22 décembre 2014

Les abrutis de la sécurité informatique forte en entreprise

Pour le boulot, ma boite est partenaire avec une société pour gérer une partie des traitements dans un contexte ultrasécurisé. Je suis abonné à leur extranet pour récupérer de la documentation. L'extranet n'a pas spécialement besoin d'être sécurisé mais la taule en question se veut exemplaire pour montrer son sérieux.

A noter que je suis abonné mais je n'ai pas besoin de l'être. Je le maintiens au cas où on aurait besoin en urgence d'une information et qu'un de mes collègues soit absent. Ceci explique que je ne sois pas allé sur le site en question depuis plus de six mois.

Mercredi, je reçois un mail me disant d'aller sur le site en question pour changer mon mot de passe. Je me connecte, le machin me dit que je n'ai pas les bons certificats ce qui s'explique par le fait que j'ai changé de PC depuis la dernière fois. Je recharge les certificats sans la moindre difficulté mais, au moment de changer de mot de passe, je me trouve avec une page qui ne se charge pas, comme si c'était du Flash. Nous n'avons pas les droits administrateurs de nos postes donc ne pouvons télécharger de machin pour utiliser Flash. Je change de navigateur. Impossible de modifier les paramètres pour me connecter à internet via le proxy. J'en teste un autre, impossible de charger les certificats.

J'allais dire adieux à mes accès à ce site inutile quand j'ai eu un coup de génie. Je me suis envoyé le mail sur ma boite personnelle. Grâce à Inbox, j'ai dit : rappelle-moi demain soir.

Le lendemain soir, j'étais en vacances chez ma mère, j'ai cliqué. En trente secondes, j'avais chargé les certificats et changé le mot de passe.

Les ânes ! Je me demande bien à quoi servent toutes leurs protections informatiques et les couches de certificats...

Aparté technique ou la sécurité pour les nuls diablement vulgarisée :

Les « certificats » qu'ils m'envoient sont des trucs qui permettront à mon PC ou aux bouts de codes qu'ils y chargent d'authentifier le serveur auquel il se connecte. Par exemple, pour vérifier le mot de passe, il va m'envoyer une clé de chiffrement. Avec cette clé de chiffrement, mon PC va chiffrer mon mot de passe pour l'envoyer au serveur en question. Il pourra la déchiffrer avec sa clé de déchiffrement. Et hop ! Si je puis me permettre.

Le certificat chargé sur le poste permet à mon PC de vérifier, par un autre mécanisme cryptographique, que la clé de chiffrement est bien « certifiée » émise par le serveur en question. Ainsi, si la ligne internet est piratée et que mon PC se connecte à un faux serveur qui voudrait récupérer mon mot de passe (par exemple), cela ne fonctionnerait pas vu qu'il n'arriverait à authentifier la clé fournie par le faux serveur.

Ceci est complètement con. La preuve : avec le PC de ma mère, j'ai réussi à charger les certificats. Or, personne ne peut me confirmer que c'est le bon serveur qui a fourni les certificats.

Ainsi, les certificats fournis par le serveur en question ne servent pas à grand chose, en fait, ils feraient mieux d'utiliser ceux de SSL ou HTTPS sans se poser de question...

De toute manière, aucune sécurité forte ne peux être mise en œuvre sans authentification du client ce qui nécessite qu'on lui refile des certificats autrement que par la ligne internet (par un token, une carte à puce, voire à la main ce qui est encore le plus simple...).

2 commentaires:

  1. joliment vu, j'ai eu le problème chez un client il y a peu. et on fait exactement la même solution. il l'a fait de chez lui.
    le titre est parfait

    RépondreSupprimer

La modération des commentaires s'active automatiquement deux jours après la publication des billets (pour me permettre de tout suivre). N'hésitez pas à commenter pour autant !