L’objectif ici est de rappeler quelques règles de sécurité que nous devrions appliquer pour l’accès aux différents comptes que nous avons sur internet et plus particulièrement à notre compte de messagerie.
Notre compte de messagerie est primordial car c’est lui qui nous sert pour récupérer un mot de passe perdu sur un autre site. Ainsi si notre messagerie est compromise, tous nos autres comptes le sont.
A) Pour commencer quelques règles de base sur les mots de passe :
– Ne pas mettre un mot du dictionnaire, un prénom, votre date de naissance… toute chose qui peuvent être devinée ou trouvée par ce qu’on appelle les attaques par « force brute » (force brute : l’attaquant essaye à l’aide d’un programme des dizaines de milliers de mots de passe issus d’un dictionnaire ou d’une liste)
– Diversifier vos mots de passe. Ne pas utiliser un seul et unique mot de passe pour tous vos comptes. L’idéal étant un mot de passe pour chaque compte.
– un mot de passe doit comporter des lettres minuscules et majuscules, des chiffres, et des caractères spéciaux (;!/ etc…). Il ne devrait pas être inférieur à 16 caractères.
B) Privilégier l’authentification forte. Qu’est-ce que cela veut dire ?
L’authentification peut reposer sur trois choses :
– ce que l’on sait : un mot de passe par exemple
– ce que l’on possède : une clé (Ubikey par exemple), un badge, une carte magnétique…
– ce que l’on est : (empreinte digitale, iris, voix, visage etc…
On appelle authentification forte une authentification qui combine deux de ces 3 principes : par exemple, un mot de passe et une clé. De nombreux sites ont mis en œuvre cette authentification forte, on parle alors souvent d’authentification à deux facteurs (2FA dans la littérature anglaise). Parmi les fournisseurs de mails que nous utilisons, Outlook et Gmail le proposent.
C) Comment mettre en œuvre ?
– Retenir des dizaines de mots de passe constitués d’une suite aléatoire de plus de 16 caractères est impossible, aussi il existe des gestionnaires de mot de passe.
A exclure ceux qui sont dans le cloud même s’il est pratique de pouvoir les retrouver partout et tout le temps. Pour ma part j’utilise Keepass (https://keepass.info/) et ses dérivés sur Android et IOS.
Si le nombre de mot de passe est limité et que vous ne souhaitez pas utiliser un gestionnaire de mot de passe, vous pouvez, pour mémoriser un mot de passe, utiliser un poème, une phrase, et ne retenir que les premières ou nièmes lettres de chaque mot, rajouter ponctuation et chiffre pour constituer un mot de passe solide.
– Pour l’authentification forte les moyens les plus couramment utilisés pour le deuxième facteur d’authentification sont l’envoi par sms ou la génération d’un mot de passe valable une seule fois et limité dans le temps (appelé OTP : One Time Password).
De récentes études ont montré qu’il était possible d’intercepter les sms (dans le cas d’attaques ciblées), donc privilégiez la génération d’OTP. Des applications pour smartphone permettent cela : « Authenticator » de Google ou Microsoft (à privilégier car accès sécurisé). Ces applications respectent un standard et fonctionnent quel que soit le compte à sécuriser.
Au cours de la mise en œuvre, les sites proposent des codes de récupération et/ou une clé secrète, faites attention à bien les conservez.
Pour finir, le point focal de votre sécurité sur internet est votre compte de messagerie. Si celui-ci est compromis, il est facile de réinitialiser tous vos autres accès sur d’autres sites (en utilisant le lien « mot de passe perdu »). Votre compte de messagerie doit impérativement vous proposer une authentification forte, si ce n’est pas le cas, changez-en ! Il est difficile de changer de mail mais rien ne vous empêche pour commencer d’ouvrir un deuxième compte sécurisé et de l’utiliser dans votre correspondance et identification avec les sites sensibles.
Complément sur la messagerie et l’authentification:
Lorsqu’on utilise un client de messagerie, genre Thunderbird sur PC, pour centraliser les mails de différents comptes, s’assurer que la connexion aux serveurs pour lecture et envoi de messages est bien sécurisée. Pour cela il faut que la connexion au serveur POP (= POP3) soi sur le port 995 avec une sécurité SSL/TLS et une méthode d’authentification à « mot de passe normal » (à minima); si le serveur accepte la connexion en 2 temps (le tester), il faut indiquer la méthode « OAuth2 ». C’est le même principe pour le serveur d’envoi SMTP mais sur le port 465.
Si vous voulez utiliser plutôt IMAP que POP en lecture, ce qui permet d’avoir sur le client une vision synchronisée du serveur, c’est le même principe mais le port utilisé est le 993.
Les ports mentionnés ci-dessus sont par défaut lorsqu’on précise une connexion sécurisée SSL/TLS.