Il y a quelques temps, j’ai reçu un mail de DigitalOcean m’indiquant que ma carte de crédit était arrivée à expiration. On était en mai; ma carte était arrivée à expiration en février; je le savais et je ne m’en inquiétais pas, puisque je n’avais pas besoin de leurs services dans l’immédiat.
En fouillant un peu parmi les informations de mon compte, je remarque malgré tout qu’il y a un truc louche sur ma dernière facture. En fait, je leur devais 176$ pour avoir réserver plusieurs (gros) serveurs. Serveurs que je n’avais jamais commandé, puisque je me suis toujours limité au strict minimum pour faire tourner deux-trois services, sans plus.
En plus de la sécurité de vos serveurs, il y a donc une donnée supplémentaire à prendre en considération: la sécurité de vos comptes utilisateurs.
Le problème ici était simplement que le mot de passe que j’avais utilisé avait déjà été associé à un autre compte, sur une plateforme qui s’était vue piratée (DropBox?). La politique de DigitalOcean est assez claire (quand on prend le temps de lire les caractères du contrat): vous pouvez approvisionner votre compte avec l’un des moyens de paiement acceptés, et si ce moyen de paiement est refusé, vous pouvez malgré tout continuer à utiliser leurs services. Le reste devra leur être remboursé à la fin du mois.
J’ai juste eu super chaud: si mon compte n’avait pas été piraté à la fin du mois, les dégâts financiers auraient pu être beaucoup plus importants. Les 176$ s’étalaient sur une période de trois jours maximum. Je me suis arrangé avec eux et ils ont passé l’éponge, en plus de me donner quelques conseils.
Donc:
- N’utilisez pas le même mot de passe sur deux plateformes différentes. Si la première se fait pirater, les vils plaisantains pourront essayer les données qu’ils auront grapiller sur tous les canaux connus. Et il suffit d’avoir la même association (identifiant + mot de passe) pour être franchement dans la mouise.
- Quand c’est possible, activez le 2-forms authentication: en plus de connaître vos identifiants, ce mécanisme suppose également que vous avez un accès physique sur un périphérique que vous avez identifié comme étant le vôtre.
- https://haveibeenpwned.com/
- [https://haveibeenpwned.com/Passwords](Pour vérifier la validité de vos mots de passe)
Pour le premier point, l’idéal est de passer par une application tierce (et pas un service tiers comme LastPass ou OnePassword: cela reviendrait à leur filer vos données, et on reviendrait dans le même cas de figure: vous ne savez pas ce qui peut arriver à ce service - s’il est racheté ou inaccessible, vous serez bien em…nuyée :-)).
KeepassXC #
Il existe plusieurs versions de Keepass:
- Keepass et Keepass2, écrits avec Mono et donc pas forcément optimisés pour un autre OS que Windows.
- KeepassX, une réécriture du premier pour être portable, mais dont le développement est à l’arrêt.
- KeepassXC, un fork de KeepassX pour permettre une intégration plus rapide de nouvelles fonctionnalités.
Préférez donc la troisième option.
En créant un nouveau fichier, vous pourrez y stocker toutes vos informations. La seule contrainte sera de retenir une phrase de passe initiale, qui débloquera l’accès à tous vos autres mots de passe.
Désavantages:
- Perdez l’accès à ce fichier, et vous ne pourrez plus accéder à rien du tout.
- Donnez accès à ce fichier, et quelqu’un pourra accéder à tous vos comptes.
Avantages:
- Tous vos accès seront stockés à un seul endroit; à vous à en gérer la disponibilité (éventuellement en stockant ce fichier sur un espace de type DropBox ou Nextcloud)
- Comme tous vos identifiants/mots de passe seront différents, il ne sera plus possible qu’un identifiant compromis ait un impact sur d’autres identifiants.
- Comme les mots de passe peuvent être générés aléatoirement (et stockés dans KeepassXC), vous pourrez allègrement dépasser les 12 ou 16 caractères, en prenant des chaînes complètement impossible à retenir. Au hasard:
vNâ»DËp¿uZ²{º2/¼ÎzvÝîã@gë©èçÍc
, en utilisant la palette ASCII étendue. Ce qui nous donne une entropie de 226.36 bits.
KeepassDX #
Pour Android, j’utilise KeepassDX, qui me permet de lire les bases de données Keepass. Pour être sûr de bien récupérer la dernière version, j’ouvre le fichier depuis l’explorateur de fichiers de l’application Nextcloud (sur F-Droid également), en cochant la case “garder synchroniser”.
Et pour iOS? #
Je n’ai pas encore regardé ;-)