Archive d’étiquettes pour : mot de passe

Le phishing, vous connaissez ? Cette technique, aussi appelée hameçonnage en bon français, est utilisée par les pirates pour voler vos identifiants. Basée sur l’envoi d’email, elle tente de vous mettre en confiance en présentant un environnement connu. Et vous invite à saisir identifiant et mot de passe. Pourtant, identifier ces courriels pirates n’est pas si compliqué. Voici comment procéder.

L’hameçonnage est une technique de piratage qui a malheureusement fait ses preuves. Tout commence généralement par un email que vous recevez un beau matin. S’il arrive là, c’est que votre système de filtrage a été floué (vous en avez un, au fait ?) : c’est rare, mais pas impossible. Et ça n’est pas le propos : le courriel est là, et vous devez décider quoi en faire. Voici quelques clés pour identifier s’il est frauduleux.

La peur et la confiance : les deux leviers du phishing

Pour que vous soyez incité à agir, cet email utilise généralement la peur. Un des meilleurs moyens consiste à agiter un chiffon rouge, comme l’expiration de votre mot de passe et tous les cataclysmes qui vont avec : perte de l’accès à vos données, perte de temps, journée gâchée…

La deuxième phase consiste donc à vous proposer une solution rapide et simple pour éviter tout inconvénient : connectez-vous et validez votre mot de passe. En cliquant sur le lien qui vous est gentiment proposé, vous ouvrez une page qui ne vous est pas méconnue, avec une zone de saisie du nom d’utilisateur et du mot de passe.

Pas de panique, cliquer n’est pas forcément rédhibitoire

Jusqu’à cet instant précis, vous n’êtes pas en danger, mais vous avez simplement réagi à la sollicitation. Ni vos données ni votre ordinateur n’ont été compromis à ce stade. En revanche, si la confiance est telle que vous livrez ces deux informations, le cataclysme – le vrai – pourrait bien se réaliser. Voyons donc comment éviter d’en arriver là.

Encore une fois, je me place dans le cas où l’email n’a pas été filtré par votre service de messagerie. Les services d’email modernes disposent de moyens d’analyse qui leur permettent de trier le bon grain de l’ivraie. Elles ne sont pour autant pas infaillibles, et peuvent présenter soit des faux positifs, soit des faux négatifs. Dans ce dernier cas, vous avez encore quelques cartes en main.

Toute incitation à agir est suspecte

Tout d’abord, un tel email doit attirer votre attention. Comment ? En appliquant un principe simple : toute injonction à agir est suspecte. Que ce soit pour cliquer sur un lien ou ouvrir un attachement. Un « Cliquez ici » devrait vous alerter immédiatement. Et vous amener à supprimer l’email en question ? Pas si vite, si vous avez encore le moindre doute, il s’agit maintenant de valider cette première impression.

Le bouton qui est vous est présenté fièrement en plein milieu d’email est somme toute inoffensif. Il tente de vous emmener sur un site Web, celui qui vous mettra en confiance, afin d’activer la 2nde étape du processus. Mais en le survolant, sans cliquer dessus, il révèlera tous ses secrets. L’adresse de destination apparaît, et vous indique clairement si on essaie de vous duper.

Même si certains font des efforts, de nombreux pirates continuent d’utiliser des liens suspects

Soyons clairs : si l’email semble émis par Microsoft ou Google, le lien vous emmènera vers un nom de domaine exotique, sans aucun lien avec l’émetteur qu’il prétend être. Un exemple ? Voici une adresse dans un email incitant à vous connecter chez Facebook : http://activate.facebook.fblogins.net/88adbao798283o8298398?login.asp

Vous aurez remarqué que l’adresse de ce site, bien que comprenant le mot clé « Facebook », vous emmène sur le nom de domaine fblogins.net. Si la première phase vous a mis en alerte, cette lecture attentive finira de vous convaincre que vous pouvez classer ce courriel verticalement.

Et si malgré tout vous cliquez…

Malgré ces précautions, si vous suivez le lien, on vous demandera alors de vous authentifier. Et si vous allez jusqu’à cette extrémité, évidemment vous ne serez pas connecté au moindre service. Le but ici est de récupérer votre mot de passe, et de le tester sur d’autres services : stockage en ligne, messagerie, etc. Les utilisateurs ont malheureusement tendance à utiliser toujours le même mot de passe un peu partout.

A terme, les pirates cherchent à s’introduire dans votre système informatique ou bloquer vos moyens informatiques. Dans le premier cas, les hackers rechercheront des informations sensibles dans vos données, comme des numéros de carte de crédit. Dans le second, ils tenteront de vous extorquer de l’argent, en cryptant vos fichiers par exemple.

Pour ceux qui sont équipés de double authentification, cette deuxième barrière les protègera. Partiellement en tout cas. Car si votre mot de passe est utilisé dans différents systèmes, et que certains d’entre eux n’ont pas cette double protection, alors la porte sera ouverte. D’où l’importance de garder l’œil ouvert, de faire tourner ses mots de passe, et de les diversifier. A bon entendeur.

Emmanuel Dardaine

emmanuel dardaine expert cloud

passwordL’augmentation du nombre d’applications informatiques s’accompagne d’une multiplication des mots de passe. A tel point que tout retenir tient du parcours du combattant pour les collaborateurs. Et les mots de passent finissent dans des fichiers Excel ou sur des PostIt. La protection de l’entreprise est alors sérieusement compromise par cet excès d’identifiants.

L’idéal ? Fournir un mot de passe unique à chaque employé pour l’ensemble des systèmes de l’entreprise. Un rêve, me direz-vous… Non, les solutions existent, et s’adaptent parfaitement au Cloud. Suivez le guide.

Une base d’utilisateurs unique

L’annuaire d’entreprise constitue la pierre angulaire d’une système d’authentification centralisé. Chez Microsoft, le système le plus répandu, il s’appelle Active Directory, mais d’autres solutions équivalentes existent. Il stocke les comptes utilisateurs avec leur mot de passe. Toute modification de ce mot de passe est alors propagée aux systèmes reliés à cette base, comme la messagerie par exemple.

Des systèmes au diapason

Ainsi, lorsque vous modifiez le mot de passe de votre session Windows, celui de la messagerie l’est également, au même instant. Mais ça ne s’arrête pas là. Votre système de gestion des ressources d’entreprise (ERP), comme la plupart de vos applications, peut également se connecter à l’annuaire central. Il est même possible que Windows passe vos identifiants automatiquement, sans que vous n’ayez à les rentrez une nouvelle fois. On parle alors d’authentification unique (ou SSO, Single Sign On). En d’autres termes : le confort et la sécurité ultimes.

La gestion des arrivées et départs dans l’entreprise n’a jamais été aussi simple et solide

Allons encore plus loin : la connexion au réseau, filaire ou sans fil, de l’entreprise peut s’appuyer sur la base centrale. Ainsi, vous garantissez qu’aucune machine non-répertoriée dans votre réseau ne puisse se connecter sans authentification préalable. En WiFi, vous utilisez vos identifiants Windows pour vous connecter au réseau interne. Et si votre machine n’est pas reconnue, brancher une prise réseau vous conduira à rentrer un mot de passe, toujours le même, ou à être isolé sur un réseau sécurisé. Idem pour l’accès à distance au réseau d’entreprise.

Règles de gestion

Utiliser un identifiant unique engendre alors un cercle vertueux. Avec un seul mot de passe à retenir, les collaborateurs s’accomodent de règles de syntaxe plus complexes. Ce qui renforce encore plus la sécurité. Vous pouvez définir vous-même le niveau de complexité, la fréquence de renouvellement, et le nombre de mots de passe à faire tourner. Les collaborateurs deviennent alors des acteurs actifs de la sécurité d’entreprise. Et vous profitez d’une maîtrise totale : la gestion des arrivées et départs dans l’entreprise n’a jamais été aussi simple et solide.

100% Cloud

Dernier bienfait : un tel système n’a pas besoin d’être hébergé dans vos locaux. Vous pouvez parfaitement l’installer dans le Cloud et vous y connecter de manière privée et cryptée. La sécurité est alors ultime : le système est protégé, et offre une fiabilité à toute épreuve. Vos données sont alors quasiment inviolables.

Vous aimeriez en savoir plus et voir un tel système à l’oeuvre ? N’hésitez plus et contactez-nous. Nous nous ferons un plaisir de vous faire une démonstration. Et pour cette fois, pas besoin de montrer patte blanche.


Votre informatique d’entreprise s’étend, bonne nouvelle ! Les moyens d’accès à votre réseau se multiplient aussi : home office, WiFi, messagerie, etc., pour le plus grand confort de vos utilisateurs. Malheureusement, la menace qui plane sur votre informatique vient le plus souvent de l’intérieur. Difficile de déloger le loup une fois qu’il est dans la bergerie…

Que diriez-vous de prendre le contrôle sur ces risques ? Il suffit de restreindre les portes d’entrée à votre réseau, et d’en contrôler finement les accès. C’est aussi simple que cela.

Dans cet article, nous allons vous démontrer comment protéger votre réseau très simplement grâce à Steel Directory et l’authentification Cloud.

Un réseau comme un autre

Votre réseau n’est probablement pas différent du nôtre. Nous parions que nous y trouverions quelques briques de base telles que :
– un accès Internet ;
– un accès WiFi ;
– un serveur de fichiers ;
– une box pour l’accès Internet et l’accès distant ;
– un serveur de messagerie.

Solutions - Authentification Cloud - Slide #1

Chacun de ces points d’entrée peut s’avérer être une faiblesse potentielle :
– chaque brique dispose de sa propre liste d’utilisateurs ;
– les mots de passe diffèrent d’un service à l’autre pour un utilisateur donné ;
– les accès sont parfois partagés entre plusieurs utilisateurs.

Le résultat ? Certains mots de passe ne sont pas modifiés régulièrement et exposent votre entreprise à des attaques. Pire encore : le départ d’un collaborateur donne lieu à quelques oublis, et des accès restent ouverts. Impossible de savoir quoi fait quoi et quand.

Steel Blue entre en jeu

Etes-vous condamnés à vivre avec cette épée de Damoclès à tout jamais ? Bien sûr que non. Il suffit de mettre en applications quelques principes clés :
– créer une base centrale unique des utilisateurs ;
– définir un mot de passe unique pour chaque utilisateur ;
– connecter les services des utilisateurs sur cette base ;
– authentifier chaque utilisateur individuellement.

Steel Directory vous permet de mettre en place une telle solution très simplement et très rapidement. Le déploiement dans le Cloud vous assure une mise en service éclair. La location mensuelle all inclusive de Steel Blue vous affranchit des investissements lourds. Que demander de plus ?

Les bienfaits de l’authentification Cloud

Avec Steel Directory :
– vous déclarez chaque utilisateur, une fois pour toute ;
– vous assignez les services auxquels il à droit ;
– vous lui simplifiez la vie avec un mot de passe unique.

Dans les faits :
– l’accès à la messagerie est authentifié sur Steel Directory, que ce soit en interne ou sur un smartphone ;
– l’accès aux fichiers est géré par Directory, tout comme les règles de partage entre utilisateurs de ces fichiers ;
– l’accès à distance au bureau est authentifié individuellement par Steel Directory ;
– l’accès au WiFi repose toujours sur le même mot de passe individuel ;
– lorsqu’un ordinateur se connecte sur le réseau câblé, il est aussi authentifié via Directory.

Solutions - Authentification Cloud - Slide #2

Gains immédiats

Les avantages pour vous sont sans appel :
– efficacité : les failles de sécurité sont réduites ;
– tranquillité : le renouvellement des mots de passe est forcé (fini « 123456 » !) ;
– confort : les utilisateurs n’ont plus qu’un seul mot de passe à retenir ;
– implication : les utilisateurs participent plus facilement à la gestion de la sécurité ;
– confidentialité : les données ne sortent plus de l’entreprise ;
– gain de temps : ajouter ou supprimer un utilisateur est l’affaire de quelques minutes.

Vous ne disposez pas encore de tous ces services ? Aucun problème. Steel Directory intègre vos services au fur et à mesure que vous les ajoutez sur votre réseau. Progressivement, en douceur.

Voir plus loin

Vous aimeriez aller encore plus loin ? Couplez Directory avec le reste des services Steel Blue :
– Steel Private Network pour la connexion au Cloud et l’accès à distance ;
– Steel Remote Services pour les services distants dans le Cloud (serveur de fichiers, messagerie) ;
– Steel WiFi pour l’accès au réseau sans fil.

Solutions - Authentification Cloud - Slide #3

Vous n’avez rien remarqué ? Vous vous êtes libéré de votre matériel.

Vous gagnez sur tous les tableaux. Non seulement, votre réseau est protégé comme jamais. Mais vous bénéficiez de tous les avantages des solutions Steel Blue :
– une externalisation complète ;
– une location mensuelle all inclusive ;
– la surveillance permanente de vos services ;
– une interlocuteur unique pour tous vos services.

Maintenant, vous êtes rassurés. Alors contactez-nous et profitez de notre essai gratuit pendant un mois. Vous n’en reviendrez pas.

Steel Blue : all inclusive, all right !