesse de votre système.  C’est une personne mal intentionnée qui subtilise un mot de passe dans les tiroirs de vos collaborateurs.

4. Nous avons une protection physique

Ah oui ?  Grand bien vous fasse !

“Nous avons un pare-feu”.  “Nous avons un antivirus”.  “Nous avons un Mac, c’est moins sensible aux virus”.

La cause de ce mythe, c’est clairement une mauvaise compréhension du risque.   Le risque pour une entreprise ou un journaliste, c’est moins une attaque par un virus – les antivirus s’en occupent très bien – que par une personne ou un groupe malintentionné.

Et ces personnes et ces groupes disposent d’outils et de méthodes très sophistiqués.   Je vous donne un exemple tout simple.

Vous avez un PC avec une carte Phoenix ?  Votre BIOS – l’épine dorsale de votre système – est protégé par un mot de passe.  Vous vous sentez donc en sécurité.

Voici ce que j’ai trouvé en 0,013 secondes avec Google :

PHOENIX BIOS backdoor passwords:

phoenix, PHOENIX, CMOS, BIOS

S’il m’a fallu une fraction de seconde pour les trouver, combien de temps croyez-vous qu’il faudra à un vrai pirate pour faire la même chose ?  Et vous avez vu la complexité des mots de passe de cette marque ?  Vous vous sentez toujours protégé ?

Encore une fois, diversifiez vos mesures de protection : sondez votre système à fond pour évaluer ses forces et surtout ses faiblesses pour y remédier d’urgence !

5. Nos mots de passe sont complexes et modifiés régulièrement

C’est déjà une première démarche intéressante.  Mais elle ne suffit pas.

Le problème des mots de passe, c’est moins le “crackage” que l’ingénierie sociale.  Derrière ces mots barbares se cachent des réalités toutes simples.  Le crackage, c’est le fait de trouver votre mot de passe à l’aide d’un logiciel spécialisé qui va forcer, casser votre mot de passe.  Il en existe des centaines, téléchargeables gratuitement sur Internet.  Tapez “password crackers” dans Google et vous me direz combien vous en avez trouvés !  Bien entendu, ils servent à retrouver votre propre mot de passe en cas d’oubli.  Mais d’autres peuvent s’en servir à des fins moins positives…

Pourtant, il existe une technique bien plus perverse et souvent bien plus efficace pour obtenir un mot de passe : l’ingénierie sociale.  Dans son livre The Art of Deception, le célèbre hacker Kevin Mitnick rappelle l’histoire de Stanley Mark Rifkin.  Rifkin a volé 100 millions de dollars.  Ce hacker n’a même pas touché un clavier pour réaliser son exploit.  Il a simplement mémorisé un code qu’un collaborateur imprudent avait laissé sur un post it collé sur son bureau.  Il a passé deux coups de fil.  Et s’est envolé pour la Suisse pour retirer l’argent…

Combien de collaborateurs scribouillent les mots de passe trop compliqués sur un post it dans votre entreprise ?  Posez la question, vous serez étonné…  Combien ont pour mot de passe le prénom du petit dernier ?  Et combien publient 50 photos dudit bébé avec son prénom sur leur page Facebook ?   Les pirates vous disent “merci !”

6. Nous confions la responsabilité de la sécurité à quelqu’un de l’extérieur

La cause de ce mythe est la croyance que “quand on réorganise, souvent, les problèmes se règlent d’eux-mêmes”.

En réalité, on essaie de ne pas voir la réalité ou on la passe à quelqu’un d’autre.  Le risque, c’est que la sécurité vous échappe vraiment et que vous ne maîtrisiez plus rien.

La solution : analysez votre système en profondeur, ses forces, ses points faibles et agissez en conséquence !

7. C’est le rôle du CIO

Ce  mythe est apparenté au précédent : on refile la patate chaude.  Mais en même temps, si le CIO impose sa méthode, on rechigne en se plaignant qu’on n’a plus de marge de manoeuvre, qu’on ne peut plus travailler à sa façon.

En réalité, la sécurité est l’affaire de tous !

La solution ?  Faites de la sécurité informatique une partie de la culture d’entreprise.  Favorisez les comportements sûrs et bannissez les comportements à risques : pas de transmission de mots de passe par mail ou par téléphone.  Pas non plus de post it collé sur le bureau ou dans un tiroir.  Pas de mot de passe transformé en faux numéro de téléphone : avec Internet il suffira de quelques secondes à un hacker pour vérifier l’existence de ce numéro…

Définissez une politique de sécurité et partagez-la avec vos collaborateurs.  Associez-les à vos démarches.  Formez les nouveaux dès leur premier jour…

8. Confier la sécurité à un outil déterminé

Nous avons le meilleur antivirus.  Nous disposons du système de défense professionnelle Machin qui est le meilleur du marché.

La cause de ce mythe est la recherche d’outils “magiques” pour régler des problèmes complexes.  Le danger, c’est de s’endormir sur ses lauriers une fois le produit acquis et de ne plus prendre de mesures efficaces.

Encore une fois, il n’existe pas de produit-miracle en matière de sécurité informatique.   Et le maillon le plus faible d’une chaîne de sécurité, c‘est toujours l’humain !

La solution : analysez de fond en comble votre système, établissez les priorités, prévoyez un plan pluriannuel de sécurité.

9. Nous avons implémenté une politique de sécurité.  Nous sommes prêts !

Bravo !  Vous êtes en train de vous endormir…

La cause de ce mythe, c’est le manque de réalisme.   Une politique de sécurité, ce n’est pas une chose acquise : c’est une culture, une série d’attitudes.   C’est une vigilance de tous les instants.  A ne pas confondre avec la paranoïa.   Mais une culture qui vous fait comprendre que le risque est permanent et que vous pouvez le réduire de façon drastique grâce à quelques bonnes pratiques…

10. La cryptographie est la meilleure protection

Le scandale PRISM est en train de renforcer ce mythe.  Encore une fois, la méconnaissance du risque et la perception du hacker en tant que surdoué de l’informatique vous fait perdre contact avec la réalité.

La cryptographie est nécessaire dans certains cas.  Je  pense notamment aux journalistes qui doivent protéger certaines données vitales.  Ou aux ingénieurs à qui sont confiés des secrets industriels.

Mais la cryptographie est assez compliquée à manipuler.  Et elle peut être très dangereuse : dans  des mains inexpertes, elle peut aboutir à l’impossibilité de décriffer les données… et donc leur perte tant pour vous que pour les pirates potentiels. (Merci à Jean-Marc Manach pour la suggestion de correction 😉 )

Si vous devez recourir à ce type de méthode, soyez certain d’avoir dans vos collaborateurs au moins une personne experte dans ce domaine.  Faites former vos collaborateurs motivés.

En conclusion

Le risque informatique existe.  Il est multiple.  Il concerne chacun d’entre nous.  Mais chacun d’entre nous peut s’en prémunir en prenant les précautions qui s’imposent.  En gardant à l’esprit les bonnes pratiques en la matière.

J’y reviendrai dans d’autres articles, sur des problèmes ciblés et des solutions spécifiques.

Vous avez aimé cet article ?  Inscrivez-vous à ma newsletter et ne ratez plus aucun article ou événément !