Cybersécurité : Quelques bonnes pratiques

La « cybersécurité » est un sujet d’une importance grandissante dans le milieu professionnel. Souvent décrite comme une science obscure et inaccessible aux non-initiés, la sécurité informatique commence par la mise en place de bonnes pratiques et l’adoption de méthodes de travail saines. Un utilisateur averti est le premier rempart contre beaucoup de vecteurs d'attaques informatiques et la clé de voûte d'une politique de sécurité efficace.

Première partie

Gestion des mots de passe et navigation sur Internet

 

La gestion de mes mots de passe

 

Le premier niveau de sécurité, dans la plupart des cas, c’est l’authentification. Que ce soit pour vous connecter à votre service de vidéo à la demande ou au système de comptabilité de votre entreprise, un mot de passe vous sera presque systématiquement demandé.

Avec la multiplication des services et des sites Internet demandant une authentification, choisir et mémoriser un mot de passe complexe et unique pour chacun de ces services devient une tâche impossible. C’est pourtant nécessaire afin de garantir la sécurité de vos données. En effet, si un de ces services se voit compromis, les autres comptes partageant le même mot de passe le seront aussi.

Une façon efficace et accessible de garantir la robustesse ET l’unicité de vos mots de passe est d’utiliser un « coffre-fort » de mot de passe. Le logiciel crée alors une base de données dont l’accès est authentifié et le contenu chiffré. Vous pouvez ainsi stocker vos mots de passe en sécurité mais aussi utiliser un générateur de mots de passe intégré pour garantir leur complexité.

KeePass est un logiciel libre qui offre ce genre de fonctionnalités, et bien d’autres encore disponibles via un catalogue de plugins. Pour l’instant je vais me cantonner à sa fonction principale: le gestionnaire de mots de passe.

Choix du mot de passe principal
Choisissez un mot de passe robuste pour la base de donnée !

Dans un premier temps, il vous faudra choisir un mot de passe principal qui sera nécessaire à chaque ouverture de la base. Pas d’inquiétude, ce n’est pas « un énième mot de passe à retenir » mais le seul que vous aurez à retenir. KeePass se charge du reste alors soyez imaginatif. L’ANSSI propose quelques recommandations utiles quant au choix d’un mot de passe.

Une fois la base créée, vous n’avez plus qu’à ajouter vos mots de passe et à les organiser en groupes.

Pour l’ajout d’un nouveau mot de passe, utilisez la fonction de génération aléatoire(1). Définissez le nombre(2) et le type de caractères utilisés(3) et vous aurez ainsi un mot de passe unique et robuste pour chaque compte. Ensuite, lorsque vous souhaitez vous connecter à un service authentifié, vous n’avez qu’à ouvrir la base et copier votre mot de passe dans le presse papier. En plus d'assurer la confidentialité de vos identifiants de connexion KeePass vous permet de ne plus oublier le moindre de vos mots de passe.

Bien évidement l’utilisation d’un tel logiciel nécessite de se trouver sur un ordinateur. Mais pas de panique, KeePass existe aussi en version mobile sur de nombreux supports. Attention, ce genre de logiciel manipule des données très sensibles. Il est donc primordial de vérifier le fournisseur de ces solutions et de privilégier l’utilisation de logiciels libres dont le code source est vérifiable à tout moment.

Génération automatique du mot de passe
Utilisez l'outil intégré pour générer un mot de passe robuste

Quelques liens utiles :

La dernière version de KeePass : https://keepass.info/download.html
Les plugins KeePass (à utiliser avec prudence) : https://keepass.info/plugins.html
KeepassDroid, une version libre pour Android : https://play.google.com/store/apps/details?id=com.android.keepass

 

Navigation sur Internet

 

L’une des principales portes d’entrée lors d’attaques informatiques est le navigateur Internet. Non pas que le logiciel en lui-même soit dangereux, c’est l’utilisation qui en est faite qui laisse apparaître des failles. Quelques notions essentielles et applicables facilement permettent à l’utilisateur d’utiliser son navigateur Internet de manière plus sûre et responsable.

  • Ma connexion est-elle sûre ?

Lorsqu’un site vous demande un identifiant, un mot de passe ou toute sortes d’informations personnelles, assurez-vous que votre connexion est sécurisée. Pour cela vérifiez que l’adresse du site en question commence par « https:// » et qu’un cadenas vert est présent.Cybersécurité - Connexion sécurisée par HTTPS

Ce logo signifie que votre connexion est sécurisée et que le site Internet est bien celui qu’il prétend être. Malheureusement, un grand nombre de sites n’offre pas par défaut une connexion HTTPS ou rend son utilisation laborieuse. L’extension HTTPS Everywhere permet de contourner ce problème en forçant l’utilisation de la connexion sécurisée lorsqu’elle est disponible.

  • Attention où vous mettez les pieds !

Sur Internet comme ailleurs, il faut faire attention où l’on va. Il n’est pas rare de tomber sur un lien ressemblant beaucoup à un lien légitime mais avec une différence subtile (ex : www.soceitegenerale.fr). Les auteurs de ces sites contrefaits comptent sur la distraction d’un utilisateur qui après avoir cliqué sur le lien se trouvera sur un site en tout point similaire à celui attendu mais qui transmettra les informations entrées par l’utilisateur à des personnes probablement mal intentionnées. Pour éviter cela il faut donc être attentif aux liens utilisés (particulièrement un lien reçu par mail) ainsi qu’à la présence du cadenas vert de la connexion HTTPS.

  • Quel navigateur et comment le sécuriser ?

Le choix du navigateur est bien sûr très important même si les principaux concurrents sont proches en terme de fonctionnalités et de sécurité. On choisira un navigateur libre afin de s’assurer qu’aucune fonctionnalité malveillante ou trop intrusive n’est présente. J’ai personnellement une préférence pour Mozilla Firefox mais Chromium, une version de Google Chrome sous licence libre et débarrassée de certaines fonctionnalités (notamment de pistage) est une alternative possible.

Voici une petite liste des actions à entreprendre pour améliorer la sécurité de son navigateur :

  1. Désactiver les cookies tiers : Firefox | Chrome

  2. Activer la fonction Do Not Track : Firefox | Chrome

  3. Paramétrer la gestion des identifiants / mots de passe : Firefox | Chrome

  • Quelques extensions utiles

HTTPSEverywhere - force l'utilisation du protocole sécurisé HTTPS lorsque cela est possible.

AdBlock – pour bloquer les publicités intempestives. Certains sites ont besoin des revenus de la publicité pour survivre, vous pouvez donc accepter celles des sites en lesquels vous avez confiance.

NoScript - une extension pour Firefox permettant de bloquer les scripts et autres plugins des sites web ne faisant pas partie d’une liste blanche définie.

RequestPolicy – encore une extension pour Firefox, cette fois pour bloquer les requêtes venant de sites externes à celui que vous êtes en train de visiter.


Utiliser son navigateur et gérer ses mots de passe de manière sécurisée sont à la portée de tout le monde. Les outils sont là, libres et gratuits. Le problème est de trouver un équilibre entre la sécurité et le confort de travail même si certains automatismes sont nécessaires. La cybersécurité est l'affaire autant des services informatiques et des techniciens que des utilisateurs finaux.