Le Bar de Gandi

Accueil > General > La sécurité de votre compte Gandi

La sécurité de votre compte Gandi

Et la sécurité informatique en général, mais en prêchant évidemment pour notre paroisse. Voici un petit article pour vous sensibiliser à la sécurité liée à l'utilisation de services Internet et quelques conseils pour améliorer celle-ci, ainsi que pour la sauvegarde de vos données. Parce que, non, cela n'arrive pas qu'aux autres !

Les risques
Vos domaines et vos services ont de la valeur et les personnes mal intentionnées le savent bien et redoublent d'ingéniosité pour essayer de s'en emparer.

Quelques exemples de modes opératoires :
  • tentative d'intrusion chez le prestataire,
  • ingénierie sociale pour trouver le mot de passe ou se faire passer pour un client (voir ici),
  • cheval de Troie ou keylogger (un petit programme qui enregistre tout ce que vous tapez) sur votre poste de travail (voir ici).
Nous allons tenter de vous expliquer ici les bonnes pratiques et les outils à votre disposition pour améliorer le niveau de sécurité de votre compte et les grands principes à respecter, que ce soit chez Gandi ou ailleurs.

Le choix des mots de passe
Que ce soit pour le mot de passe de votre compte Gandi ou celui de vos boites e-mail, il est impératif de (s'astreindre à) respecter quelques règles.
Dans la plupart des cas de vol de comptes, un mot de passe facilement identifiable par ingénierie sociale (le prénom de votre enfant, par exemple) ou cassable car trop court ou trop simple, est souvent à l'origine de la faille.
Nous limitons la connexion à votre compte à 3 tentatives ratées avant d'imposer un blocage de 15 minutes, mettant ainsi à mal les scripts malveillants qui tentent de trouver ces mots de passe "faciles". Mais cette sécurité n'existe peut-être pas sur votre boite e-mail. Dès lors, si celui-ci a pu être corrompu, une fois l'accès à vos mails garanti, le reste est simple...
Il existe des règles d'or pour le choix de ses mots de passe. Oui, nous disons bien "ses", car la période où l'on pouvait se contenter d'un mot de passe unique est bien révolue ;)

Voici donc quelques conseils qui pourront peut-être vous éviter des sueurs froides :
  • un mot de passe unique : si vous utilisez le même mot de passe partout, une défaillance de l'un de vos prestataires mettrait en danger tous vos comptes.
  • un mot de passe suffisamment long : 8 à 10 caractères est un minimum
  • un mot de passe suffisamment compliqué : il faut élargir les types de caractères utilisés en combinant l'utilisation de lettres minuscules, majuscules, de chiffres et de caractères spéciaux.
  • un mot qui n’apparaît pas dans un dictionnaire et qui n'a aucune signification. Cela permet d'éviter les attaques par bruteforce basé sur des dictionnaires. Dans le cas d'une attaque de ce type, l'attaquant essaiera un très grand nombre de mots de passe basé sur des mots courants et répertoriés dans un dictionnaire (les attaques par bruteforce sont difficiles à mettre en œuvre sur le site de Gandi, puisque nous bloquons le compte après un certains nombre d'essais incorrects). Donc, si le mot de passe est un prénom, il y a de grandes chances pour que celui-ci soit trouvé.

Pour information, les mots de passe que vous transmettez à Gandi ne sont pas conservés en clair : ils sont rendus illisibles grâce à une méthode de chiffrement hashage, ainsi, vous seul connaissez votre mot de passe.

Si vous utilisez l'API, il est vivement conseillé de faire très attention à votre clé - nécessaire pour l'authentification - car celle-ci donne accès à tous les produits enregistrés sur le compte. Ne transmettez jamais votre clé API à de tierces personnes . Notez que le support ne vous demandera jamais votre clé API ou le mot de passe de votre compte : il ne faut donc pas les transmettre lorsque vous contactez le support, jamais !

Enfin, si malgré tout ça, vous n'arrivez plus à vous identifier sur votre compte ou si vous soupçonnez qu'il a été compromis (quelqu'un observait avec insistance lorsque vous vous êtes identifié, votre ordinateur où vos mots de passe sont enregistrés a été volé...), pour en récupérer l'accès, vous devrez fournir des documents justifiant qui vous êtes. Ce peut être un extrait de Kbis pour une société ou une carte d'identité et un justificatif de domicile pour un particulier. Si vos informations de compte ne sont pas à jour ou sont farfelues, la procédure sera très compliquée, voire impossible.

Vos informations de compte sont en effet utilisées par Gandi pour renseigner le Whois de chaque nom de domaine que vous enregistrez. Si votre compte est ouvert au nom de "Anne ONYME" avec une adresse inexistante et que sa sécurité est compromise, il vous sera impossible de justifier de cette identité et de cette adresse avec une facture et une pièce d'identité officielle. Le risque est alors que vous ne perdiez vos noms de domaines en ne pouvant prouver que vous en êtes le propriétaire légitime.

L'importance de tenir votre e-mail à jour sur votre compte et le choix de la réponse de sécurité est également important.

Si un intrus récupère l'accès à votre e-mail, il pourrait alors facilement effectuer une demande de renvoi de mot de passe s'il n'y a pas de réponse à la question de sécurité ou si elle est trop simple. Vous pouvez aussi, tout simplement, décider de ne pas autoriser le renvoi de mot de passe sur votre compte https://www.gandi.net/admin/preferences

Les outils à disposition sur votre compte pour renforcer la sécurité
Tout d'abord, le 2ème facteur d'identification cette technique ajoute un "token", c'est-à-dire un jeton temporaire à saisir en plus du mot de passe. Ce jeton est obtenu à partir d'une clé et d'un calcul local qui s'appuie sur le temps sur votre téléphone ou de votre équipement, il change toutes les 30 secondes. Cet outil est totalement gratuit à mettre en place et à utiliser. Gandi a dressé une liste (non exhaustive) d'applications gratuites. Pour en savoir plus http://www.lebardegandi.net/post/2013/10/10/2eme-facteur-d-Authentification

Ensuite, la restriction par IPs ou plage d'IPs est une bonne solution si vous disposez d'une ou plusieurs IP fixes. Ainsi, la connexion ne sera possible qu'à partir de ces IPs, ce qui restreint encore la possibilité d'intrusion extérieure sur votre compte.

Toutes ces mesures peuvent paraître contraignantes, mais elles sont essentielles pour la sauvegarde de vos données numériques. Déjà, une simple application des règles de base vous évitera bien des tracas. Ensuite, si vos domaines et serveurs sont une partie importante de votre vie personnelle ou professionnelle : n'hésitez plus et appliquez la sécurité maximale offerte !