/misc
Navigation

L'après «HeartBleed» (2): Gérer précieux mots de passe

Coup d'oeil sur cet article

Hier, nous avons établi que votre cerveau est l’un des lieux les plus surs pour conserver des mots de passe. Nous avons aussi examiné une méthode pour en mémoriser des dizaines. Mais qu’adviendra-t-il si jamais notre cerveau n’était plus en état de fonctionner ? Alors que des mots de passe sont indispensables à notre bien-être, ou à celui de nos proches? Ou au bon fonctionnement d’une entreprise ? Aujourd’hui, nous allons donc examiner comment prévenir une telle crise.

Source : Gerd Altmann / Pixabay.com 

Quatrième billet d’une série liée à la faille « HeartBleed ».

Vous allez donc renouveler tous vos mots de passe au cas où ils auraient été compromis par la faille «  HeartBleed » et sa variante «  Reverse HeartBleed ». Félicitations !

Mais tant qu’à faire, pourquoi ne pas en profiter pour :

a) identifier les sites ou services protégés par des mots de passe qu’il serait important de pouvoir transmettre à quelque proche ou collègue en cas d’incident ou d’urgence ; et

b) organiser par avance cette éventuelle transmission par des moyens sécuritaires ?

En effet, on rapporte de plus en plus de cas d’organisations qui ont été mises en graves difficultés parce qu’une personne clé était la seule à connaitre certains mots de passe pour des opérations vitales.

Ou encore des proches qui ne savaient pas comment prendre la relève de services protégés par des mots de passe connus uniquement par une personne injoignable, accidentée ou décédée. Ou qui ignoraient tout des biens numériques d’une personne et comment en disposer.

SI LOGICIEL DE GESTION DE MOTS DE PASSE

Peut-être, comme nous l'avons vu hier, vous avez opté pour un logiciel ou service de gestion de mots de passe. Dans ce cas, vous pouvez vérifier comment ce dispositif vous permet d’effectuer une telle transmission sécuritaire de mots de passe en cas de besoin.

Si ce dispositif ne permet pas de transmettre également des instructions aux personnes concernées, vous pourrez adapter la méthode que je décris plus bas.

SI AUTOGESTION DE MOTS DE PASSE

Ou peut-être vous avez opté pour l’autogestion de vos mots de passe, avec ou sans la méthode de mémorisation facile que nous avons également vue hier. Dans ce cas, il vous faut aussi une méthode de transmission sécuritaire en cas de besoins.

La méthode que je présente ici est autogérée. Elle ne permet pas seulement de conserver et transmettre vos mots de passe. Elle permet de tenir aussi un inventaire permanent de tous les emplacements où se trouvent :

● vos actifs numériques (livres, musiques, etc.) ;

● vos éléments composant notre identité numérique (comptes de média sociaux, mots de passe, etc.) ;

● vos comptes électroniques commerciaux, administratifs, financiers et autres ;

● vos propriétés intellectuelles (blogues, photos, œuvres diverses, etc.).

INVENTAIRE TYPE DE BIENS ET IDENTITÉS NUMÉRIQUES

Tableau servant à faire inventaires des biens numériques et mots de passe (document PDF)

 

L’inventaire type et aide mémoire qu’on retrouve dans ce document PDF est une solution autogérée afin d’aider nos mandataires en cas de décès, inaptitude, panne majeure ou impossibilité de vous joindre. Cette solution est élaborée en détail dans deux textes : « Autogérer son identité numérique, ses actifs numériques et ses biens intellectuels en cas de décès ou d’inaptitude » et « Actifs et identités numériques en cas de décès ou d’inaptitude – Première récapitulation » (liste complète des textes sur ce sujet ici).

Cette solution autogérée comporte trois « étages » :

1- L’étage supérieur se retrouve dans vos testament, mandat en cas d’inaptitude ou plan de relève d’affaires. Ce sont des instructions générales de vos volontés relatives à la gestion de vos comptes, sites, biens et identités numériques, par qui (vos mandataires) et pour quels objectifs généraux. Vous les rédigez de manière à ce qu’elles nécessitent le moins de changements possible à travers le temps. Si vous ne rédigez pas de document officiel, au minimum informez clairement vos proches et vos collègues de vos volontés et de l’existence des documents qui suivent.

2- L’étage intermédiaire est un court document scellé qui est conservé en un endroit sûr (ex.: le coffre-fort de votre notaire, avocat ou comptable). Ce document indique l’endroit exact où se trouve votre inventaire ainsi que les moyens d’y accéder (par exemple : clé ou combinaison de serrure ; ou encore, codes d’accès et de déchiffrement). Ce document peut être modifié ou remplacé au besoin sans devoir changer les documents officiels de l’étage supérieur.

3- L’étage inférieur est un document de travail et aide mémoire gardé par vous-même: un inventaire des emplacements de vos documents et comptes numériques accompagnés d’informations et instructions spécifiques pour chacun. Vous le conservez de manière à ce qu’il soit à la fois en sécurité (emplacements secrets, nom de fichier banal, serrure ou mots de passe et clés de chiffrement) et facilement accessible par vous. Une copie de sauvegarde en un lieu distinct évitera bien des tracas en cas d’inaccessibilité accidentelle, perte ou vol de votre copie de travail.

À chaque étage, vous pouvez produire autant de documents distincts que nécessaire. Par exemple, des informations et instructions différentes pour différents collègues de travail ou proches qui agiront comme vos mandataires en cas de panne majeure, inaptitude ou décès.

ATTENTION !

Si l’existence d’un tel inventaire est nécessaire, il n’en représente pas moins un talon d’Achille de la sécurité de tous les comptes, sites, biens et identités que vous y avez inscrits. On n’insistera jamais trop sur sa sécurité. Surtout, si vous le gérez avec un appareil numérique. Ce dernier doit aussi être sécurisé et protégé contre les logiciels malfaisants et les accès non autorisés. Je vous suggère même de le débrancher temporairement de tout réseau chaque fois que vous ouvrez l’inventaire.

MÉTHODE DE RECHANGE

Si vous n’avez pas la discipline de tenir sécuritairement un tel inventaire, il existe une solution minimale. La plupart des ouvertures de comptes exigent un échange de courriels. Mettez systématiquement ces courriels dans un même dossier (protégé par mot de passe ou clé de chiffrement) en y ajoutant vos instructions. Ne vous reste plus qu’à y créer des courriels pour les actifs numériques autrement acquis. Ne jamais y inscrire les mots de passe. Car ces courriels sont trop aisément repérables. Vaut mieux garder les mots de passe (ou la recette pour produire tous les mots de passe) dans un document distinct protégé comme si c’était l’inventaire du point 3 ci-haut.