Que nous apprend l’affaire « Gawker »

Comme je l'évoquais brièvement dans un précédent article, les serveurs de l'entreprise de média en ligne Gawker ont été piratés récemment, avec pour conséquence immédiate la diffusion au public des logins, emails, et mots de passe chiffrés de plus d'un million d'utilisateurs. Pour plusieurs centaines de milliers d'entre eux, les mots de passe avaient même été déchiffrés avant leur diffusion.
Pour quelqu'un comme moi les dessous de l'affaire sont croustillants, et les détails techniques sont même passionnants. Mais, plus important : tout le monde a une leçon à tirer de ce fiasco monumental.
Cette leçon, et non des moindres, est la suivante : dès l'instant où vous confiez un mot de passe à quelqu'un, ce mot de passe est vulnérable. Ça paraît tout bête comme ça, on se dit "mais oui, c'est sûr qu'en donnant mon mot de passe à mon voisin, alors il n'est plus secret". Non. Relisez bien la leçon, elle est à prendre au premier degré. Oubliez votre voisin, votre copine. Vous créez un compte chez Hotmail, vous choisissez un mot de passe pour pouvoir accéder plus tard à votre boîte mail, vous fournissez ce mot de passe à Hotmail. Ça y est, ce mot de passe n'est plus sûr. Un jour, c'est inévitable, c'est déjà arrivé, et ça arrivera à nouveau, des serveurs Hotmail seront piratés et votre mot de passe pourrait tomber dans les mains de quelqu'un.
L'affaire Gawker est bourrée d'exemples illustrants parfaitement ce principe. Les employés de chez Gawker s'échangeaient des mots de passe par chat, dont les archives des conversations ont été piratées. Le piratage des bases de données des sites de Gawker a montré que les mots de passe des utilisateurs n'étaient pas sécurisés : le chiffrement utilisé était archaïque et connu depuis des années pour être déficient, etc. etc.

Bref, votre mot de passe, dès l'instant où il quitte votre tête pour entrer dans un système que vous ne maîtrisez pas, n'est plus en sécurité. Vous ne pouvez pas garantir son inviolabilité, car vous ne contrôlez pas la manière dont il est transmis, stocké, et utilisé.
Cela doit donc vous encourager à utiliser plusieurs mots de passe et plusieurs identifiants. Bien sûr, c'est pénible. Nombreux sont les utilisateurs pour qui la simple contrainte d'un mot de passe est un supplice médiéval à base de lame rouillée et de plomb fondu. Mais à chaque fois que vous hésitez, pensez aux conséquences : que se passera-t-il si le mot de passe que je viens de saisir pour m'enregistrer sur ce forum tombe entre de mauvaises mains ? Est-ce que les pirates pourront alors accéder à ma boîte mail avec le même mot de passe ? Est-ce qu'ils pourront entrer dans ma machine ? etc.
Il ne s'agit donc pas de mettre un login et un mot de passe différents partout (même si idéalement ce devrait être le cas). Il s'agit plutôt de hiérarchiser les risques, de définir des périmètres de sécurité. Votre machine est un périmètre de haute sécurité. Un pirate qui y aurait accès pourrait sans doute récupérer des informations bancaires, des informations professionnelles confidentielles, détruire 10 ans de photos de familles non sauvegardées, etc. Votre email professionnel est sans doute au même niveau de sécurité. Un forum internet concernant vos loisirs, sur le quel vous être très assidu, est important, mais moins que votre messagerie. Des forums ou des sites fréquentés très occasionnellement ne méritent probablement pas autant de précautions.
Dans le périmètre "haute sécurité", chaque accès devra avoir un mot de passe fort, et unique. À l'opposé, dans le périmètre "basse sécurité", vous pourrez sans risque réel utiliser le même mot de passe partout. La sécurité est à tout les coups une affaire de compromis entre le confort et les risques que vous acceptez. Plus votre confort est grand, plus vous prenez des risques. Meilleure est votre sécurité, plus elle est contraignante. Il y a simplement des domaines où vous ne pouvez pas vous permettre d'avoir une faible sécurité.

Ne faites pas comme Nick Denton, le fondateur de Gawker Media : n'utilisez pas le même mot de passe ridicule (24862486) partout. Ne partagez jamais un mot de passe par email, chat, ou autre, mais partez du principe que les autres le font. Pour finir, ne faites pas confiance aux dépositaires de vos mots de passe.

Joyeux Noël ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.