Ce proverbe vaut bien la peine d’être appliqué à l’informatique et à la cybercriminalité.

En 2008, lorsque j’ai commencé à travailler sur l’accès à distance sous Windows 2003, je me suis rapidement orienté vers l’amélioration de l’Expérience Utilisateur. La sécurité me passait au-dessus de la tête. Un peu comme Microsoft avec Internet Explorer avant 2004. Lorsque je me suis documenté sur le sujet, je suis tombé sur une vidéo qui parlait des mots de passe les plus utilisés dans le monde.

Aujourd’hui, en voulant la rechercher sur YouTube pour vous en donner le lien, j’ai tapé « security passwords most used ». Je n’ai pas retrouvé cette vidéo, mais j’en ai vu apparaître des dizaines traitant du sujet. Il est déductible que le propos est toujours d’actualité. Et les mots de passe sont d’ailleurs toujours les mêmes.

Remarque

– T’imagines une résidence HLM où tous les appartements auraient la même serrure que t’ouvres en deux secondes avec un trombone comme dans les séries TV?

– Mieux, c’est la même serrure, mais en plus la clé est sous le paillasson.

Oui, le post-it collé sur le bureau, sous le tapis de souris. On n’y croit pas, mais c’est pour de vrai. 

NO WAY

Pour moi, le sujet est clos. Les logins-passwords, c’est chiant et ça fait chier tout le monde. On passe sa vie à devoir saisir ces trucs et à devoir se souvenir si c’est celui-ci ou celui-là. Imaginez justement une maison de 400 mètres carrés où toutes les portes auraient des serrures qu’il faut ouvrir et refermer après. Vous vous trimballez avec un trousseau de clés qui pèse 2 kilogrammes et vous passez dix minutes à chaque porte à chercher qu’elle est la foutue putain de clé qui va marcher.

 

Certaines portes sont en plus dotées d’un système de sécurité qui fait que si vous vous trompez 3 fois de clé, vous devez attendre une heure avant de pouvoir recommencer. Le jour où le responsable informatique pose ce système sur la porte des petits coins, faut pas avoir la courante.

CHROME

Qui, parmi nous, dit à Chrome de ne pas stocker le mot de passe pour ce site ou cet autre site ? Moi, je dis toujours à Chrome de stocker mon mot de passe. D’autant plus que ça me rend service quand je ne me souviens plus d’un mot de passe que je n’ai pas noté, parce que sur le site de Nirsoft, il y a un utilitaire qui vous liste tous les sites avec tous vos logins-passwords. Je ne compte plus le nombre de fois où j’ai eu recours à ce stratagème et de là de me rendre compte de deux choses. La première étant que les mots de passe stockés par les navigateurs ne sont pas du tout sécurisés, que Chrome synchronise vos favoris, vos cookies ET vos logins-passwords d’un ordinateur à l’autre. La deuxième étant que j’étais à la même enseigne que tout le monde, mot de passe trop simple ou mot de passe identique utilisé pour différents accès.

EVILNESS

Je me suis rendu compte d’une troisième chose : que c’était vachement pratique pour retrouver un mot de passe perdu !

L’utilitaire de Nirsoft ? http://www.nirsoft.net/password_recovery_tools.html

Il faudrait dire « les utilitaires », comme vous le verrez sur la page, il n’y en a pas qu’un seul.

 

50% des malveillances sont d’origines internes. Ce n’est pas un malandrin qui va faire le tour de votre propriété pour voir s’il y a une porte ouverte, c’est votre femme de ménage qui a les clés qui va vous faire un tour pendard parce que vous lui aurez dit que la vaisselle était mal rangée.

Vous imaginez le collègue qui lit cet article comme vous et qui va attendre que vous alliez à la machine à café pour brancher sa clé USB sur votre session ouverte?

Un mot sur la loyauté

20% des salariés sont prêts à vendre leur login-password.

Vous êtes patron? Pas top.

Non,
aujourd’hui, je n’ai rien à vous vendre. Ça arrive, croyez pas. Mais, j’ai un
truc à vous faire essayer.

Un truc où il n’y a pas de login et de mot de passe à saisir. Un truc où vous n’avez pas un formulaire à remplir pour tester, même pas une adresse email à donner. Un truc où vous avez juste à faire clic sur le lien et vous êtes connecté. Un truc qui illustre le proverbe donné en introduction.

Je veux voir ça tout de suite

ONE STORY pour illustrer

Le contexte, c’est l’accès à distance en centre de calcul.

Autrement dit, l’accès à un serveur Windows hébergé chez OVH ou ailleurs et dont le rôle est de donner accès à un bureau à distance.  Dans une majorité de cas, le serveur est interne à la société, il sert à centraliser quelques ressources, voir publier une application unique et n’est accessible depuis l’extérieur qu’au travers de mécanismes complexes, contraignants et consommateurs de ressources.

Je vous fais le scénario courant avec en vedette l’utilisateur lambda

Quatre neurones à votre service au meilleur de sa forme. (Bien sûr, pour nous les informaticiens, l’utilisateur est un sous-humanoïde dérivé du batracien qui croasse ses problèmes de double-clic au téléphone).

Monsieur Mesgenoux

Professionnel de la machine à café et accessoirement Assistant au Délégué Général dans une french company est bloqué chez lui par un concours de circonstances indépendant de sa volonté. Heureusement, l’application métier de l’entreprise est installée sur un serveur de session à distance.

Nous voilà sauvés.

Sauf que pour des mesures de sécurité, il faut que le poste distant, présentement celui de Monsieur Mesgenoux, soit identifié comme étant autorisé à se connecter. Cela nécessite l’intervention de l’informaticien (qui pour le reste de l’humanité est un sous-humanoïde dérivé du roquet à poil court). Mais il faut aussi que Monsieur Mesgenoux installe sur son PC perso, chez lui, un soft qui lui permette de se connecter en VPN. Cela nécessite l’intervention de l’informaticien qui explique comment faire, puis finit par se connecter à distance sur la machine de Monsieur Mesgenoux. L’informaticien en profite pour voir que Monsieur Mesgenoux est un habitué de Youporn et adopteunmec.com.

Il est 11h45 et enfin Monsieur Mesgenoux accède à l’ERP de l’entreprise.

L’informaticien raccroche le téléphone en pensant qu’une fois encore, il a sauvé le monde et que sans lui, cette entreprise aurait fermé depuis longtemps. Seulement, Monsieur Mesgenoux a un accès ADSL pourrave et la connexion VPN bouffe trop de ressources réseau et de bande passante. Tout est hyper lent, et ça se déconnecte 3 fois par heure. Bref, à 17h, Monsieur Mesgenoux n’a pas fait le tiers de son taf, a acquis une haine démesurée de l’informaticien qui lui a expliqué que sa connexion ADSL en Wi-Fi était insuffisante ; insulte suprême pour Monsieur Mesgenoux qui rétorque qu’il regarde des vidéos sur YouTube sans problème et Netflix aussi. Au final, ce brave utilisateur regrette de ne pas avoir été au travail.

C’est quoi le problème ?

Le problème est que la sécurité est obnubilée par la porte d’entrée. Il vous faut 3 clés, un digicode et une reconnaissance faciale pour l’ouvrir.

Et si Monsieur Mesgenoux avait eu une URL à taper dans son navigateur qui l’aurait connecté automatiquement à un serveur dédié en centre de calcul, serveur offrant, en ouverture de session, l’ERP avec son login-password, serveur identifié par le pare-feu de l’entreprise et autorisé à se connecter à la base de données de l’ERP, et bien on aurait consommé un peu moins d’anxiolytiques ce jour-là.

La porte la plus sûre est celle que l’on n’a pas besoin de fermer.

 

Cliquez sur le bouton ci-dessous.

Par cette simple action, vous allez vous retrouver sur une station Windows 2016 avec un Pack Office complet (merci, c’est moi qui paye les licences à Micro$oft) et Internet Explorer qui va s’ouvrir automatiquement après quelques secondes pour vous expliquer que vous êtes dans un espace créé à l’instant de votre connexion et qui disparaîtra à jamais lorsque vous fermerez votre onglet. Cliquez sur la petite flèche du bas. Naviguez un peu.

Ok, j'essaye

Le coin du hableur

« Si on veut pas de problèmes, on prend pas Windows. »

Les standards de fait sont là. Il serait tout aussi simple de dire que si on ne veut pas de problèmes, on utilise pas TCP. Ce protocole universel dans le monde de l’Internet a été conçu sans aucune norme de sécurité. Si cela avait été le cas, les attaques par l’Homme du Milieu n’existeraient pas.

« Votre truc, il y a déjà des produits qui le font. »

Ne confondons pas invention et innovation. Innover, c’est faire plus vite, plus simplement en coûtant moins cher. Le conteneur n’était pas une invention en matière de transport maritime, mais une innovation qui a ramené le coût de la tonne de 60$ à 6 cents.

« Le pare-feu Windows, c’est de la merde. »

C’est un outil extraordinaire qui peut entièrement être piloté par un logiciel intelligent. Chopez Netstat, listez les connexions, interrogez WHOIS et dégagez toutes les IP des pays qui n’ont rien à faire chez vous. Une ligne de commande, et le pare-feu Windows s’en occupe.