l'information circule dans l'entreprise, je l'ai souvent croisée devant la ... machine à café

Translation

Powered by Google

Sécurité des systèmes d'information et gestion des mots de passe
 
Dans un environnement de plus en plus ouvert (navigation en ligne, accès à des applications hébergées sur des serveurs externes, accès à des informations et espaces protégés, etc...), se pose avec acuité la question de la sécurisation des systèmes d'information.

Ce qui est valable pour l'individu l'est tout autant si ce n'est davantage pour l'entreprise. On entre dès lors dans le volet protection de l'intelligence économique.

Dans ce billet, il ne sera pas question des traces que laisse chaque internaute lors de ses navigations. L'épisode récemment relaté par

InternetActu est édifiant. Il ne sera pas plus question des programmes présents sur la toile à des fins de surveillance (où l'on parle de cookies, de mouchards, spyware, virus, vers, et autres agents malveillants). Mais de ce qui constitue le lot quotidien des i-workers, à savoir la gestion des identifiants et mots de passe qui se multiplient de façon exponentielle.

Point de départ de la réflexion : une note d'information du CERTA (rattaché au S.G.D.N. - Secrétariat Général de la Défense Nationale) datée du 1er septembre dernier. Où il est fait état de divers types d'attaques sur mots de passe (par force brute, par dictionnaires, par compromis temps / mémoire) et de moyens de créer et protéger son ou ses mots de passe.





Voilà donc quelques règles de bon sens qu'il est bon de rappeler. Le problème est que l'environnement - de travail - est de plus en plus ouvert ; donc l'accès à des espaces protégés de plus en plus requis. Le "travailleur du savoir" se retrouve avec une véritable bibliothèque d'identifiants et mots de passe à devoir gérer. Et comme la mémoire humaine a une capacité limitée, on se retrouve à ne pas appliquer ces règles en utilisant plusieurs fois le même identifiant et mot de passe pour divers usages.

Voici deux solutions qu'il me paraît intéressant de tester :




  1. des chercheurs du Stanford Security Lab de l'Université de Stanford ont développé une extension pour navigateur web appelée : PwdHash que j'ai traduit par le hachoir de mot de passe 
    Le principe retenu est celui du cryptage : le mot de passe usuel est automatiquement converti en un mot de passe spécifique associé à un site web visité. Pour ce, il suffit de télécharger un plug-in et d'utiliser ensuite dans chaque site protégé par un mot de passe le préfixe 00 avant de taper le mot de passe usuel. PwdHash agit comme un intermédiaire invisible entre l'utilisateur et le site visité et ne nécessite plus d'avoir à gérer un catalogue de mot de passe. On devine déjà les ressources offertes par cette application.
     
    pour en savoir plus et télécharger le plug-in
     
  2. autre solution qui repose sur la logique de stockage protégé de multiples mots de passe : l'utilisateur télécharge un logiciel (open source) Keepass qui est en fait un coffre fort virtuel qui permet de stocker tous les mots de passe dans un fichier unique.
    L'interface se présente comme une arborescence que l'on personnalise. A chaque mot de passe, on associe une page web, un commentaire, une date d'expiration et on peut aussi lui attacher un fichier. L'accès se fait via un code secret ou pour ceux qui ne peuvent absolument pas mémoriser un seul mot de passe via une clé USB.

    télécharger KeePass

Rédigé par La machine à café le 16/10/2006 à 21:48 | Commentaires (0) | Permalien | Trackbacks (0)

Facebook Google + Twitter LinkedIn Del.icio.us Google Furl Y! Technorati Viadeo Pinterest
Syndication
RSS ATOM RSS comment PODCAST Mobile

Add to Netvibes

Abonnement Bloglines

Add to Google

/a_la_une

Subscribe in NewsGator Online



Vous n'utilisez pas d'agrégateur de flux RSS Vous pouvez recevoir - dès parution - les billets de ce weblog sur votre outil de messagerie en vous inscrivant ci-dessous


entrez votre adresse e-mail :