Le Guide d'autodéfense numérique (tome 1 - hors connexions), publié il y a quelques jours est un ouvrage collectif publié par boum.org devrait être lu par tous ceux qui sont sensibles à la protection de leurs données et de leurs machines. En près de 200 pages, ce guide passe en revue tout ce qui altère la sécurité de vos données et de vos activités. Il semble exhaustif, un brin technique mais pas trop. Nous n'avons pas tout lu, mais les explications claires semblent à la portée de toute personne normalement constituée. Et lorsque c'est nécessaire, il tord le cou à certains canards. A découvrir sans tarder...
Vous le savez, communément, on considère que l'intelligence économique repose sur trois piliers. Parmi ceux-ci, la sécurité de l'information. Une des situations les plus critiques pour les informations (sensibles) de votre entreprise est celle des déplacements internationaux. Nous avons d'ailleurs, dans ces colonnes, déjà évoqué les risques des passages aux douanes dans les aéroports (http://tinyurl.com/3afda8d). Et on pourrait aussi parler des chambres d'hôtel, des réseaux Wifi, des disques amovibles... Alors, pour vous (les entreprises françaises) aider à voyager l'esprit tranquille, vos données à l'abri, les services du premier ministre (l'Agence Nationale de la Sécurité des Systèmes d'Information) vient de publier un guide intitulé "Passeport de Conseils aux Voyageurs", qui est un recueil de bonnes pratiques à destinations de ceux qui voyagent à travers le monde avec des données sensibles. Un intérêt de ces conseils est qu'ils sont de bon sens, même si on n'y pense pas spontanément.
Tel est le sujet de cet excellent site dédié à la sécurité informatique: Security in-a-box (http://security.ngoinabox.org/fr). Il est l'œuvre d'une ONG internationale (http://www.tacticaltech.org/) dont l'objectif est d'aider les défenseurs des droits de l'homme à utiliser l'information et les technologies digitales dans leurs combats. Leurs conseils sont évidemment aussi pertinents pour votre entreprise et pour vous aider à protéger vos données. Le site security in-a-box vous propose trois grands chapitres:
des livrets pratiques
des guides pratiques
un regard sur la sécurité portable
On y trouve des informations pour sécuriser nos communications, nos échanges d'informations, nos sessions sur Internet, nos mots de passe...
Nous parlions dans un billet précédent de la nécessité d'avoir recours à un utilitaire de gestion de mots de passe – que nous appellerons UGMdP pour faire court. Nous évoquions alors brièvement leurs limites, notamment pour les utilisateurs nomades. Que faire si vous vous déplacez régulièrement ? Où stocker votre fichier de mots de passes ? Comment installer votre gestionnaire ?
Il existe une solution simple : utiliser un UGMdP en ligne. Mais ne perd-on pas une grande partie de l'intérêt d'un UGMdP quand on passe à une application hébergée ? Qu'en est-il de la sécurité des données sur le serveur ? Les données qui circulent via la connexion ne peuvent-elles interceptées ? C'est à ces dangers éventuels que répond Clipperz.
Nous avons vu qu'il est possible de protéger un fichier PDF à l'aide d'un mot de passe. Comme tous les mots de passe, ceux protégeant les fichiers peuvent être "craqués", c'est-à-dire que l'on peut les rendre lisibles.
Pour craquer un mot de passe, il n'est pas nécessaire d'être un hacker de génie, ni d'être titulaire d'une thèse de doctorat en cryptographie. Ainsi, la société Elcomsoft (http://www.elcomsoft.com/), par exemple, vend des programmes de craquage qui ne sont pas plus compliqués à utiliser que n'importe quelle suite bureautique. Le prix n'est pas un obstacle non plus, il ne vous en coûtera que 49 euros pour la version PDF.
La question n'est donc pas de savoir si un mot de passe peut être craqué, mais combien de temps cela prendra pour le craquer. Cette durée est fonction de trois éléments :
la complexité du mot de passe,
la longeur du mot de passe,
et la puissance informatique à disposition du craqueur.
On le sait de plus en plus, le format PDF dispose de certaines fonctionnalités lui permettant de protéger le contenu du document. Cette protection concerne plusieurs aspects du documents:
la confidentialité (protection par mot de passe, seul les détenteurs du mot de passe peuvent ouvrir le document
l'impression (l'impression peut être interdite ou limitée dans sa qualité)
les annotations et autres modifications du document
la copie de contenu (interdiction du copier/coller)
la gestion des pages du documents (interdiction d'ajout, de suppression, de déplacement de pages dans le document)
Cette protection est intéressante en ce qu'elle s'applique sur le document, et pas sur l'environnement du document (les systèmes de gestion de documents internes à l'entreprise). Le document restera donc protégé tout au long de sa vie, où qu'il soit... Ces protections participent également de l'intérêt et du succès du format PDF puisqu'elles sont relativement robustes. En tout cas, plus robustes et efficaces que les protections associées aux documents de Ms-Office. Malheureusement, cette protection n'est pas "bullet proof", et il existe différents moyens (simples) de la contourner et d'imprimer, de modifier...des documents protégés. Parmi ceux-ci:
craquer le mot de passe: certains logiciels existent pour craquer les mots de passe, soit; au moins, certaines meta-informations du document ne seront pas affectées...
utiliser des logiciels qui ne respectent pas les mots passe: beaucoup plus facile, dès le moment où on a identifié ces logiciels; ils vous permettront, par exemple, d'imprimer au format PDF un document protégé contre l'impression, et le résultat ne sera plus protégé, ou encore convertir en fichier .doc un document PDF protégé; mais dans ce cas, les méta-informations seront modifiées (dans le nouveau document PDF, puisqu'il s'agit bien de la création d'un nouveau document, au contraire de l'option du "crackage"
Tout ceci est à garder à l'esprit, lorsqu'on publie et diffuse ses documents.
Nous avons le plaisir de vous confirmer que notre Après-Midi du Métier de jeudi sera bien diffusé en Web TV, sur Brainsfeed TV. Début de l'émission prévu pour 16h30. Vous pourrez nous suivre en vous connectant à l'adresse http://brainsfeed.blog-video.tv/. Pour vous assurer votre PC est bon pour le service, vous pouvez visionner une vidéo de test accessible à l'adresse (http://tinyurl.com/lqao2n). Pour vous permettre de suivre correctement cette conférence, nous mettrons en ligne, vers 16h15, sur www.brainsfeed.com, la carte mentale qui sera projetée à l'assemblée des présents. Par ailleurs, nous vous rappelons qu'il s'agit d'un test, et que nous ne pouvons pas garantir la qualité de la retransmission. Cependant, nous restons intéressé par votre feedback, que nous vous invitons à nous communiquer à l'adresse ouverte pour l'occasion: tv@brainsfeed.eu. Nous espérons vous voir nombreux lors de cet exercice.
Vous avez des comptes d'utilisateur sur une centaine de sites différents. Vous devez vous souvenir des mots de passe de tous vos comptes e-mail. Vous avez peut-être même verrouillé certains documents, voire encrypté des répertoires de votre disque dur. Cela fait beaucoup de « logins » et « passwords » à retenir. Plusieurs solutions : un login et mot de passe uniques, un fichier texte qui les reprend tous, une base de données qui les organise... Aucune de ces solutions n'est vraiment sûre. Le danger que quelqu'un récupère vos mots de passe est trop important[1].
Il existe pourtant une solution simple : un logiciel de gestion et d'encryption de mots de passe. Celui-ci est grosso modo une base de données spécialement conçue pour stocker et vous aider à retrouver vos mots de passe. En prime, il les encrypte. Ainsi, même si quelqu'un met la main sur le fichier qui contient ces informations, il mettra une éternité[2] à les déchiffrer. Le point critique ici consiste alors à trouver une « phrase de passe » (passphrase) suffisamment complexe pour protéger cette encryption.
Il existe de nombreux gestionnaires, de qualité et facilité d'usage variés. Si je devais vous en recommander un, ce serait KeePass. Pourquoi ? En bref, il est sûr, très bien fait, libre (et donc gratuit) et multi-plateformes.
Vous avez donc dès maintenant un endroit sûr où sont stockés vos mots de passe. Bien. Comment l'utiliser ? Pourquoi le gestionnaire de votre navigateur ne suffit-il pas ? Que faire si vous vous déplacez souvent ? Autant de questions qui mériteraient un billet pour elles seules. Nous y reviendrons prochainement.
[1] À moins que vous n'encryptiez les fichiers en question. Auquel cas la lecture de ce billet ne vous aura pas appris grand chose. [2] Avec un bon algorithme d'encryptage et une phrase de passe fiable, en utilisant tous les ordinateurs du monde, il faudrait plus que l'âge de l'univers pour forcer une base de mots de passe protégée. C'est ce qu'avance en tous cas le site de KeePass.
Nos formations
