Blog de web-eau.net

Dans mon activité de webmaster, je suis souvent confronté à un souci majeur de sécurité informatique avec mes clients. En effet, lors de la livraison d'un site, je dois communiquer au propriétaire, des données sensibles (identifiants et mots de passe). Si d'autres professionnels ne prennent pas cette peine avec leurs clients, je mets un point d'honneur à livrer un site complet aux miens.
Mon souci est la sécurisation du transfert de ces données. Voici comment il est possible de le résoudre.

J'ai travaillé récemment pour le compte un cabinet de stratégie digital qui transmettait toutes les informations sensibles concernant le client final directement par mail, sans aucune sécurité et sans aucun chiffrement ! Autant dire que travailler dans de telles conditions, ramène le niveau de la sécurité du projet à un niveau proche de zéro.
Il y a trois types de données qui ne doivent JA-MAIS circuler via un email non crypté :

  1. Les informations d'une carte de crédit,
  2. Un numéro de Sécurité Sociale,
  3. Les mots de passe.

La sécurité de vos mots de passe


Quelles sont les conséquences d'un incident sur un mot de passe ?

L'industrie de la sécurité de l'information a établi des critères qui permettent de déterminer le niveau de gravité d'un problème de sécurité à partir de deux questions :

  • Y a-t-il eu une violation des règles de sécurité qui a rendu possible cette fuite ?
  • Qui était en possession de l'information ?

 

Disposer de ces réponses permet de retracer le mode opératoire et permet de contenir et de corriger l'incident. Dans mon cas, plusieurs acteurs (le client final, le cabinet, un prestataire indien et moi-même) étaient en possession d'informations que je qualifie volontairement de sensibles. Nous avons eu la chance car il n'y a pas eu de fuites. Les implications financières d'une faille de sécurité importante peuvent devenir des véritables cauchemars. S'il y avait eu une violation de l'intégrité du site du client final, cela se serait certainement traduit par une fuite des informations des clients du site, une violation de très nombreuses données qu'il contient et une très grosse perte de chiffre d'affaires (sans compter l'impact négatif sur l'image de marque pour l'entreprise).

 

Il n'en faut pas plus pour se retrouver, malgré soi, en tête de l'actualité locale ou nationale... et voir une entreprise couler définitivement en quelques semaines. En prime, vous aurez sans doute droit à une action en justice de la part des clients qui auront été lésés.


La sécurité de vos mots de passe
Les méchants ne sont pas toujours
ceux que l'on vous présente...


Résoudre un incident informatique

Dès que vous avez connaissance de l'incident, la première chose à faire est de contacter votre équipe informatique : webmaster, hébergeur, etc. C'est une course de vitesse qui s'engage à partir de maintenant. Aussi plus rapidement vous pouvez communiquer l'information, plus vite ils pourront intervenir pour règler l'incident. Vous aurez tous le temps de réfléchir aux erreurs qui ont rendu possible cet incident une fois que celui-ci aura été fixé.
Dès que vous avez réuni tous les acteurs concernés, il faut commencer par mettre en place un plan d'actions efficaces pour repartir. Cela inclut généralement :

  1. Bloquez immédiatement tous les accès au système compromis, changer les mots de passe et faites auditer les logs du serveur,
  2. Il faut aviser le client final si ce n'est pas vous. S'il dispose d'une équipe de sécurité, demandez-lui à travailler de concert avec votre équipe pour apporter les corrections nécessaires.
  3. Nettoyez le serveur de messagerie. Supprimez tous les messages de toutes les boites mails du site compromis aussi bien sur le serveur que dans toutes les boites mails.
  4. Mettez en place un plan de communication avec le client final concernant l'utilisation des mots de passe.
  5. Si vous n'avez plus confiance en la personne qui gérait jusqu'ici votre projet, il faut prendre la décision de la remplacer. Vous risquez peut-être de perdre du temps mais à moyen/long terme, cela vaut le coup. Vous devez être parfaitement en confiance avec les personnes qui ont accès aux données les plus sensibles de l'entreprise.

 

Communiquer des mots de passe

Une planification préalable et un rappel régulier des procédures de sécurité auraient sans doute pu éviter cet incident. Aussi, il est important d'établir des règles de base avant que le travail commence. En ce qui concerne la communication sécurisée des mots de passe, voici quelques pistes :

  • Communiquer les mots de passe verbalement, directement à la personne,
  • Communiquer les mots de passe par SMS ou messagerie type WhatsApp,
  • Communiquer les mots de passe via email cryptés. Il existe quelques bons outils Open Source pour crypter vos emails. Cela nécessite un peu de configuration au départ mais cela s'avère bénéfique dans le cadre de relations professionnelles suivies. Je vous conseille un outil comme Enigmail.
  • Transférer les mots de passe via un coffre-fort tel que KeePass. Cet outil vous permet de stocker les noms d'utilisateur, les mots de passe, les adresses et des notes dans un seul fichier. Le tout est ensuite crypté et protégé par un mot de passe. Vous n'avez plus qu'à communiquer ce mot de passe avec l'une des méthodes décrites ci-dessus.

La sécurité de vos mots de passe


Tout cela ne sert à rien si vous n'avez pas la culture de la sécurité en tête lors de la création de vos mots de passe. Le prénom de vos enfants ou votre date de naissance ne sont pas des mots de passe sécurisés ! Un mot de passe sécurisé est unique (vous ne l'utilisez qu'une seule fois) et comporte au minimum 15 caractères contenant des lettres majuscules, des minuscules, des chiffres et des caractères spéciaux.

 

Exemples de mots de passe sécurisés : %^'{OE>IT|w$#0.cG - rMH+uC8/;IWF&x1MU - `L4(2Re!,EusX-LZ~`h ...

 

Vous avez besoin d'aide pour créer des mots de passe sécurisés ?

 

Conclusion

Avez-vous entièrement confiance sur la façon dont votre entreprise gère ses mots de passe et la sécurité de ses données ?
Avec une bonne préparation préalable et un peu de culture sur la sécurité informatique, vous pouvez vous éviter d'énormes maux de tête tout en favorisant vos relation professionnelles. Si vous avez une équipe informatique en interne, demandez-leur comment sont stockés et communiqués les mots de passe. Si vous travaillez avec des prestataires externes, adoptez les mêmes règles de sécurité que pour vos équipes en interne.

Si vous avez des questions ou si vous utilisez d'autres méthodes de partage ou d'autres applications pour la gestion et la communication des mots de passe, n'hésitez pas à commenter cet article.


 

A PROPOS DE L'AUTEUR :

Webmaster freelance passionné par Joomla depuis 2007, Daniel défend la veuve et l'orphelin du web en créant des sites respectueux du W3C. Fort d'une expérience de plusieurs années, il partage ses connaissances avec les néophytes aussi bien qu'avec les personnes plus expérimentées.
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Ajouter vos commentaires

Poster un commentaire en tant qu'invité

0
Vos commentaires sont soumis à la modération de l'administrateur.

Participant à cette conversation

  • Sympa ton article ! Perso je ne suis pas confronté à ce genre de cas, mais il m'arrive d'installer un template wordpress sur le site d'un client et lors de son installation j'intègre au tout un plugin qui génère des mots de passe sécurisés. Ainsi, je lui transmet un mot de passe temporaire en lui indiquant la marche à suivre (assez simple) pour modifier à son tour son MDP.

    C'est la solution la plus simple que j'ai trouvé pour le moment...mais tu as raison d'aborder le sujet et d'alerter sur les difficultés de transmettre des infos confidentielles par email. Le mieux selon moi, reste l'envoi d'information sur le portable de l’intéressé, comme ce que fait une banque pour autoriser un paiement, mais là il faut un système assez lourd derrière...

    Bref. A + ;)

  • Merci pour ton commentaire et pour cette procédure pour WP.

    Actuellement, le mieux est effectivement de communiquer les éléments sensibles au client par téléphone (voix ou SMS). C'est ce que je m'efforce de faire de plus en plus.

    Pour automatiser cet envoi sur téléphone, c'est effectivement déjà plus lourd à mettre en place mais il faut avoir un vrai besoin pour cela. Ce n'est pas le cas quand on produit quelques sites par an.

    A+ ;)

  • Très bon rappel sur l'importance de la sécurisation des mots de passe et les conseils prodigués ici sont très utiles, j'en prends note ! merci pour le travail !

  • Bonjour et merci pour ce sympathique commentaire, Grégoire.

web-eau.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is
used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.