Découvrir assoconnect Essai gratuit

Comment protéger votre association sur internet ?

12 novembre 2019

La sécurité sur le web est un domaine très vaste dont nous pourrions parler des heures ! 

Nous abordons ici les dangers majeurs auxquels votre association est exposée et les réflexes faciles à adopter pour vous en prémunir. 

Il serait dommage que cette année le Père Noël cède sa place à un petit malin détournant votre page Facebook, siphonnant votre base de membres ou partant en vacances aux frais de votre association !

Au programme :

A la fin de cet article, les plus curieux trouveront des éléments complémentaires sur les personnages Alice, Bob et Eve, et les concepts de hachage.

Pas le temps de lire l'article maintenant ? Lisez-le quand vous le souhaitez en téléchargeant notre fiche technique gratuitement :

Je demande ma fiche technique

Bonne lecture !

protéger association internet assoconnect

Emails et hameçonnage : veillez à la sécurité de votre association

Mettons-nous dans la peau d’un pirate. Il serait intéressant de récupérer les identifiants au service de banque en ligne de votre association, à votre compte AssoConnect, à votre boîte email, …

Pour cela 2 méthodes : trouver une faille de sécurité sur le site de la banque mais ça n’est heureusement pas une mince affaire !

Ou plus simple, vous tromper pour que vous donniez vous-même vos identifiants : on parle de "hameçonnage" ou de "phishing" pour les anglophones.

Ainsi, ce pirate vous envoie un email aux couleurs de votre banque, avec un message vous incitant à cliquer sur un lien. Naturellement, vous saisissez vos identifiants sans vous méfier puisque ce site créé par le pirate ressemble au vrai site.

Puis un message indique une erreur de connexion en vous redirigeant sur le vrai site de la banque. Vous n’y voyez que du feu et pensez avoir fait une faute de frappe sans vous inquiéter. Mais c’est trop tard, le pirate connaît vos identifiants et vous n’êtes même pas au courant !

Bien souvent vous ne le découvrirez que le mois suivant lorsque votre carte bleue sera refusée à la caisse, le caddie rempli de fournitures pour votre association...

Il existe heureusement 2 techniques pour s’en protéger.

La 1ère technique est très simple : vérifiez toujours l’URL du site avant de saisir vos identifiants (l’URL est le texte à côté du petit cadenas vert sur l’image ci-dessous).

protéger association internet double anthentification

On peut voir sur l’image ci-dessus que :

  • nous sommes bien sur AssoConnect puisque l’url indique www.assoconnect.com
  • le cadenas indique une connexion sécurisée

Un pirate aurait pu vous emmener sur "www.assoconnnect.com" par exemple. Notez la lettre N en trop dans cet exemple. Il faut être vigilant !

La 2ème technique se rapproche du 3DSecure que nous avions abordé dans l’article "Paiement en ligne : comment sécuriser votre association et vos adhérents" : à chaque connexion un code est envoyé sur votre téléphone.

Ainsi même si un pirate vole votre mot de passe, il ne pourra se connecter à votre compte. On parle de 2FA (2 factors authentication , identification à 2 facteurs) car la connexion nécessite 2 éléments :

  • quelque chose que vous connaissez : votre mot de passe
  • quelque chose que vous possédez : votre téléphone

Les sites connus comme Gmail, Facebook, Twitter, Dropbox proposent tous cette sécurité supplémentaire, et AssoConnect aussi !

Il existe également des applications pour smartphone ne nécessitant pas de recevoir de SMS, telles que Google Authenticator ou Authy. Ces applications génèrent un code éphémère valable 30 secondes.

protéger association internet 2AF

N’hésitez pas à l’utiliser pour ne pas avoir de mauvaise surprise, par exemple sur le mur Facebook de votre association !

protéger association internet

Les mots de passe pour protéger votre association sur internet

En cherchant "protéger association internet", vous étiez sûr de tomber sur des indications concernant les mots de passe !

Imaginons que malheureusement le pirate ait réussi à voler votre mot de passe sur AssoConnect.

Les techniques présentées précédemment sont efficaces mais protègent l’accès service par service.

Heureusement pour votre association, vous avez activé le 2FA sur votre compte AssoConnect donc le pirate ne peut y accéder.

Mais vous avez également réutilisé ce mot de passe pour votre boite mail où le 2FA n’est malheureusement pas activé : le pirate pourra alors s’y connecter facilement.

C’est pour cette raison qu’il est primordial d’utiliser des mots de passe uniques pour chaque site, une pratique respectée par seulement 39% des internautes.

Des outils comme Lastpass ou le français Dashlane permettent de générer un mot de passe aléatoire pour chaque service et le mémorisent pour vous.

Une autre solution plus artisanale consiste à ajouter un préfixe au mot de passe : la 2ème lettre du service par exemple.

Votre mot de passe "SuperCastor" devient alors "sSuperCastor" pour AssoConnect et "aSuperCastor" pour Facebook.

Enfin, vous pouvez utiliser la technique des initiales pour créer un mot de passe robuste, long et facile à mémoriser.

Ainsi "Jvsàtutba2!" se mémorise facilement en pensant à "Je vous souhaite à tous une très bonne année 2020 !".

association site internet piratage

Pour protéger son association sur Internet, 
Louis est équipé !

Une autre question que vous nous posez régulièrement concerne la sécurité des mots de passe chez AssoConnect.

Il n’y a pas lieu de s’inquiéter pour une raison très simple : nous ne les stockons pas !

Comment fonctionnons-nous ?

Nous stockons une empreinte du mot de passe (ou hash - nous vous apportons une explication plus technique dans la partie "Pour aller plus loin"). Celle-ci est calculée à partir d’un algorithme connu (actuellement bcrypt par défaut avec PHP) lors de la création du mot de passe.

Lorsqu’un de vos membres se connecte, nous calculons alors l’empreinte du mot de passe saisi et la comparons à celle stockée : si ça correspond alors le membre est connecté !

Ainsi, il nous est impossible de lui renvoyer son mot de passe actuel.

Et si par malheur un pirate accède à notre base de données, il ne pourra pas déduire son mot de passe !

Attention, tous les sites ne sont pas aussi prévoyants, raison supplémentaire pour ne pas réutiliser ses mots de passe.

Enfin, un pirate pourrait essayer toutes les combinaisons possibles de mot de passe : on parle d’attaque par force brute.

Chez AssoConnect, la connexion est bloquée pendant quelques dizaines de minutes après plusieurs tentatives infructueuses de connexion ce qui ne manquera pas d’occuper pendant longtemps un hacker puisqu’il existe plus de 56 800 235 584 combinaisons possibles (avec des lettres et les chiffres, et sans compter les caractères spéciaux, d’un mot de passe à 6 caractères, limite minimale chez nous).

Le saviez-vous ? Lors de la perte d’un mot de passe, si un site vous le renvoie par email au lieu de vous en faire configurer un nouveau, alors il faut s’inquiéter !

En effet, ceux-ci ne sont probablement pas stockés selon les règles de l’art…

protéger association internet sécurité

HTTPS vs. HTTP pour protéger le site de votre association

Dernier sujet de cet article : le protocole HTTPS et les certificats SSL.

C’est le petit cadenas que l’on voyait sur la page de connexion dans la copie d’écran ci-dessous. Cela signifie 2 choses :

  • les échanges entre votre ordinateur et le serveur sont cryptés. Même connecté sur un réseau wifi gratuit dans une gare, personne ne pourra lire les données échangées : les identifiants pour se connecter au site de la banque, etc.
  • le site affiché à l’url www.assoconnect.com est bien AssoConnect : une borne wifi malveillante pourrait retourner un faux site AssoConnect mais n’est pas capable de fournir un certificat SSL valide accepté par le navigateur.

Les certificats SSL fonctionnent sur la confiance : un petit nombre d’autorités de confiance émettent des certificats "racines" ou de plus haut niveau.

Ces certificats sont alors utilisés pour signer d’autres certificats jusqu’à obtenir le certificat SSL de votre site. Pour l’obtenir, vous devez prouver que vous êtes bien propriétaire du site.

Chez AssoConnect, nous achetons les certificats chez Gandi, un hébergeur français qui les achète à son tour à Comodo, une autorité de confiance. Ayant réservé pour vous le domaine chez Gandi également, nous sommes en mesure de prouver à Gandi que nous affichons bien le site de votre association. Gandi nous remet alors le certificat SSL que nous installons chez Azure, l’hébergeur de votre site.

Lorsqu’un de vos membres visite votre site protégé par un certificat, son navigateur regarde le certificat présenté par le site, puis le certificat parent, et ainsi de suite jusqu’en haut de la chaîne.

L’empreinte du dernier certificat doit être présente dans une liste enregistrée à l’avance dans votre ordinateur pour que le cadenas s’affiche.

Dans l’exemple précédent de la borne wifi malveillante, celle-ci peut fournir un certificat SSL mais celui-ci ne sera pas signé par une autorité de confiance : votre membre est alerté par son navigateur.

Exemple d’erreur de certificat SSL dans le navigateur Chrome :

protéger association internet

Tous ces mécanismes de protection n’existent pas en http.

L’extension pour navigateurs HTTPS Everywhere a pour but de forcer le navigateur de vos membres à se connecter de manière sécurisée si un certificat SSL est disponible.

Enfin, certains sites, dont AssoConnect, indiquent au navigateur qu’il devra toujours revenir en utilisant l’HTTPS.

Pour les plus experts d’entre vous, sachez que toute cette protection repose sur la liste des empreintes présentes dans votre ordinateur.

Si un logiciel malveillant en ajoute, alors il sera capable d’usurper l’identité de sites légitimes. Sur Windows, vous pouvez utiliser l’outil SigCheck qui compare la liste de votre ordinateur à une liste officielle de Microsoft avec les commandes sigcheck –tv et sigcheck -tuv.

Je n’ai malheureusement pas trouvé d’outils simples pour MacOS et Linux, n’hésitez pas à en référencer dans les commentaires !

Le saviez-vous ?

L’initiative Let's Encrypt vise à rendre gratuits les certificats. AssoConnect a prévu de l’intégrer pour votre sécurité et vous aider dans le référencement naturel du site de votre association.

protéger association internet

Le navigateur : renseignez-vous pour protéger votre association sur internet

Des failles sont trouvées très régulièrement dans les navigateurs pour déjouer les différentes protections existantes. Il est donc très important de les tenir à jour.

Vous pouvez vérifier que tout est bon de ce côté sur le site whatismybrowser.

J’utilise la version 78 du navigateur Chrome sur Windows 10 : il est à jour à l’heure où j’écris ces lignes, je peux donc terminer cet article l’esprit tranquille !

Le saviez-vous ? Certains navigateurs comme Firefox ou Chrome, ou systèmes d’exploitation comme Windows 10 se mettent à jour automatiquement. Bien pratique pour ne plus y penser !

protéger association internet

Cryptographie asymétrique pour la sécurité de votre association

La cryptographie asymétrique est une méthode simple pour échanger des messages de manière sécurisée en utilisant 2 clefs :

  • Une clef publique à distribuer à ses contacts pour crypter le message à recevoir
  • Une clef privée à garder secrète pour décrypter les messages reçus

Prenons un exemple pour mieux comprendre, Alice souhaite recevoir un message de Bob : elle crée donc 2 clefs et donne celle publique à Bob.

protéger association internet sécurité association

Bob l’utilise alors pour crypter son message et l’envoie à Alice qui le décrypte avec sa clef privée.

protéger association internet

Pour que votre association aille plus loin dans le monde informatique

Qui sont Alice, Bob et Eve ?

L'inventeur Ronald Rivest utilisa ces prénoms en 1978 lors de sa présentation du système RSA qui permet d'échanger des données confidentielles sur Internet.

Alice et Bob sont utilisés au lieu de "personne A" et "personne B", et cherchent à échanger de manière sécurisé. Eve joue le rôle de l’espion, "eavesdropper" en anglais.

Voilà, vous savez tout !

Hashage et signature

Une fonction de hashage permet de calculer l’empreinte d’une donnée fournie en entrée.

Un exemple courant est la clef RIB : une légère variation dans le RIB donne une clef différente ce qui permet de détecter une faute de frappe.

Un bon algorithme doit fournir une empreinte différente pour deux données similaires.

On utilise en cryptographie des algorithmes publics mais dont la fonction inverse est inconnue, c’est-à-dire qu'on est incapable de retrouver la donnée initiale à partir de son empreinte.

Cette propriété permet de signer des données pour s’assurer de leur authenticité :

  • Bob calcule l’empreinte de son message, et envoie le message et l’empreinte à Alice,
  • Alice calcule aussi l’empreinte du message à sa réception,
  • Si les 2 empreintes sont égales alors le message reçu n’a pas été modifié en chemin.

Comme l’empreinte est généralement plus courte que la donnée, il est possible que deux données différentes aient la même empreinte : on parle alors de collision.

Un bon algorithme de hashage doit avoir un taux de collision le plus faible possible.

Il existe des "rainbow tables" ou "tables de correspondance" calculées à l’avance pour essayer de remonter à une donnée possible à partir d’une empreinte.

Ces tables sont notamment utilisées pour déduire les mots de passe à partir des empreintes stockées par les sites.

On utilise alors un grain de sel : une chaîne aléatoire est générée pour chaque mot de passe et l’empreinte est calculée à partir du mot de passe auquel s'ajoute le grain de sel.

Ce grain de sel sera stocké en base avec l’empreinte associée. Ainsi 2 mots de passe identiques auront 2 empreintes différentes rendant inutile le recours à une rainbow table !

Conservez les informations de cet article en téléchargeant gratuitement notre fiche technique : 

Je demande ma fiche technique

protéger association internet

La sécurité est évidemment indispensable, c’est aussi pour ça que c’est un critère extrêmement important à regarder quand on envisage d’utiliser un outil numérique.

Veillez donc à toujours regarder les garanties en termes de sécurité. Après cela, il s’agit aussi de bons réflexes à adopter.

Nous espérons que ces éléments vous apportent une meilleure connaissance des bases à connaître pour améliorer la sécurité de votre association sur Internet.

Téléchargez gratuitement notre guide pour vous aider dans la conception du site internet de votre association !

Nouveau call-to-action