passwords

Avez-vous le bon "password" ?

Au hit-parade des fléaux informatiques, les virus, comme par exemple le très populaire Mélissa, font paradoxalement figure de moindre mal. En effet, malgré toute la publicité faite au phénomène, il est des causes infiniment plus perverses, plus coûteuses et plus dommageables que la congestion d'un serveur de messagerie, voir du chômage technique momentané imputable au crash inopiné d'un PC.
L'ennemi public numéro un des parc d'ordinateurs d'entreprise a pour nom sabotage. Bien loin des romans d'espionnage et autres conspirations bolchéviques, le responsable des technologies d'information (IT Manager) sera plus bien inspiré de surveiller ses ouailles. Responsables de l'immense majorité des accidents informatiques, volontairement ou non, les employés in-situ ou extra-muros représentent le plus grand danger potentiel, de par leurs accès privilégiés aux machines, leur ignorance des règles de sécurité minimum, quand ça n'est pas une intention délibéré de destruction.
Les virus de type Mélissa présentent l'immense avantage de leur franchise. Certes ils s'introduisent dans votre machine, mais leur présence est très rapidement détectée. En effet, une fois leur travail de réplication terminé, ceux-ci ont alors l'amabilité de "crasher" plus ou moins sévèrement votre ordinateur, tout en infectant accessoirement ses congénères.
Si cet impédimenta peut s'avérer fastidieux, il reste cependant préférable de perdre un jour ou deux à reconfigurer une machine et recharger des sauvegardes devenues enfin utiles, plutôt que de laisser tourner au coeur même de votre ordinateur des programmes aussi invisibles que sournois, lesquels pourront, pendant des jours voir des années, causer infiniment plus de mal, en transmettant, par exemple, toutes vos données à un concurrent.
Dans le cadre spécifique d'une entreprise,le piratage d'une machine et de ses des données n'arrive que très exceptionnellement de l'extérieur, et plus rarement encore dans un but délibéré. En effet, pour un pirate patenté, le frisson d'excitation recherché dépend essentiellement de la difficulté à pénétrer un système. L'intérêt du saboteur se portera donc beaucoup plus vers les deux espèces les plus protégées: les universités et les militaires.
Pouvoir arborer à son tableau de chasse un site finissant par .mil., us, .gov, ou quoi que ce soit avec les initiales dod (department of defense), est un Graal capable de pousser plus d'un étudiant bidouilleur dans les griffes du FBI. De même, pour avoir à subir à longueur de journée les assauts des hackers indigènes, les universités - qu'elles soient américaines, israéliennes ou britanniques, pour les mieux "cotées" - possèdent souvent les protections les plus efficaces, pour en avoir déjà eu besoin au moins un fois. Dans ce cas particulier, la motivation des pirates est souvent renforcée par l'intérêt flagrant à pouvoir modifier les fichiers de notes, horaires des cours, salaires des professeurs, etc...

Dans cette optique, on réalise alors la subtile distinction existant entre pirate et espion. Si tout les deux partagent un même "modus operandi", la finalité de l'attaque est radicalement différente. La menace exercée par un espion industriel ne concerne proportionnellement que peu d'entreprises. Celle du pirate ne se manifeste, dans ce milieu, que par des virus externes dont la cible est trop diversifiée pour être véritablement destructrice. On portera donc toute ses attention vers le personnel, ou plus généralement toutes personne ayant accès à une machine.
On distinguera ainsi deux types de danger, interne et externe.

les mots de passe, talon d'Achille informatique

Apparu lors de l'extinction des dinosaures à cartes perforées, le principe du mot de passe reste à ce jour la méthode d'identification la plus exploitée. Et elle le restera sans doute aussi longtemps que les nouveaux protocoles émergeants, tels que la reconnaissance des empreintes vocales, digitales, ou de l'iris, n'auront atteint des coûts raisonnables. L'omniprésence des mots de passe ne doit cependant pas cacher la multitude de défauts que cette méthode véhicule.

Confronté au challenge de trouver le sésame d'un collègue ou d'un poste de travail, le pirate amateur procédera de la façon suivante. En premier lieu, on essayera les méthodes douces, basées sur le manque d'imagination flagrant de l'utilisateur lambda. Au vu d'un bureau largement décoré de photos d'enfants en bas âge, on essayera, après s'être subitement intéressé à la dite progéniture, de connaître les prénoms des plus jeunes. Ce cas particulier présente un taux d'efficacité au delà de toutes les espérances. Viennent ensuite les conjoints, animaux de compagnie et les hobbies. Le prénom, ou le surnom, de la jeune fille (jeune homme) dont la photo est tapissée tous azimuts sera testé illico. Itou pour ce superbe lévrier afghan trônant au dessus du taille-crayon. Une passion ostensible pour l'aviation, la pêche, ou le bridge-contrat, on essayera respectivement "nighthawk", "black bass" ou "chelem". Le premier essai de révélera sans doute négatif, mais un soupçon d'imagination et de jugeote sera souvent plus productif que bien des méthodes plus "techniques". Une expérience faite personnellement il y a quelques années à l'université de Genève révéla quatre "hollywood" sur plus de deux cent passwords subtilisés. Inconscients du peu de sécurité inhérent au système, certains individus révèlent même des détails beaucoup plus intimes. Ainsi, proclamant fièrement à un étudiant la découverte de son mot de passe, je réalisais, devant un visage plus qu'écarlate, que ce prénom masculin n'était pas celui de son chien. On délaissera donc les "fucktheboss" pour tenir compte des révélations intempestives qui ne manqueront d'arriver. On pensera également à tout les cas où un auriculaire rebelle vient appuyer sur "caps lock" (majuscules) quand sa cible était "tabulateur". Dans une fenêtre de saisie de mot-clé, l'effet immédiat est de voir révélé à ses contemporains quelque chose du genre "jdupondCHOUPINETTE".
On tirera de ces quelques remarques l'enseignement suivant: évitez les mots qui font sens!
L'utilisateur respectueux de cette règle n'est cependant pas à l'abri d'un regard distrait sur le clavier. S'il paraît impossible de lire subrepticement les touches utilisées en un seul coup d'oeil, on se rappellera que, dans un milieu professionnel, la proximité des collaborateurs est quotidienne, et les occasions multipliées d'autant. L'importun s'attachera à noter d'abord les deux premiers caractères, puis, une prochaine fois, les deux suivants, et ainsi de suite.
Pour compliquer le travail des regards indiscrets les touches utilisées se doivent d'être géographiquement éloignée les une des autres. Le mot "stewardesses" illustre parfaitement ce qu'il ne faut pas faire, toutes les lettres étant tapées par la main gauche, facilitant ainsi le travail de détection. On veillera donc à une bonne répartition des caractères utilisées sur toute la surface du clavier, en alternant autant que possible la main gauche avec la droite, en évitant les doublons.
Toutes ces mesures seront bien souvent superflues tant sont nombreuses les têtes de linotte qui notent sur un bout de papier ce qu'elles devraient graver dans leur tête. Tel utilisateur ouvre invariablement son tiroir en allumant sa machine? Ne cherchez plus. Attendez la pause café et faites de même. Si les données devenues ainsi accessibles ne sont pas intéressantes, surtout conservez votre trouvaille. Un autre point remarquable de l'utilisateur moyen est en effet de toujours utiliser les mêmes mots de passe. Vous aurez donc toutes chances de pouvoir utiliser également ses cartes bancaires, de crédits, voir son téléphone portable, avec succès.
La paresse et le manque de motivation sont les seuls obstacles à ce qui reste la parade ultime contre les indiscrets: changer régulièrement son password. Credo des responsables de la sécurité, ce voeu louable n'est quasiment jamais exaucé. Et quand par hasard un programme vous contraint à cette gymnastique, vous vous souvenez rarement de plus de cinq lettres consécutives, rendant la procédure aussi fastidieuse qu'inutile pour celui qui tient mordicus à sa "CHOUPINETTE".

Christophe Majors