Une preuve de plus que sécuriser est un processus et la sécurité absolue, une illusion

 

L’imaginaire public a tendance à penser que les mastodontes tels que Facebook, Google ou Twitter sont parfaits en termes de sécurité. Seulement, même si quelques incidents enregistrés ici et là peuvent donner un meilleur visage de la réalité, des prises de responsabilité comme celle de Twitter en ce jour, permettent d’être beaucoup plus réaliste.

 

Piqûre de rappel 

 

Twitter pour ceux qui, on ne sait comment ne le connaissent pas, est l’un parmi les plus célèbres réseaux sociaux. Il permet à ses abonnés de partager de cours messages, auxquels peuvent être joints des photos et des vidéos. De ce fait, vous avez la possibilité de suivre le fil d’actualité de vos amis, familles, politiques, acteurs de cinémas, et tous ceux que vous admirez ou pas. Comme ses pairs, il est très sécurisé, ce qui n’est pas une raison pour ses équipes de dormir sur leurs lauriers.

 

Ainsi, ce 05 mai, les inscrits à ce réseau social ont reçu un mail de la firme, leur informant qu’une faille de sécurité avait été découverte par ses équipes. Cette dernière était due à un bug existant au sein du système de gestion des mots de passe des utilisateurs. Comme ils ont eu à le rappeler, la gestion des mots de passe des utilisateurs doit obéir aux normes du secteur.

 

Pourquoi s’inquiéter?

 

Lorsque vous créez un compte sur un site internet comme vous l’avez probablement fait pour Facebook, Google ou Twitter, vous fournissez au système un nom d’utilisateur et un mot de passe. Le nom d’utilisateur que vous fournissez peut prendre la forme d’une adresse email, d’un numéro de téléphone ou d’une chaîne de caractères personnalisée. Certain utilise également le mot « login » ou « identifiant ».

 

S’identifier, ne suffit pas

 

Le login est l’élément de base qui permet de vérifier votre identité. On parle alors d’identification. Les militaires étant les principaux artisans de la sécurité, il définissent ce terme par: « Opération consistant à déterminer la nature d’un élément détecté » (source: Larousse). En d’autres termes, à travers votre login, il est possible de se faire une idée de qui vous êtes. Etes-vous un utilisateur, êtes vous un administrateur  du système, ou alors un bout de programme informatique? Cette simple donnée ne permet pas d’en être sûr. En effet, n’importe qui peut se présenter sous votre identité, voir ce qu’il ne doit pas voir, faire ce dont il n’a pas le droit de faire en votre nom, etc.

 

S’authentifier, plus complexe que cela en a l’air

 

Afin d’avoir la certitude que celui que se présente est bien qui il prétend être, il faudra qu’il puisse le prouver. Pour cela, il devra soit fournir:

  • Quelque chose qu’il est le seul à posséder : une clé USB contenant un certificat numérique par exemple;
  • Ce qu’il est le seul à savoir: un mot de passe évidemment, ou encore une phrase secrète;
  • A la fois quelque chose qu’il sait et quelque chose qu’il a : on parle alors d’authentification forte, dont l’enchaînement des étapes nous amène à parler d’authentification multifacteur.

Par défaut, les plateformes comme Twitter demandent, pour vous authentifier quelque chose que vous êtes seul supposés savoir. Votre mot de passe ne doit être connu que par vous et vous seul. Même un employé de Twitter ne doit pas le voir. Raison pour laquelle, la norme dans le secteur recommande l’usage d’un algorithme de chiffrement IRRÉVERSIBLE pour l’enregistrement de celui-ci.

 

Le hashage incontournable dans le processus d’authentification

 

Lorsque votre mot de passe est chiffré dans la base données, il n’a aucun sens même pour vous. Vous ne pouvez pas le prendre tel quel et l’utiliser pour vous connecter. Car il a subit un traitement avant : le hashage.

 

Ce dernier permet à partir d’une chaîne de caractère de départ, d’obtenir une « empreinte » totalement différente de la chaîne initiale. De plus, il est QUASIMENT impossible de partir de cette empreinte que l’on appelle aussi « hashé », et de retrouver le mot de passe tel que vous l’avez saisi. Raison pour laquelle, nous avons parlé d’algorithme irréversible.

 

Sinon, il serait plus simple de retrouver votre mot de passe, depuis l’intérieur par exemple. Ou encore à partir de l’application elle-même, à condition de retrouver la « clé ». Or ce n’est pas ce nous voulons. Et nous voulons encore moins que nos mot de passe soient sauvegardés tel qu’ils ont été transmis au système. Soit en clair quelque part. Pourtant, c’est ce qu’a remarqué Twitter.

 

Les observations de Twitter

 

Dans le mail envoyé par l’entreprise américaine,il est mentionné que des mots de passe ont été écrits en clair dans un fichier journal. Ceci à cause d’un bug. En des mot plus simples, parmi les nombreux fichiers utilisés par l’application, un comportement inattendu fait en sorte que les mots de passe des utilisateurs soient écris tels que transmis, dans un type de fichiers, dont la particularité est d’enregistrer tous les événements qui sont opérés au niveau de l’application. Ou encore, vos mots de passe sont sauvegardés sur le serveur comme s’ils avaient été copier-coller dans un éditeur de texte comme Word. Par erreur bien sûr.

 

Somme toute, la découverte et la complétion d’insuffisances au sein d’un dispositif de sécurité est loin d’être exhaustive. Et surtout pas ponctuelle. Dans le même sens, elle ne saurait être parfaite. Car les choses ne passent pas toujours comme prévu. Il est donc important de retenir, qu’au delà de la technique, il y  a un certain nombre d’actions plus « humaines », dont la communication. D’où des remerciements particuliers à Twitter pour cette prise de responsabilité à notre égard. La sécurité dépend de tous, donc comme conseillé je m’en vais de suite changer mon mot de passe. Mais je ne l’utilise que sur Twitter. Et si vous n’êtes pas comme moi, il se peut vous ayez du travail … pour votre sécurité.

 

 

Vous aimerez aussi...