Avant de commencer une série d’articles sur la gestion et le contrôle des accès, il me semble bon d’aborder la question des codes d’accès.
Les codes se composent de deux éléments qui deviennent vite indissociables : l’identifiant et l’authentifiant.
« Avant », avant l’âge de l’informatique et des réseaux, on reconnaissant une personne à son visage, à son allure et à sa voix, – l’authentifiant – et on lui associait un nom – l’identifiant – : celui que ses parents lui avaient donné.
Pour l’état civil, l’identifiant est l’ensemble formé par votre nom de famille, vos prénoms, vos lieu et date de naissance. Votre authentifiant est votre photo d’identité et votre signature.
Dans le monde numérique, où ne s’échangent que des 1 et des 0, c’est un peu plus compliqué. Si l’on ne fait pas attention, il est possible de se tromper, de vous pendre pour quelqu’un d’autre… ou d’usurper votre identité et se faire passer pour vous.
Le groupe identifiant-authentifiant est la clé ou le code d’accès.
L’identifiant
D’une manière générale, sur les moyens informatiques, votre identifiant est votre nom ou un groupe formé de votre nom et de votre premier prénom. Si, dans le groupe, quelqu’un porte les mêmes nom et prénom que vous, vous choisirez un autre prénom, une combinaison ou ajouterez un nombre. Cela vous est sûrement déjà arrivé sur Yahoo, Gmail et Outlook.
En entreprise, c’est cette combinaison qui est employée pour votre adresse email. Votre identifiant pour le système de contrôle des accès pourra être différent. On voit parfois l’utilisation d’un code composé d’un nombre précis de caractères de votre prénom et de votre nom comme : JULIE pour Jules Lienard.
Sur les réseaux sociaux, il serait bon de redoubler de prudence. Les usurpations d’identité sont assez faciles. Parce que vous échangez parfois des photos, l’association des deux peut vous causer problème. J’en connais beaucoup qui, sur Facebook, Instagram ou autre, utilisent un pseudonyme (exemple « Colibri Lie »). Seuls ceux qui vous connaissent savent qui se cache derrière l’identifiant crypté.
Bien sûr, sur les réseaux sociaux professionnels comme LinkedIn, l’usage de pseudonymes n’est pas recommandé.
L’authentifiant
C’est, par nature, le moyen de prouver que c’est bien vous qui vous cachez derrière l’identifiant.
On reconnait trois sortes d’authentifiants :
Quelque chose que l’on possède (type 1)
Une clé, un badge, une carte d’identité, un passeport, une carte de banque…
Sachez que vos smartphones deviennent également ce type d’authentifiant (plus exactement votre numéro de mobile et l’application de paiement ou de signature).
Quelque chose que l’on sait (type 2)
Un mot de passe, un code PIN (pour la carte de banque) ou le code de l’alarme qui protège votre maison.
J’ai déjà écrit sur les mots de passe (http://info-attitude.com/comment-choisir-n-bon-mot-de-passe/ ). Ils sont de plus en plus décriés parce qu’ils sont encore bien trop simples. « 1234567 » est encore très souvent employé, ou votre date de naissance ou votre plaque minéralogique qui est rapidement repérée.
Faites le test sur www.safeonweb.be, vous serez édifiés par le temps qu’il faut pour ‘casser’ votre mot de passe.
Il faut aller plus loin est penser à une phrase de passe. Elle est plus longue et vous aurez plus de facilités à intégrer des symboles. J’utilise des titres de romans que je code à ma manière.
Quelque chose que l’on est (type 3)
Contrairement à ce que l’on croit il y a toute une panoplie :
- votre photo (reconnaissance faciale)
- votre empreinte vocale, rétinienne ou digitale
- votre signature et sa dynamique
- votre ADN.
Combinaisons
Un bel exemple de combinaison est votre carte d’identité qui contient votre photo. Il ne faudra plus attendre longtemps pour vous voir délivrer un passeport avec votre empreinte digitale.
Plus ce que vous devez protéger a de la valeur, plus vous ajouterez des ‘couches’ d’authentifiants.
L’emploi
L’ensemble ‘identifiant + authentifiant’ est votre code d’accès. Il doit empêcher les autres de se faire passer pour vous. S’ils y parviennent, « tout ce qu’ils feront pourra être retenu contre vous » et il ne sera pas facile de vous faire dédouaner.
Donc…
- Ne laissez pas trainer vos authentifiants de type 1.
- Gardez votre authentifiant de type 2 secret, non devinable et indéchiffrable
- Séparez vos authentifiants afin d’éviter que leur association ne tourne en votre défaveur
- Suivez les directives que votre employeur vous données… et appliquez-les à la maison !.
- Choisissez un code d’accès solide et pratique à utiliser.
- N’utilisez pas le même code d’accès pour tous vos systèmes et comptes : pas de passe-partout !
- Efforcez-vous de ne pas rendre votre identification trop facile.
- Vous changez de vêtements régulièrement… faites de même avec vos authentifiants.
En suivant attentivement ces quelques règles, vous serez à l’abri des attaques fortuites et modérément ciblées. C’est déjà ça.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+