[Geek] Sécurité des moyens informatiques professionnels : quel bordel !

 

Je gueule souvent contre les mesures de sécurité autour des moyens informatiques notamment autour de la gestion des mots de passe pour accéder aux différentes applications. Ils sont nécessairement complexes (assez longs, des chiffres, des lettres, des caractères spéciaux), ils doivent être différents entre les applications, être changés périodiquement… Le résultat est bien évidemment qu’on est souvent obligés de les noter et d’avoir une « base commune » (j’ai vu celui d’un de mes collègues, avant-hier : c’est son prénom !). Comme il faut les changer, on les complète avec un nombre qu’on incrémente à chaque fois qu’on nous le demande… Si on les note, c’est généralement dans un fichier vaguement caché sur nos ordinateurs parce que, avec le télétravail, on ne peut tout de même pas le faire sur des papiers. En cas de vol des ordinateurs, le voleur aurait trop de facilité à y accéder (pour ma part, je m’assure que le mot de passe pour ouvrir une session sur mon poste n’est noté nulle part, que ce fichier n’est pas dans mon iPhone et ne circule dans aucun moyen informatique qui n’est propre à l’entreprise).

Notons, en préambule, que si je ronchonne, ça ne m’empêche pas de comprendre les enjeux et d’être prudent. Tout en faisant profil bas. C’est tout de même un type qui s’est fait voler son ordinateur professionnel dans un bistro il y a quelques semaines qui écrit ce billet de blog !

Notons à ce sujet que le problème n’est pas tant de se faire voler son ordinateur portable (au fond, tout le monde peut être cambriolé chez lui ou agressé dans la rue) mais de le trimbaler au bistro (ou dans tout autre endroit où il n’a pas de raison d’être). J’aurais dû rentrer chez moi, le ranger avant d’aller au bistro. Mais ce dernier est sur ma route et, de toute manière, on ne va pas empêcher les salariés d’allers à des afterwork, de faire leurs courses en rentrant chez eux et j’en passe.

 

Pour faire face à ces difficultés liées à la multiplicité des mots de passe, il existe différentes solutions sur lesquelles je ne vais pas m’attarder comme la mémorisation des mots de passe par les navigateurs, ou des applications comme KeePass. Elles ont leurs avantages et, malheureusement, leurs défauts (si mes collègues utilisent souvent KeePass, par exemple, j’ai une certaine réticence à l’utilisation de certains logiciels – c’est pas mon truc même si je manipule très bien certains outils – surtout quand ils touchent à la sécurité et ne sont pas fournis par l’entreprise).

Le mieux est « la fédération d’identité » (SSO…) : une fois que tu es connecté à ton poste de travail, tu peux avoir accès à toutes les applications pour lesquelles tu es habilité (malheureusement, cela ne peut fonctionner qu’avec celles parfaitement intégrées au SI de l’entreprise). Cela résout la plupart des cas mais il reste en reste tout de même un certain nombre. Il y a aussi la solution d’avoir une « double authentification » avec un smartphone où l’on t’envoie un code que tu dois saisir pour te connecter, ou, mieux, une application comme Microsoft Authenticator sur ton smartphone où le SI de ton employeur peut contacter pour que tu puisses y saisir un code. 

 

Dans ma boite, j’ai depuis peu, un nouvel ordinateur professionnel qui a un système simple pour démarrer et donc te donner les accès à toutes mes applications. Il y a la reconnaissance faciale, avec la caméra du portable, et la vérification par Bluetooth de la proximité de ton smartphone personnel. Il y a ainsi des journées entières où je n’ai aucun code à saisir…

Sauf que la reconnaissance faciale ne fonctionne pas quand je reçois le soleil par le côté. Or, mes trois principaux lieux de travail (le bureau, mes résidences en Bretagne et à Paris) ont la même orientation. Si on n’arrive pas à s’en sortir en changeant de position, en faisant de l’ombre ou autre, il faut saisir un code PIN (ce qui est déjà plus simple qu’un mot de passe).

 

Par ailleurs, jeudi, j’ai installé ma messagerie professionnelle (et mon Teams) dans mon iPhone (je l’avais déjà il y a quelques temps mais cela ne fonctionnait plus depuis, en gros, la disponibilité de mon nouveau PC – les deux événements n’étant pas totalement liés). C’est bien pratique d’autant que c’est la reconnaissance faciale de l’iPhone qui permet d’y accéder (alors que, avant, il fallait que je saisisse un autre code PIN).

Ce qui est pratique, surtout, c’est de pouvoir consulter ses mails pendant la sieste sans être obligé de déplacer le portable.

 

Parmi les éléments de sécurisation, il me faut en citer un autre : le VPN, ce fameux machin qui nous permet de nous connecter aux serveurs de l’entreprise quand on est en télétravail (c’est-à-dire qu’on n’est pas connecté directement sur le réseau de la boite).

Parfois, suite à un problème technique, il se désactive. Il faut alors que le relancer « à la main » ce qui nécessite de temps en temps une authentification supplémentaire. Il affiche un code à l’écran et envoie une notification à Authenticator sur le smartphone pour que tu puisses saisir un code affiché à l’écran.

Tout cela (à part les problèmes techniques dont je parlais) est extrêmement satisfaisant, améliore la sécurité des systèmes et fini par simplifier la vie des utilisateurs (si j’ai du mal avec KeePass, je vous assure que tout le reste m’est entré facilement dans le crâne, contrairement à beaucoup de mes collègues qui se mélangent allègrement les pinceaux).

 

Sauf que, je ne travaille pas qu’avec les applications de l’entreprise et là, ça se complique. Un peu seulement. Et tout n’est pas simple : pour « enrôler » son smartphone et la messagerie, ça prend 45 minutes et il vaut mieux avoir fait un doctorat en informatique, d’autant que le mode d’emploi n’est pas toujours très fiable. Je vous assure que, pour le mien, il a fallu qu’on se mette à deux pour suivre la procédure. Mon collègue, très bon, connait bien ces bazars et j’ai un certain bon sens…

 

Et il y a les bugs. Hier matin, j’ai perdu le VPN. Je travaillais normalement puis, subitement, je n’arrivais plus à échanger des informations, je ne recevais plus mes mails… Je donne un brin d’explications techniques : en enrôlant mon iPhone pour la messagerie, avec Authenticator, j’ai perdu l’enrôlement du VPN. Je ne sais pas pourquoi.

Toujours est-il qu’après avoir tenté les manipulations habituelles : reconnexion du Wifi, redémarrage de l’ordinateur, appel de quelques collègues pour avoir leur avis, j’ai commencé à me poser des questions. Sans compter que la réparation ne pourrait pas venir toute seule (ce n’est pas un incident habituel) et que, pour travailler, il allait falloir que je retourne au bureau (une heure de route), sans compte que ça remettait en cause ma possibilité de faire mon prochain séjour en Bretagne.

Je me suis résigné à appeler le service ad hoc de l’entreprise. L’opératrice m’a alors fait faire quelques manipulations, relevé des identifiants (celui du PC, l’adresse IP…). Elle a fini par me retrouver dans son système.

« Ah mais Monsieur Jégou, vous n’avez jamais été autorisé par le système à vous connecter. »

« Mais si ! J’y étais encore ce matin, moins d’une heure avant de vous avoir contacter. »

« Ce n’est pas possible. »

Heu…

« Bon, que dois-je faire ? »

« Il faut que vous contactiez votre manager pour qu’il fasse la demande officiellement. »

« OK, je vous remercie madame, bonne journée ».

 

J’ai appelé mon manager qui n’avait jamais entendu parler de cette démarche mais il m’a assuré qu’il allait s’en occuper.

C’est alors que j’ai été contacté par un collègue qui avait eu une idée. Il me fait faire quelques manipulations qui n’aboutissent pas puis, il me dit, de recommencer la connexion. A un moment, la machine me demande de choisir mon compte entre « nicolas.jegou@entreprise.fr » et « autre compte ». Il me dit de choisir « autre compte » et de saisir, alors « nicolas.jegou@entreprise.fr ». C’est pareil, je lui fais remarquer. Il me dit « oui mais fais le ».

Moins de dix secondes après, j’étais connecté.