Le mot de passe, votre meilleur ennemi

Quoi de mieux qu’un retour aux sources pour fêter la première année de ce blog ?

Le 1er septembre 2016, il était question d’une faille critique chez un gestionnaire de mots de passe.

Ces derniers jours, 711 millions d’emails sont envoyés pour essayer de propager un cheval de troie, visant à collecter des identifiants et mots de passe en grand nombre.

Alors commençons à réfléchir, en essayant une approche un peu différente…

Un mot de passe, c’est tout simple… en apparences

Pour essayer de comprendre pourquoi les avis divergent tant, pourquoi les GAFAs ont toutes leur projet de fédération des identités, pourquoi encore aujourd’hui, la majorité des utilisateurs, clients, internautes, informaticiens (sic), et votre sympathique voisin n’est toujours pas bien protégée par un mot de passe.

Regardons au delà du mot :

Si on déplie la mindmap, c’est un peu plus compliqué (cliquez pour agrandir)

Pirates et utilisateurs

Ce sont deux groupes qui ont des intérêts parfaitement opposés et un objectif commun : le mot de passe. Les uns cherchent à le deviner, les autres à s’en souvenir et le deviner aussi en cas d’oubli. Tous préfèrent la simplicité, c’est humain : pas de récompense = pas d’effort, une contrainte = un contournement.

Au passage, ça fait un an on se connaît un peu mieux n’est ce pas ? Donc ça ne vous surprend plus si je me permet de parler sans ambages de récompense intellectuelle ou de généraliser car il y a près de 3,8 milliards d’internautes dans le monde, 4,9 milliards de smartphones… quel pourcentage en estimez-vous être bien protégé et pleinement informé ? Appliquez ensuite un des principes fondamentaux de la sécurité : la sécurisation d’un système équivaut à celle du plus faible de ses composants. Vous comprendrez alors que même avec un mot de passe fort, vous êtes exposé via la relation de confiance que vous avez avec un correspondant, un site web, un hébergeur qui abrite des centaines de composants et du personnel. Risque systémique d’un monde connecté.

Le fait est que l’utilisateur à quelque fois une motivation perçue comme légitime d’enfreindre les bonnes pratiques, le mot de passe est disruptif il empêche d’atteindre un but essentiel : se connecter et aller enfin faire ce qui est intéressant, atteindre la valeur, le service. Et si on regarde de l’autre côté, l’entreprise, l’hébergeur, la génération de mot de passe à obligation de rendre cette étape forte et sélective entre l’utilisateur et le pirate.

La formation, le conseil d’accompagnement à ses limites, donc il n’est pas raisonnable de considérer que c’est de la faute de l’utilisateur seul si le pirate à gagné. Le nombre de comptes que nous avons, d’une dizaine à plusieurs centaines, et autant de mots de passe ne sont pas gérables tout simplement. Des auxiliaires comme les coffres forts numériques, les trousseaux virtuels, le calepin rangé sous clé permettent, en attendant mieux, des pratiques plus sures, mais pour cela il faut être technophile et informé.

Les pirates eux, s’adaptent, se forment, se professionnalisent toujours plus nombreux car les gains même faible unitairement bénéficient d’effets de levier : le volume, la diversité, la fréquence… Exemple les data breach (fuite massives d’information), les paiements en ligne, l’IOT et la promesse d’une infinité d’objets connectés. Sans parler des revenus directs, certes plus rares mais franchement plus élevés lorsque ce sont des organisation qui sont à l’oeuvre et pas un individu isolé.

 

Entreprise et hébergeurs

Quelquefois confondus, les entreprises et les hébergeurs sont sous la pression bienveillante des états, autorités de contrôle, normes et règlements.

C’est nécessaire pour établir des pratiques de sécurité avec une base commune raisonnable, car vu le nombre d’utilisateurs connectés, le rush vers le digital, la masse et la valeur des données, le stress commercial et financier que subissent les organisations ne laisse pas vraiment de place à autre chose que le business. Pourtant, il est reconnu qu’être victime d’un incident de sécurité c’est mauvais pour le business. Ça peut être un problème ponctuel mais qui fait un bad buzz, ou plus grave c’est alors publié officiellement… (et on en reparlera après le RGPD).

Donc à présent, les entreprises et hébergeurs en plus d’être contraints et contrôlés pour « bien » mener leurs activités (SOX, HDS, Solvency, HSE..), le sont aussi pour « bien » protéger les données et les intérêts de leurs clients.

Des directives strictes, des autorités de contrôle investies d’un réel pouvoir de sanction, des associations de consommateurs, des ressources de l’entreprise en quantité finie… et des pirates on les aurait presque oubliés. Voilà ce qu’il faut prendre en compte pour mettre en oeuvre une gestion des risques de sécurité informatique, une politique de sécurité, des mesures et solutions déclinées jusqu’à ceci:

Une mire avec un nom d’utilisateur, un mot de passe à la complexité contrainte, et toujours plus de mots.

 

La génération de mots de passe, un vrai potentiel d’amélioration

Si on considère que chaque acteur impliqué dans les mots de passe à ses propres objectifs, et qu’ils sont pas ou peu compatibles entre eux, si on considère qu’on ne se passera pas à court terme des mots de passe, le seul espoir résident dans une évolution des méthodes de génération et de gestion des connexions et des identités.

Dès aujourd’hui il existe des auxiliaires (déjà cités), des solutions « fortes » faisant intervenir un second facteur d’authentification tel un SMS, un code à usage unique, un certificat ou une carte à puce, la biométrie.

Le principal problème est le coût, croissant avec l’efficacité et la simplicité de la méthode utilisée. Ensuite l’adoption, la force de l’inertie dans un système complexe à faire évoluer.

J’exclue volontairement la résistance au changement partant du principe que tout utilisateur est 110% prêt à changer pour autre chose que le mot de passe. A ceci près qu’une des meilleures pistes actuellement est la biométrie, avec le capteur d’empreintes, du réseau veineux, ou la caméra frontale, et qu’il faut accepter d’être instrumentalisé dans la gestion de notre propre identité. Et si on parle d’utiliser le rythme de votre frappe au clavier, le rythme cardiaque comme signature, que vont imaginer les pirates pour obtenir une connexion…? toujours partant ?

Les solutions simples et pragmatiques côté clavier

Les règles mnémotechniques, les méthodes de génération mentales de mots de passe forts existent, voilà une illustration assez connue:

 

https://xkcd.com/936

 

Ou bien encore « choisissez votre mot de passe en retenant la première lettre de chaque mot d’une phrase », « construisez vos mots de passe avec un algorithme » en espérant ne pas l’oublier ou qu’il ne soit pas découvert au premier mot de passe capturé.

Les solutions simples côté ordinateur

La plus simple, c’est le duo utilisateur – mot de passe, lequel doit être stocké et protégé dans les règles de l’art. C’est le moins cher à implémenter, donc toute autre solution implique un effort ou un compromis de complexité – facilité.

Les autres solutions

Il y en a des dizaines…

 

Certaines visent à devenir un standard de fait. C’est là où Google, Amazon, Facebook, Microsoft mènent une guerre d’influence pour détenir votre identité et être le passage obligé pour l’authentification sur d’autres services. N’avais vous jamais cliqué sur « se connecter avec mon compte Facebook »?

 

FIDO (https://fidoalliance.org) se pose en standard au sens normatif, pour une authentification reposant sur un format ouvert et commun à tout éditeur souhaitant monter à bord. Ou encore SQRL (https://www.grc.com/sqrl/sqrl.htm), un travail de recherche par Steve Gibson.

Et s’il y a un marché, il y a une offre: les spécialistes de la connexion et la gestion des identités (IAM) sont relativement nombreux : https://onelogin.com  https://nymi.com https://www.noknok.com etc… Se pose alors quelques questions autour de la pérennité, la confiance, la délégation : si vous déployez une solution pour 3 millions de client, pour 15.000 collaborateurs, que se passe-t-il en cas de défaillance du fournisseur ? voir https://www.getclef.com par exemple.

 

Conclusion nous sommes dans une période transitoire

Les compromis d’ergonomie contre sécurité, d’acceptation de contrainte vs facilité ne sont pas prêt de disparaître. Il faut donc pour le moment ne pas hésiter à investir dans une stratégie de gestion des identités comprenant l’authentification, la gestion des droits et privilèges avec traçabilité, ainsi que des mécanismes de détection.

Que ce soit dans un système informatique interne, ou un site internet, blinder la porte avec une serrure cinq points (c.a.d. un mot de passe long et fort complexe) reste la réponse minimale, mais pas nécessairement la seule ou la meilleure.

Apprendre à profiler les utilisateurs, comme le font les GAFAs, permet de détecter les fraudes et les intrusions (les pirates). Il est alors possible de déployer des mesures d’escalade de sécurité qui vont du gentil message « c’est bien vous ? » à la suspension du compte « accès frauduleux détecté, pour votre sécurité ».

De même, il est nécessaire de s’assurer de l’identité ou du bon niveau d’accréditation lors de phases critiques d’un enchaînement (workflow) . Amazon demande de se re-signer pour gérer les commandes, les banques utilisent 3DSecure, donc le principe d’un « stop challenge »  en cours de route est parfaitement accepté et rassurant. Cette stratégie permet de baliser le parcour utilisateur de jalons (connexion, enchaînement des écrans, des saisies, analyse comportementale, challenge supplémentaire ponctuel) et de forger une identité, de la contrôler sur la durée.

Face à l’énergie déployée par les attaquants, comme toujours dans l’industrie de la sécurité, il faut déployer tout un ensemble de mesures à la fois pour un résultat efficace, l’intelligence artificielle en sera la clé de voûte.

Prenons un peu de recul pour analyser les offres cloud

En préambule dans cet article, pas de comparaison de modèle (cloud public / privé / hybride), mais plutôt une lecture qualitative des offres qui semblent toutes identiques au premier abord…

Tout le monde vend du cloud… pour tout faire et à tous les prix, pourquoi ?

Tout simplement parce que chaque solution avec son rapport qualité/prix est définie d’abord par la stratégie commerciale de l’hébergeur, le marché visé, et que derrière le terme « cloud » se cachent plusieurs offres combinant technologie, qualité de service et savoir faire.

De la technologie, il en faut car après tout, le cloud n’est que le matériel et le logiciel de quelqu’un d’autre pour accueillir votre charge de travail, et vos précieuses données.

La qualité de service détermine les règles du jeu (performance, volumes, consommations), les marges de manœuvre de l’hébergeur pour sa maintenance, les évolutions, et les résolutions d’incident qui surviennent.

Et il y a du savoir faire, que vous allez chercher, c’est donc une véritable valeur facturable.

 

La hiérarchie technique des offres

Un point essentiel avant de commencer : plus le service que vous prenez dans le cloud est simple ou de haut niveau, plus l’hébergeur doit construire et opérer une solution complète pour le proposer.

Classons donc hiérarchiquement les offres de cloud, qui pour certaines selon moi ne méritent pas vraiment cette appellation.

A. Serveur:

Au minimum donc, le cloud, c’est un serveur. Sur ce matériel, vous pouvez installer votre pile logicielle. Mais attention, pour « faire du cloud » sur un serveur loué, il faut vous même déployer ce qui crée le cloud, à savoir la virtualisation de machine, de stockage, de réseau sans oublier de quoi orchestrer l’ensemble. Autrement dit la suite complète des composants d’OpenStack ou de VMWare. A moins qu’il s’agisse de déployer « simplement » owncloud.
Paradoxalement, c’est à cette toute première étape qu’il faut s’arrêter pour construire un cloud souverain. Qui vous appartient « autant que possible » c.a.d. sans avoir à investir dans le matériel, sa maintenance et son environnement (datacenter, bande passante, énergie, froid, sûreté physique etc).

La cible typique: une entreprise voulant limiter ses investissements et les ressources allouées à la production informatique, avec un fort besoin de performance et d’exclusivité, ou des contraintes réglementaires difficiles à satisfaire en fonds propres.

B. Machine Virtuelle:

Ici vont toutes les offres virtualisées de près ou de loin, nommées serveur privé virtuel (VPS). Malheureusement certains hébergeurs entretiennent un flou artistique autour des serveurs privés virtuels, car plusieurs technologies sont proposées avec les mêmes argumentaires commerciaux et des prix identiques, pour un résultat pourtant très différent en qualité de service et en savoir faire.

Les VM virtualisées à la XEN, KVM, VMWare côtoient les environnements virtuels (VE) type OpenVZ, ou même des containers LXC… mixant allègrement Windows et Linux pour faire bonne mesure.

Le client type: une PME qui propose à ses client un logiciel ou service web déclaré être dans le cloud en SAAS. Exemple l’agence web tout près de chez vous, qui met votre site internet dédié et sur mesure « dans le cloud ».

C. L’Infrastructure (IAAS):

A partir d’ici, je considère que le concept de cloud prend forme… Louer une infrastructure managée donc le matériel, le stockage, le réseau, permet de se concentrer sur la partie logicielle des serveurs virtuels. Créer une instance reviens à demander l’allocation de ressources pour installer votre système d’exploitation, vos programmes et données, sans trop se soucier du reste.

A ce niveau d’abstraction, d’énormes différences se creusent entre les hébergeurs selon les moyens et le savoir faire mis en oeuvre pour construire l’infrastructure, et l’opérer. Nous y reviendrons un peu plus tard.

C’est aussi en virtualisant l’infrastructure qu’on rencontre le concept de data center virtualisé (software designed datacenter), et que les bénéfices de l’automatisation et de l’exploitation de nombreuses ressources apparaissent. A tel point qu’on peut en oublier les regles du jeu, et par exemple laisser flotter (et donc être facturé) des instances qui ne servent plus, ou pas vraiment essentielles.

L’IAAS est donc plutôt pour les gros consommateurs, les grands projets, les entreprises réalisant un plan de reprise d’activité, ou définissant leur(s) datacenter(s) à travers le monde en conservant une réelle expertise et un haut niveau de maîtrise sur leur système d’information.

D. La Plateforme (PAAS):

C’est probablement ce modèle qui représente le mieux le cloud dans l’imaginaire collectif. L’hébergeur met à disposition un environnement complet donc matériel, stockage, réseau, système d’exploitation, base de donnée et éventuellement serveur d’application (middleware), pour que ses clients y déposent les données et y développent leurs applications.

Le prototypage, le développement ou finalement l’exécution d’applications en mode PAAS offrent de l’élasticité : la capacité à monter en charge verticalement en allouant plus de puissance de traitement, plus de stockage à votre application, ou la possibilité de monter en charge horizontalement si votre application est réellement conçue pour tirer partie de ce mode, et se distribue en autant d’instances que nécessaire pour faire face à la demande.

Au passage, voilà un des pièges rencontrés dans ce mode: verticalement, la puissance disponible qui paraît infinie puisque on ne parle plus de serveur mais de cloud, est pourtant limitée aux ressources de l’infrastructure, donc de l’hyperviseur, donc du serveur qui porte l’instance applicative.  Une application monolithique n’ira donc pas mieux ou plus vite que ce sur quoi elle repose réellement. Autre écueil possible : l’élasticité facture au consommé les ressources qui ont été allouées automatiquement, un pic d’activité (ou une attaque pour déni de service) reviens un peu à faire un chèque en blanc et constater éventuellement après coup le montant.

La cible du PAAS : les éditeurs logiciels qui mettent à disposition leurs solutions sans s’embarrasser des couches inférieures de la plate-forme, pour rester strictement sur leur cœur de métier (concevoir un logiciel ou un service, pas l’opérer).

E. Le Logiciel (SAAS):

Stop, surprise, ce n’est pas du cloud, c’est du service. Puisqu’en souscrivant une offre de logiciel servi à la demande c’est le produit fini que vous consommez, pas sont cloud-support (qui peut avoir toutes les formes citées précédemment).

F. Les Containers :

Que ce soit du Docker ou Kubernetes, les containers sont un moyen de raccourcir la chaîne entre les développeurs et la mise en production d’applications ou de web services. Si on regarde comment sont construits et opérés les containers, c’est un peu l’aboutissement de la virtualisation légère et agile, ou la recherche de l’efficacité maximum. Ce qui n’est pas sans contre partie, donc cette forme particulièrement aboutie d’abstraction en mode cloud n’est pas « La » solution bonne à tout faire. D’autant que ce mode de distribution d’applications s’écarte légèrement des bonnes pratiques, avec une tendance à packager tous les composants nécessaires au fonctionnement de l’application et s’en tenir la puisque « ça fonctionne », ce n’est ni KISS ni très secure (tout est à jour et bien paramétré+protégé dans le container ?).

La cible: les Devops et éditeurs, pour des paquets  système+logiciels+base de donnée prêt à l’emploi pour du maquettage, des démos ou une nouvelle forme de self-service informatique.  

G. GOTO 10 :

Pourquoi s’embarrasser de serveurs, de systèmes, de base de données, serveurs d’application, ou de containers quand on peut directement programmer et exécuter une application ? C’est ce que propose Amazon avec Lambda, et d’autres comme Webtask. Ou encore Iron.io qui permet de faire tourner vos containers sur plusieurs clouds. Je suis assez tenté de classer node.js dans cette catégorie aussi.

La cible technologique de ce concept: toute charge de travail qui n’est pas réalisable localement (ex: sur un smartphone, une app sollicite la plate-forme de calcul distante pour un traitement lourd), ou qui nécessite d’être modélisé autrement qu’avec les outils traditionnels.

 

Le hiérarchie qualitative des clouds

Comme sur tout marché, on peut diviser en segments les offres et même découvrir quels acteurs, grands ou petits, sont présents sur ces marchés

1. Le bas de gamme c’est le cloud « taille S »

Vous achetez du prix, donc que ce soit pour un logiciel en SAAS, une machine virtuelle, ou du cloud les hébergeurs en font le minimum. Ça se voit au niveau de l’offre de service: les opérations de maintenance, les évolutions vous seront facturées à l’acte ou on vous invite à souscrire une offre supérieure. Pas de GTR, ou des délais et des engagements flous. Dans cette catégorie, vous trouverez de nombreux offreurs, généralement pour des VPS, des serveurs virtualisés ou des offres mutualisées.

Bon pour: débuter une activité avant de commercialiser, héberger un site ou un service dont vous pouvez vous passer quelques heures à quelques jours en cas de problème.

Qui propose ces offres ? Tous les hébergeurs qui font du volume, du gros volume, car c’est un produit très concurrentiel mais qui leur permet de financer de grosses infrastructures, voire de développer des technologies maison pour l’hébergement, la virtualisation, le stockage, la sécurité… et qui apportent une valeur ajoutée indispensable à leur haut de gamme. Ainsi que les hébergeurs plus modestes, ne disposant que d’offres low cost (il en faut pour tout le monde et c’est bien ainsi). 

2. Le milieu de gamme: taille unique, ça ne va jamais bien au final

Là l’hébergeur vous parle le langage de l’entreprise, avec les mots clés sauvegarde (à faire soi-même dans un espace de stockage « offert » avec la plate-forme), GTR et monitoring de votre xAAS, l’accès à un support technique soumis à quelques règles de bases en matière de qualité de service. Il est aussi prévu de base une protection en général basique contre les DDoS (dénis de service). Concrètement les offres xAAS de milieu de gamme peuvent réellement subir des arrêts de services, ou des dégradations (de performance, latence réseau etc) sans que vous puissiez agir de façon significative pour améliorer les choses, ou réclamer à l’hébergeur de pénalités.

La plupart des solutions cloud utilisée en mode PAAS et SAAS se trouvent ici, pour l’avantageux rapport qualité/prix, quitte à faire quelques concessions. C’est le segment à éviter selon moi, car soit on peut se contenter du bas de gamme, soit on compose avec deux hébergeurs au lieu d’un seul pour assurer réellement la continuité et la qualité de service. Ceci dit, dans ce segment on trouve de vraies pépites, par exemple quand un hébergeur « à taille humaine » sait gérer ses ressources et sa croissance pour maintenir un niveau de service quasi haut de gamme, et qui sait créer de la valeur ajoutée afin de se différencier des poids lourds.

3. Le haut de gamme, du S au XXL

Disponible, ininterruptible, sans limite perceptible car il peut s’étendre en volume de stockage et puissance de calcul. C’est celui qui correspond le mieux à la métaphore de l’informatique dans les nuages que suggère la publicité.

Malgré tout il est construit sur terre, donc pour un prix juste, pas forcément excessif pour qui sait choisir les bons partenaires et optimiser, votre logiciel, l’infrastructure ou vos big datas bénéficient de l’expertise et du savoir faire de spécialistes (plusieurs métiers d’informaticiens), de l’infrastructure et de la connectivité que seul un grand groupe peut mettre en oeuvre. Donc les offres de cloud haut de gamme ajoutent la garantie de disponibilité et d’intégrité au programme : multi-site et pas que multi-hyperviseur, avec sauvegarde managée, stockage redondant et un plan de continuité d’activité pour respecter vraiment les cinq neufs de la plaquette commerciale.

Chez les pure players, seul les très gros hébergeurs (nationaux ou internationaux) disposent vraiment de l’ensemble des ressources pour proposer des offres haut de gamme, et couvrir les pires scénarios concernant leur propre fonctionnement. Les opérateurs commercialisent eux aussi des offres haut de gamme, en s’appuyant sur leurs nombreux datacenters historiques, et la connectivité réseau inter-opérateurs dont ils disposent (en bonus: la proximité avec vos clients : les internautes abonnés adsl chez eux). Et chez les « historiques », éditeurs ou constructeurs informatiques du premier monde, on travaille d’arrache pied pour une place dans le nouveau monde digital. 

 

Finalement, qu’est-ce qui fait réellement un bon cloud ?

Toutes ces offres d’hébergement sont autant de modèles de cloud, et peuvent servir à en créer un qui correspond vraiment à votre stratégie d’entreprise (note au passage : ne pas oublier que le système d’information, y compris ses transformations, doit rester aligné avec l’entreprise).

Donc le plus difficile est probablement de ne pas se perdre en route, de savoir quel est votre objectif qualitatif, à court ou moyen terme, avant de choisir un prix, une plate-forme (xAAS) ou un fournisseur.

A ce jour, il semble au moins nécessaire d’atteindre le niveau de qualité, de performance et de fonctionnalités qui sont imprimés dans la conscience collective, à savoir un mode de fonctionnement où tout est fiable et quasi illimité. Il faut donc prévoir un budget en rapport avec ses enjeux , et valoriser les ressources humaines en les faisant évoluer sur la durée. Car même dans le cloud, un système d’information n’est toujours que le résultat de compétences informatiques.

L’étude sur mesure d’une combinaison de performance et d’élasticité vous permettra de faire les bons choix en matière d’architecture cloud. De son côté l’exigence de qualité de service vous guidera vers les prestataires-hébergeurs capable d’accompagner vos informaticiens et vos projets.

La transformation digitale et l’IT en entreprise

Big data, intelligence artificielle, consumérisation des services IT, cloud, amasser des données, en traiter toujours plus, plus vite.
Mieux connaître pour s’adapter, devancer le marché et les attentes des clients.

C’est la voie de l’avenir ouverte par les entreprises natives dans un monde digital, c’est une opportunité pour les entreprises naturellement innovantes, c’est une transformation obligatoire voire urgente pour les autres.

Ce processus transformation à son lot de nouveaux défis humains, informatiques, sécuritaires ou réglementaires, car eux aussi sont transposés vers de nouveaux contextes, nouvelles métaphores, nouvelles compétences.

Si elle est réalisée en restant hermétique à ces considérations, via une approche superficielle ou excessive, l’entreprise se retrouve alors dans un paradoxe : à la fois plus performante et plus fragile.

L’IT si peu citée à propos de transformation digitale doit pourtant y contribuer, car elle y joue un rôle majeur, quitte à se réinventer, car où est l’IT dans une entreprise née digitale ? Omniprésente et invisible, un autre paradoxe de ce phénomène.

Faut-il alors une transformation organique de l’IT pour plus de transversalité, d’accompagnement humain et d’agilité, plutôt qu’un bastion depuis toujours numérique…!

Certainement, en réussissant une nouvelle évolution du métier pour les professionnels de l’informatique.

Mieux connaître pour s’adapter, devancer le marché et les attentes des clients (internes aussi).