HS07 – Sauvegardes et mots de passe
J’en ai déjà parlé dans quelques unes de mes fiches telle que celle portant sur l’hygiène numérique mais je pense que dédier un article complet sur ces concepts et les outils qui existent n’est pas de trop.
Commençons par la sauvegarde.
Nous avons tous autour de nous le souvenir de quelqu’un, disons Bob, qui a passé 2 mois à travailler sur son mémoire, son rapport de stage, ou sa thèse, qui a sauvegardé son précieux document Word sur sa clé USB préférée et qui 15 jours avant la date fatidique de devoir le rendre n’y a plus accès. Soit la clé est perdue, soit le chien a croqué dedans, soit on a renversé un liquide dessus, soit elle est tout simplement tombé en panne parce que l’on ne prend pas la peine de cliquer sur « Déconnecter ce périphérique » à côté de l’heure avant de la débrancher. « J’ai pas le temps ! »
Pourquoi est-ce important de cliquer sur « Déconnecter ce périphérique » d’ailleurs ? Tout simplement parce qu’une clé USB basique est alimentée par le port USB. Quand vous « l’arrachez », vous pouvez comparer cela à débrancher la prise de votre PC fixe quand il est en cours d’utilisation, ou débrancher votre lampe de chevet sans l’éteindre au préalable. C’est « violent », et il y a un risque que l’un des composants électronique n’aime pas la variation soudaine de courant et « claque », tout simplement, comme l’ampoule de votre lampe.
Sauf à ce que ce soit un disque externe pourvu d’une alimentation propre sur secteur il est donc recommandé de faire cette manipulation avant de débrancher une clé USB. De cette façon le PC demande à la clé de s’éteindre normalement et vous prévient lorsque c’est fait pour que vous puissiez la débrancher sans risque.
Alors qu’aurait du faire Bob ? La réponse est simple : dupliquer. Les logiciels vous permettent d’enregistrer votre travail (Enregistrer sous) mais pas de sauvegarder.
Sauvegarder, c’est dupliquer !
Je vous présente ma solution de sauvegarde, certes un peu extrême, mais qui illustre bien mon propos.
- Je dispose d’un NAS, un disque dur sur le réseau informatique de ma maison quoi, avec 5 disques dur. Ce type de système s’appelle un cloud privé puisqu’il est chez moi. Et non, Google et consort n’ont pas le monopole du cloud. Mes données sont sauvegardées sur les 4 premiers et le système tolère la panne de l’un d’entre eux. Ca s’appelle le RAID 5. C’est à dire qu’il est capable de reconstruire un des quatre disques s’il tombe en panne et que je le remplace. Le 5ème disque lui est là « au cas où » pour remplacer à la volée un des disques s’il tombait en panne justement. Ca s’appelle le « secours à chaud ». Il est donc tolérant à la panne de deux disques. Et j’ai deux disques de côté.
- Sur ce NAS est branché un disque dur externe basique sur lequel je sauvegarde quotidiennement et automatiquement le contenu du NAS. Comme ça si jamais c’est le NAS en lui même qui rendait l’âme j’aurai une sauvegarde de celui-ci.
- Les deux sont branchés sur un onduleur. Un onduleur est une batterie doublée d’un parafoudre. Il assure un voltage et un ampérage constants, supprime donc les fluctuation, même légères, du réseau EDF et prend le relai de celui ci en cas de coupure de courant pour que les équipements fonctionnent en conditions optimales. Si la batterie du NAS est à moins de 10%, l’onduleur prévient le NAS et lui demande de s’arrêter normalement avant qu’il n’y ai plus de courant du tout.
- Une partie de mes données, le best-of dirons nous parce que le cloud ça coute cher, est quant à lui sauvegardé toujours quotidiennement et automatiquement de manière chiffrée dans un cloud public, sur Internet, pour palier aux cambriolages et incendies. L’autre solution consisterait à faire des sauvegardes croisées avec un ami qui aurait la même configuration chez lui mais je le cherche encore et la fibre est indispensable.
- Mon téléphone portable quant à lui se synchronise avec le NAS quotidiennement pour sauvegarder les photos / contacts / calendrier etc. Le moins j’en ai sur les clouds publics, le mieux je me porte. Pas de synchro Google ou Apple chez moi.
- Enfin je suis alerté par mail en cas d’échec de l’une de ces sauvegardes.
Mes données sont donc en partie sur mes équipements (PC / téléphone), sur un NAS résistant, sur un disque dur externe, et encore sur un cloud public. Autant vous dire que je ne suis pas prêt de perdre les dernières photos de vacances ! Alors oui, c’est extrême je vous l’accorde volontiers, mais c’est le prix de la tranquillité après 20 ans dans l’infrastructure informatique de grandes entreprises.
Ce dont je souhaiterait que vous preniez conscience surtout c’est que ce n’est pas en faisant « enregistrer sous » que vous serez tranquilles. Avoir déjà vos documents ET sur votre PC, ET sur un disque externe et une bonne première étape. Imaginez que votre PC ne fonctionne plus ou que l’on vous le vole. Demandez-vous maintenant ce que vous perdriez et comment et avec quoi vous pourriez le restaurer. A vous de voir si vous voulez « jouer » 😉
Si vous souhaitez creuser le sujet, je vous invite à vous rendre sur le site de Synology Leurs produits sont vraiment excellents.
Passons maintenant aux mots de passe
Cette fois ça y est, Bob a compris la leçon, il aura fallu qu’il perde 3 mois de boulot mais c’est bon, tout est dupliqué chez lui, on ne l’y reprendra plus !
Oui mais voilà, Bob aime pas les mots de passe alors il utilise le même partout. Il l’a même noté sur un post-it à côté de son PC c’est plus pratique. Sa boîte mail, ses échanges de cryptomonnaies, Facebook, sa banque, son Ledger, son PC, son NAS etc. Que ce mot de passe soit compliqué n’y change rien, il n’en est pas plus protégé.
Pour l’exercice je vous invite à taper « presque » votre mot de passe préféré sur ce site et à regarder le temps qu’il faudrait à un pirate pour le craquer. Ne tapez pas le vrai, le site enregistre peut-être tous les mots de passe que l’on saisi. J’en doute, mais on ne sait jamais.
https://howsecureismypassword.net/
Si vous vous amusez un peu vous vous rendez vite compte que plus le mot de passe est long, plus le temps pour le craquer est long. Admettons maintenant que Bob a un mot de passe de 16 caractères, minuscules, majuscules, chiffres, caractères spéciaux, imprononçable, bref béton, mais toujours le même partout.
Que se passe-t-il si l’un des sites qu’il utilise est piraté, que ce site ni chiffre pas les mots de passes de ses clients dans sa base de données, et que cette base de données et revendue sur le dark web ? Je suis paranoïaque ? Et bien saisissez votre adresse mail sur ce site et regardez si votre mot de passe a déjà fuité quelque part. Un des miens oui.
https://haveibeenpwned.com/
Un pirate n’ayant que ça à faire va parcourir ces listes, faire du « social engineering », enquêter sur vous pour déterminer sur quels sites vous êtes susceptibles d’être inscrit en essayant évidemment les plus connus, et saisir votre mail et mot de passe partout. S’il rentre, il change votre mot de passe, et maintenant vous faîtes quoi ? Imaginez qu’il le fasse sur votre boîte mail Gmail, le site des impôts, sécurité sociale, banque etc ?
Je ne veux pas vous rendre paranos, par contre vous faire prendre conscience du danger qu’il y a à faire ça, oui, et plutôt deux fois qu’une. Alors c’est quoi la bonne pratique ? Avoir un mot de passe béton différent partout et la double authentification partout où cela est possible.
« Mais y’en a partout des mots de passe ! tout le temps ! j’en ai ras le bol de les taper, une fois sur deux je dois faire « mot de passe oublié », ça me rend chèvre ! »
Et bien là aussi, il y a des solutions, les gestionnaires de mots de passe. L’idée est simple, vous avez un mot de passe « maître » qui vous ouvre la porte à tous vos mots de passe. Voici quelques avantages du mien, LastPass. Il y en a d’autres mais je ne parle que de ce que je connais bien, que j’ai vraiment testé et des produits en lesquels je crois. Je ne pourrait jamais être un commercial 😅
- Il a une version gratuite. Ils disent que ça expire au bout de 30 jours mais il ne s’agit que des fonctionnalités payantes. Le reste demeure fonctionnel.
- Il se présente sous la forme d’une extension à mon navigateur. Lorsque j’arrive sur un site qu’il connaît, il remplit automatiquement les informations de connexion, j’ai juste à cliquer sur « se connecter ».
- Le « coffre » des mots de passe est synchronisé sur l’application LastPass de mon téléphone portable. Comme cela si je crée un nouveau mot de passe depuis mon PC, et bien mon téléphone aussi le connaît et remplit aussi automatiquement les informations de connexion.
- Lorsque je dois créer un mot de passe il m’en propose un de la complexité de mon choix, aléatoire.
- Je n’ai plus qu’un mot de passe « maître » à retenir
- Pour m’y connecter je dois saisir le mot de passe et le code de double authentification. Je peux autoriser un périphérique pendant 30 jours pour qu’il ne les réclame plus durant cette période.
- Un mail de confirmation est envoyé pour autoriser tout nouveau périphérique. Pourque quelqu’un y ai accès il doit avoir, votre mot de passe maître, votre authenticator, et accès à votre boîte mail.
- On peut y stocker des notes, du texte, des numéros de CB, des adresses pour remplir automatiquement des formulaires pour une livraison, des scans des documents importants, carte d’identité, passeport, permis de conduire etc.
- On peut attacher à ces notes des fichiers PDF, Word, des images, ce que l’on veut
- Il m’avertit si la base de données d’un de mes sites à été piratée
- Il mesure la sécurité de l’ensemble de mes mots de passe à ma demande et m’avertit si certains sont trop faibles. Il me donne un score.
- Il me propose automatiquement d’enregistrer mes informations de connexion lors d’une première authentification, ou de le mettre à jour si le mot de passe à change via un simple pop-up dans le navigateur
- Je peux classer mes mots de passe dans des dossiers séparés, administratif, jeux, cryptos, commerce etc.
- La version payante permet de partager un de ces dossiers avec un autre utilisateur de LastPass. Pratique pour les couples qui ont le même compte pour l’assurance, EDF, ou autre. Si l’un des deux met le mot de passe à jour, il est partagé avec l’autre en temps réel
- Il existe en français
- Il dispose de son application « Authenticator » pour la double authentification
- Son application authenticator peut être sauvegardée intégralement dans le « coffre principal ». Plus besoin de noter les codes à rallonge pour restaurer les comptes 2FA, ou alors les noter dans des notes sécurisées dans le coffre
- Je dors tranquille, tout est au même endroit, et il est en béton armé.
Voilà donc quelques pistes pour améliorer encore votre niveau de sécurité, vous simplifier la vie, et peut-être même vous éviter une dispute 😉. « Chéri ? elles sont où les photos du petit ?! »