Tutoriels >> La sécurité Informatique La sécurité Informatique >> Sécuriser vos données informatiques Sécuriser vos données informatiques >> La protection des données personnelles La protection des données personnelles

La protection des données personnelles






Chapitre 1: Introduction



Pour entrer dans une habitation, il faut disposer de la bonne clé. De la même manière, il faut disposer de « clés d'autorisation » (par exemple sous forme de mots de passe) pour garantir la sécurité informatique. La puissance des ordinateurs a tellement évolué au cours du temps que les clés de protection du système informatique doivent être de plus en plus difficiles à contre-typer. Cette augmentation de puissance des ordinateurs a évolué exponentiellement ces dernières décennies. Par conséquent, celui qui veut profiter des données confidentielles dispose d'outils de plus en plus performants pour entrer par infraction dans les circuits informatiques. Les concepteurs du monde informatique sont obligés à concevoir des « clés » (mots de passe ou autres systèmes de protection) de plus en plus complexes. Dans cette étude, on désignera dorénavant le mot de passe par l'abréviation mdp.
Le travail de conception de traitement de toute donnée informatique doit tenir compte des protections nécessaires à une utilisation correcte et saine pour l'ordinateur. À ce sujet, les développeurs informatiques1 sont en première ligne pour rassurer les utilisateurs.
Depuis quelques années, je suis propriétaire d'un site de vulgarisation de l'informatique. J'ai bien entendu été confronté à divers problèmes informatiques. Parmi les cas rencontrés, je peux citer les tentatives de :

  • rentrer frauduleusement sur le site ;
  • récupérer les mots de passe ;
  • bloquer le site ;
  • prendre possession du site ;
  • introduire un virus ;


Confronté à ces risques, j'ai vérifié le besoin d'avoir des protections suffisantes. J'ai également constaté la nécessité de faire évoluer les sécurités en tenant compte des progrès des pirates du web. Désirant effectuer certains paiements en ligne, j'ai dû convaincre mes parents pour réaliser les transactions à l'aide de leur carte bancaire. Étant donné leur frilosité vis-à-vis de ce mode de paiement, ce n'était pas gagné d'avance... J'ai dû leur prouver que les transactions s'effectuaient en toute sécurité.
Moi qui suis féru d'informatique, j'ai constaté que les systèmes de protections ont évolué de manière performante par rapport au piratage. Cet aspect-là m'a particulièrement intéressé. À travers ce travail, je souhaite communiquer en partie ma passion pour ce sujet.

En ce qui concerne ce travail, je vais d'abord présenter le principe du piratage. Ensuite, j'insisterai sur l'importance du choix des mots de passe. En particulier, il faut les adapter à la puissance des ordinateurs dont peuvent bénéficier les pirates. Il en résulte des règles à respecter pour choisir efficacement le mot de passe.
Ensuite, une partie très importante du travail concerne les protections supplémentaires qui agissent en synergie avec les mots de passe.

Chapitre 2: Généralité du piratage



Définition



D'après infoclick, l'« action de pirater » consiste à : « s'introduire dans un système informatique, prendre connaissance, modifier ou détruire des données, tout cela sans autorisation explicite des propriétaires légitimes ».

Conséquences



Il faut bien être conscient que les conséquences d'un piratage peuvent être extrêmement préjudiciables.
Ainsi, le pirate (parfois appelé par abus de langage « hacker ») peut :
  • introduire un virus et endommager le système informatique ;
  • avoir accès à des données confidentielles ;
  • modifier et falsifier des données stratégiques ;
  • faire perdre la compétitivité par rapport à la concurrence ;
  • reprendre frauduleusement le contrôle du matériel informatique ;
  • attaquer et piller les comptes bancaires ;


D'après Wikipedia, le hacker :
« Ce terme a cependant de multiples significations, et n'est pas forcément mauvais ». il s'agit d' « une personne maîtrisant les mécanismes de sécurité informatique. Il est chargé à la base de trouver et corriger les failles de réseaux en essayant de s'y introduire par effraction, mais peut aussi utiliser ses connaissances à des fins malveillantes pour exploiter les failles dans un but personnel et sans vouloir les corriger... »


Il est évident que face à ces menaces, il est de la plus haute importance de disposer de multiples protections. On pourra ainsi se protéger efficacement face aux risques de prises de contrôle de quelque manière qui soit par un acte de piratage.
Dans ce travail, on insistera sur les failles potentielles dont un « hacker » mal intentionné pourrait profiter. On comprendra mieux comment assurer la sécurité informatique.

Importance du mot de passe face au piratage



On verra plus loin que la puissance des ordinateurs a fortement évolué ces dernières années. C'est pour cette raison que les différentes clés d'accès (mdp) sont devenues de plus en plus complexes.

Attaque par force brute



Le mdp est le premier niveau de la sécurité. En effet, il permet de sécuriser les informations confidentielles afin que des individus non autorisés n'y pénètrent pas. Un bon mdp est donc essentiel. Tenant compte de la puissance des ordinateurs, il est impératif de choisir un mdp offrant une protection adéquate. Il doit pouvoir résister à une attaque par force brute. le programme force brute est conçu par un pirate (ou « hacker ») qui vise à tester toutes les combinaisons imaginables jusqu'à ce que le bon mdp soit trouvé. Ce programme est d'autant plus performant que la vitesse de calcul de l'ordinateur est élevée.

Evolution de la puissance des ordinateurs



Evolution de la puissance des processeurs dans les ordinateurs de 1975 à aujourd'hui

Le graphique montre que la puissance des ordinateurs a évolué de manière exponentielle depuis plus de 30 ans. En première approximation, on constate que la vitesse de calcul augmente d'un facteur 10 tous les 10 ans, ce qui est exceptionnel sur une échelle de temps de 35 ans. Il est important de souligner que le nombre d'opérations effectuées par unité de temps est actuellement 10 000 fois plus élevé qu'en 1975. Il est évident que les systèmes de piratage (par exemple lors d'une attaque par force brute) profitent aussi de cette (r)évolution. Pour qu'ils soient efficaces, les systèmes de protections doivent bien entendu en tenir compte !

Nombre de possibilités par caractère



En informatique, un caractère est codé par une série de 8 bits (représenté chaque fois par 0 ou 1). Le mdp est défini par un nombre de caractères. Voici ci-après (tableau 1) quelques exemples de codes binaires associés aux caractères.

Codage des caractères ASCII

Chaque caractère du mdp représente donc 28 possibilités. On peut donc facilement calculer toutes les possibilités des mdp en fonction du nombre de caractères de celui-ci :
  • pour introduire un mot de passe, il y a en théorie 2^8 (= 256) possibilités par caractère ;
  • cependant, des vérifications auprès des sites aussi populaires que Yahoo, Google et Paypal ont montré que le codage des caractères n'était accepté que sur 7 bits :
    - dans ce cas, c'est la table 2^7 (= 128) qui s'applique ; en effet, les caractères spéciaux dont le premier bit du code binaire commence par 1 n'est pas accepté pour les mots de passe ;
    - en outre, il y a environ 30 caractères qui sont réservés pour d'autres utilisations (ESCAPE, CTRL, ALT, LEFT…).


En pratique, il ne reste donc qu'environ 100 caractères disponibles pour encoder un mdp sur les 3 sites web cités.

Encodage d'un mot de passe et nombre de possiblités

En tenant compte de ce qui précède, chaque caractère supplémentaire d'un mdp multiplie donc les possibilités par 100 (au lieu de 256) par rapport au mdp précédent. Dans le tableau, les possibilités associées au nombre de caractères dépend donc de la table de 100^n. On doit donc souligner que 2 caractères supplémentaires augmentent de 10 000 le nombre de possibilités du mdp.

Importance du nombre de caractères



Il faut avoir un nombre de caractères qui décourage les tentatives de piratage. Ce nombre doit évidemment tenir compte de la puissance actuelle des ordinateurs. Puisque chaque ordinateur a maintenant une vitesse d'exécution approximativement 10 000 fois plus élevée qu'il y a 35 ans, on en déduit que les mdp doivent avoir au minimum 2 caractères supplémentaires par rapport à 1975 pour avoir une efficacité comparable. Cependant, on ne tient pas compte de la forte « démocratisation des ordinateurs ». La plupart des ménages disposent actuellement d'un ordinateur performant. Cette évolution bénéficie également aux pirates puisque :
la puissance et la disponibilité des ordinateurs ont très fortement augmenté ;
simultanément, les prix ont fortement baissé.
Ceci explique qu'il faut choisir un mdp avec un nombre de caractères significativement plus important. Dans la pratique, il vaut mieux avoir 2 (et même par sécurité 3) caractères supplémentaires par rapport à 1975 (cf. point suivant).

Bien choisir son mot de passe



Dans les programmes de recherches de mdp, les pirates peuvent associer un force brute avec un dictionnaire. Si le propriétaire du mdp a choisi des mots logiques ou simples, ce programme peut beaucoup plus rapidement trouver le code.
Pour créer un bon mdp, il faut préférablement :
  • introduire au moins 1 caractère en majuscule (de préférence au milieu du mot) et 1 caractère en minuscule répartis aléatoirement ;
  • insérer au moins 1 chiffre placé aléatoirement ;
  • répartir de manière aléatoire des caractères spéciaux (non alphanumériques) ;
  • changer régulièrement le mdp (par exemple tous les 90 jours) ;
  • générer un mdp différent par application (ou par compte) ; en cas d'attaque réussie, les dégâts se limitent à l'application concernée ;
  • disposer d'au minimum 8 caractères ;
  • avoir un nombre de caractères au-delà de 8 lorsque les conséquences d'un piratage sont particulièrement préjudiciables ; pour des situations moins critiques, un bon mdp de 8 caractères est suffisant (Concernant les banques, la fonction publique, les services secrets, les sociétés à forte technologie, … on se doute que le mdp comprend au minimum 10 caractères).



Chapitre 3: Protection supplémentaire associée aux mots de passe : le captcha



Définition



Un captcha est une image générée aléatoirement contenant des caractères alphanumériques déformés et stylisés. Les caractères sont associés avec des variations de dégradés de couleurs. Ceci rend particulièrement difficile la reconnaissance automatisée des caractères.
La protection des données personnelles
Auteur Grégory Bastin
Date de création 03/09/2011 à 14h35
Dernière date d'édition 24/05/2014 à 22h39
Avancement 100 %
Nombre de fois consultés 47039
Commentaires Ajouter un commentaire
Affichage complet du tutorial
Connecté(s) 1 connectés (0 membres, 1 invités)