Retour
Sylvain FABRE
Le 14 décembre 2016
Comment protéger votre association sur internet ?

Comment protéger votre association sur internet ?

La sécurité sur le web est un domaine très vaste dont nous pourrions parler des heures !

Nous abordons ici les dangers majeurs auxquels votre association est exposée et les réflexes faciles à adopter pour vous en prémunir.

Il serait dommage que cette année le Père Noël cède sa place à un petit malin détournant votre page Facebook, siphonnant votre base de membres ou partant en vacances aux frais de votre association !

A la fin de cet article, les plus curieux trouveront des éléments complémentaires sur les personnages Alice, Bob et Eve, les concepts de hachage, et enfin sur la cryptographie asymétrique.

Bonne lecture et n’hésitez pas à poser vos questions en commentaires.

Emails et hameçonnage

Mettons-nous dans la peau d’un pirate. Il serait intéressant de récupérer les identifiants au service de banque en ligne de votre association, à votre compte AssoConnect, à votre boîte email, …

Pour cela 2 méthodes : trouver une faille de sécurité sur le site de la banque mais ça n’est heureusement pas une mince affaire !

Ou plus simple, vous tromper pour que vous donniez vous-même vos identifiants : on parle de hameçonnage ou de phishing pour les anglophones.

Ainsi ce pirate vous envoie un email aux couleurs de votre banque, avec un message vous incitant à cliquer sur un lien.

Naturellement, vous saisissez vos identifiants sans vous méfier puisque ce site créé par le pirate ressemble au vrai site.

Puis un message indique une erreur de connexion en vous redirigeant sur le vrai site de la banque.

Vous n’y voyez que du feu et pensez avoir fait une faute de frappe sans vous inquiéter.

Mais c’est trop tard, le pirate connaît vos identifiants et vous n’êtes même pas au courant !

Bien souvent vous ne le découvrirez que le mois suivant lorsque votre carte bleue sera refusée à la caisse, le caddie rempli de fournitures pour votre association...

Il existe heureusement 2 techniques pour s’en protéger.

La 1ère technique est très simple : vérifiez toujours l’URL du site avant de saisir vos identifiants (l’URL est le texte à côté du petit cadenas vert sur l’image ci-dessous).

On peut voir sur l’image ci-dessus que :

  • nous sommes bien sur AssoConnect puisque l’url indique www.assoconnect.com
  • le cadenas vert indique une connexion sécurisée

Un pirate aurait pu vous emmener sur www.assoconnect.com par exemple, notez la lettre N en trop dans cet exemple. Il faut être vigilant !

La 2ème technique se rapproche du 3DSecure que nous avions abordé dans l’article "Paiement en ligne : comment sécuriser votre association et vos adhérents" : à chaque connexion un code est envoyé sur votre téléphone.

Ainsi même si un pirate vole votre mot de passe, il ne pourra se connecter à votre compte.

On parle de 2FA (2 factors authentication , identification à 2 facteurs) car la connexion nécessite 2 éléments :

  • quelque chose que vous connaissez : votre mot de passe
  • quelque chose que vous possédez : votre téléphone

Les sites connus comme Gmail, Facebook, Twitter, Dropbox proposent tous cette sécurité supplémentaire, et AssoConnect aussi !

Il existe également des applications pour smartphone ne nécessitant pas de recevoir de SMS, telles que Google Authenticator ou AuthyCes applications génèrent un code éphémère valable 30 secondes.

N’hésitez pas à l’utiliser pour ne pas avoir de mauvaise surprise, par exemple sur le mur Facebook de votre association !

Les mots de passe

Imaginons que malheureusement le pirate ait réussi à voler votre mot de passe sur AssoConnect.

Les techniques présentées précédemment sont efficaces mais protègent l’accès service par service.

Heureusement pour votre association, vous avez activé le 2FA sur votre compte AssoConnect donc le pirate ne peut y accéder.

Mais vous avez également réutilisé ce mot de passe pour votre boite mail où le 2FA n’est malheureusement pas activé : le pirate pourra alors s’y connecter facilement.

C’est pour cette raison qu’il est primordial d’utiliser des mots de passe uniques pour chaque site, une pratique respectée par seulement 39% des internautes.

Des outils comme Lastpass ou le français Dashlane permettent de générer un mot de passe aléatoire pour chaque service et le mémorisent pour vous.

Une autre solution plus artisanale consiste à ajouter un préfix au mot de passe : la 2ème lettre du service par exemple.

Votre mot de passe "SuperCastor" devient alors "sSuperCastor" pour AssoConnect et "aSuperCastor" pour Facebook.

Enfin, vous pouvez utiliser la technique des initiales pour créer un mot de passe robuste, long et facile à mémoriser.

Ainsi « Jvsàtutba2! » se mémorise facilement en pensant à « Je vous souhaite à tous une très bonne année 2018 ! ».

Une autre question que vous nous posez régulièrement concerne la sécurité des mots de passe chez AssoConnect.

Il n’y a pas lieu de s’inquiéter pour une raison très simple : nous ne les stockons pas !

Comment fonctionnons-nous ?

Nous stockons une empreinte (ou hash, cf explication plus technique dans « Pour aller plus loin ») du mot de passe calculée à partir d’un algorithme connu (actuellement bcrypt par défaut avec PHP) lors de la création du mot de passe.

Lorsqu’un de vos membres se connecte, nous calculons alors l’empreinte du mot de passe saisi et la comparons à celle stockée : si ça correspond alors le membre est connecté !

Ainsi il nous est impossible de lui renvoyer son mot de passe actuel.

Et si par malheur un pirate accède à notre base de données il ne pourra pas déduire son mot de passe !

Attention, tous les sites ne sont pas aussi prévoyants, raison supplémentaire pour ne pas réutiliser ses mots de passe.

Enfin, un pirate pourrait essayer toutes les combinaisons possibles de mot de passe : on parle d’attaque par force brute.

Chez AssoConnect, la connexion est bloquée pendant quelques dizaines de minutes après plusieurs tentatives infructueuses de connexion ce qui ne manquera pas d’occuper pendant longtemps un hacker puisqu’il existe plus de 56 800 235 584 combinaisons possibles (avec des lettres et les chiffres, et sans compter les caractères spéciaux, d’un mot de passe à 6 caractères, limite minimale chez nous).

Le saviez-vous ? Lors de la perte d’un mot de passe, si un site vous le renvoie par email au lieu de vous en faire configurer un nouveau, alors il faut s’inquiéter !

En effet, ceux-ci ne sont probablement pas stockés selon les règles de l’art …

HTTPS vs HTTP

Dernier sujet de cet article : le protocole HTTPS et les certificats SSL.

C’est le petit cadenas vert que l’on voyait sur la page de connexion dans la copie d’écran ci-dessous : cela signifie 2 choses :

  • les échanges entre votre ordinateur et le serveur sont cryptés. Même connecté sur un réseau wifi gratuit dans une gare, personne ne pourra lire les données échangées : les identifiants pour se connecter au site de la banque, …
  • le site affiché à l’url www.assoconnect.com est bien AssoConnect : une borne wifi malveillante pourrait retourner un faux site AssoConnect mais n’est pas capable de fournir un certificat SSL valide accepté par le navigateur.

Les certificats SSL fonctionnent sur la confiance : un petit nombre d’autorités de confiance émettent des certificats « racines » ou de plus haut niveau.

Ces certificats sont alors utilisés pour signer d’autres certificats jusqu’à obtenir le certificat SSL de votre site. Pour l’obtenir vous devez prouver que vous êtes bien propriétaire du site.

Chez AssoConnect nous achetons les certificats chez Gandi, un hébergeur français qui les achète à son tour à Comodo, une autorité de confiance : ayant réservé pour vous le domaine chez Gandi également, nous sommes en mesure de prouver à Gandi que nous affichons bien le site de votre association, Gandi nous remet alors le certificat SSL que nous installons chez Clever-Cloud, l’hébergeur de votre site.

Lorsqu’un de vos membres visite votre site protégé par un certificat, son navigateur regarde le certificat présenté par le site, puis le certificat parent, et ainsi de suite jusqu’en haut de la chaîne.

L’empreinte du dernier certificat doit être présente dans une liste enregistrée à l’avance dans votre ordinateur pour que le cadenas vert s’affiche.

Dans l’exemple précédent de la borne wifi malveillante, celle-ci peut fournir un certificat SSL mais celui-ci ne sera pas signé par une autorité de confiance : votre membre est alerté par son navigateur.

Exemple d’erreur de certificat SSL dans le navigateur Chrome :

Tous ces mécanismes de protection n’existent pas en http.

L’extension pour navigateurs HTTPS Everywhere a pour but de forcer le navigateur de vos membres à se connecter de manière sécurisée si un certificat SSL est disponible.

Enfin, certains sites, dont AssoConnect, indiquent au navigateur qu’il devra toujours revenir en utilisant l’HTTPS.

Pour les plus experts d’entre vous, sachez que toute cette protection repose sur la liste des empreintes présentes dans votre ordinateur.

Si un logiciel malveillant en ajoute, alors il sera capable d’usurper l’identité de sites légitimes. Sur Windows, vous pouvez utiliser l’outil SigCheck qui compare la liste de votre ordinateur à une liste officielle de Microsoft avec les commandes sigcheck –tv et sigcheck -tuv.

Je n’ai malheureusement pas trouvé d’outils simples pour MacOS et Linux, n’hésitez pas à en référencer dans les commentaires !

Le saviez-vous ? L’initiative Let’s Encrypt vise à rendre gratuits les certificats. AssoConnect a prévu de l’intégrer pour votre sécurité et vous aider dans le référencement naturel du site de votre association.

Sujet bonus : votre navigateur

Des failles sont trouvées très régulièrement dans les navigateurs pour déjouer les différentes protections existantes. Il est donc très important de les tenir à jour.

Vous pouvez vérifier que tout est bon de ce côté sur le site https://www.whatismybrowser.com/

J’utilise la version 55 du navigateur Chrome sur Windows 10 : il est à jour à l’heure où j’écris ces lignes, je peux donc terminer cet article l’esprit tranquille !

Le saviez-vous ? Certains navigateurs comme Firefox ou Chrome, ou systèmes d’exploitation comme Windows 10 se mettent à jour automatiquement. Bien pratique pour ne plus y penser !

Pour aller plus loin

Qui sont Alice, Bob et Eve ?

Ronald Rivest utilisa ces prénoms en 1978 lors de sa présentation du système RSA très utilisé dans le commerce électronique. Alice et Bob sont utilisés au lieu de « personne A » et « personne B », et cherchent à échanger de manière sécurisé. Eve joue le rôle de l’espion, « eavesdropper » en anglais.

Hashage et signature

Une fonction de hashage permet de calculer l’empreinte d’une donnée fournie en entrée.

Un exemple courant est la clef RIB : une légère variation dans le RIB donne une clef différente ce qui permet de détecter une faute de frappe.

Un bon algorithme doit fournir une empreinte différente pour deux données similaires.

On utilise en cryptographie des algorithmes publics mais dont la fonction inverse est inconnue, c’est-à-dire que l’on est incapable de retrouver la donnée initiale à partir de son empreinte.

Cette propriété permet de signer des données pour s’assurer de leur authenticité :

  • Bob calcule l’empreinte de son message, et envoie le message et l’empreinte à Alice
  • Alice calcule aussi l’empreinte du message à sa réception
  • Si les 2 empreintes sont égales alors le message reçu n’a pas été modifié en chemin

Comme l’empreinte est généralement plus courte que la donnée il est possible que deux données différentes aient la même empreinte : on parle alors de collision.

Un bon algorithme de hashage doit avoir un taux de collision le plus faible possible.

Il existe des rainbow tables ou tables de correspondance calculée à l’avance pour essayer de remonter à une donnée possible à partir d’une empreinte.

Ces tables sont notamment utilisées pour déduire les mots de passe à partir des empreintes stockées par les sites.

On utilise alors un grain de sel : une chaîne aléatoire est générée pour chaque mot de passe et l’empreinte est calculée à partir de mot de passe + grain de sel.

Ce grain de sel sera stocké en base avec l’empreinte associée. Ainsi 2 mots de passe identiques auront 2 empreintes différentes rendant inutile le recours à une rainbow table !

Cryptographie asymétrique

La cryptographie asymétrique est une méthode simple pour échanger des messages de manière sécurisée en utilisant 2 clefs :

  • Une clef publique à distribuer à ses contacts pour crypter le message à recevoir
  • Une clef privée à garder secrète pour décrypter les messages reçus

Prenons un exemple pour mieux comprendre, Alice souhaite recevoir un message de Bob : elle crée donc 2 clefs et donne celle publique à Bob.

Crédit : Par odder [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/), CC BY-SA 2.5 (http://creativecommons.org/licenses/by-sa/2.5) ou GPL (http://www.gnu.org/licenses/gpl.html)], via Wikimedia Commons

Bob l’utilise alors pour crypter son message et l’envoie à Alice qui le décrypte avec sa clef privée.

Crédit : Par odder [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/), CC BY-SA 2.5 (http://creativecommons.org/licenses/by-sa/2.5) ou GPL (http://www.gnu.org/licenses/gpl.html)], via Wikimedia Commons

Designed by Zirconicusso

Découvrez davantage d'articles sur ces thèmes :
Sécurité
cta

Besoin d'un logiciel complet ?

Sur AssoConnect, tous vos outils de gestion et de communication sont centralisés en un seul endroit.

Tester gratuitement
0 commentaire(s)
Aucun commentaire pour le moment.
Consultez également
Pourquoi les cotisations en ligne sont indispensables à votre association ?

Pourquoi les cotisations en ligne sont indispensables à votre association ?

Si vous êtes responsable associatif, on parie que vous prendriez bien des vacances.Vous n’avez...

Nina Flabeau
14 août 2018
Paiement en ligne : comment sécuriser votre association et vos adhérents ?

Paiement en ligne : comment sécuriser votre association et vos adhérents ?

Cela fait quelques rentrées associatives que vous souhaitez gérer vos adhésions en ligne. Une...

Sylvain FABRE
6 septembre 2016
Votre association et la CNIL

Votre association et la CNIL

Quand une association importe sa base de membres dans AssoConnect, une question revient assez...

Pierre GRATEAU
6 décembre 2016
Les nouveautés d'AssoConnect - mars 2017

Les nouveautés d'AssoConnect - mars 2017

Les améliorations de ce mois de mars vous simplifient la visualisation des informations...

Anaïs Limpalaer
28 mars 2017
5 conseils pour réussir vos flyers de rentrée des associations

5 conseils pour réussir vos flyers de rentrée des associations

À quelques jours de la rentrée associative, vous vous demandez sûrement comment amplifier...

Marine Defaux
21 août 2018
Loi de 1901 : les points clés à connaître quand on est une association

Loi de 1901 : les points clés à connaître quand on est une association

Article écrit en collaboration avec Captain ContratChaque année, ce sont plusieurs milliers...

Nina Flabeau
8 août 2018
Fermer En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et notre Politique de Confidentialité. En savoir plus