Interview de Cybernews avec Sascha Pfeiffer
Repérer des mots de passe compromis jusqu'à ce qu'il soit trop tard est une tâche assez difficile, il n'y a que quelques signes vagues et évidents à surveiller.
Les mots de passe non sécurisés, réutilisés et faibles sont l'une des principales menaces en matière de cybersécurité qui touchent non seulement les utilisateurs de médias sociaux, mais également les grandes entreprises et les institutions gouvernementales. Les mots de passe exposés équivalent à un vol d'identité, des pertes financières et bien d'autres conséquences à long terme.
Aujourd'hui, la société est consciente de l'importance des gestionnaires de mots de passe. Pourtant, il est assez difficile de trouver les fonctionnalités les plus importantes à rechercher, et il est crucial de savoir quelles mesures supplémentaires améliorent la sécurité en ligne. Le directeur général du gestionnaire de mots de passe Psono, Sascha Pfeiffer, a accepté de partager ses points de vue concernant la cybersécurité avec l'équipe de Cybernews.
Revenons au tout début. À quoi ressemblait le développement de Psono ?
C'était en 2015 que j'ai décidé de programmer Psono. Aucune solution n'existait à l'époque qui permettrait à une entreprise d'héberger un service sur ses serveurs pour gérer les mots de passe avec un chiffrement côté client de tous les secrets stockés. J'ai beaucoup parlé à mes amis de la manière dont cela devrait fonctionner ou de ce à quoi ressemblait mon approche cryptographique et sous certains aspects je les ai probablement ennuyés à mort. La première version publique a été publiée en 2017 puis étendue au fil du temps. Tout d'abord avec des extensions, des fichiers, des applications pour iOS et Android. Tout cela comme projet parallèle, pratiquement tout mon temps libre, mes week-ends et mes vacances ont été consacrés au produit. En 2020, j'ai décidé de poursuivre cela et j'ai fondé esaqa GmbH, ce qui était un choix difficile à faire à l'époque. Le COVID était à son apogée et le papier toilette était rare… Mais le choix s'est avéré payant et nous avons gagné pas mal de clients même sans aucun marketing réel, juste des personnes qui utilisaient notre édition communautaire auparavant achetaient notre produit entreprise. L'élection du nouveau gouvernement allemand avec l'engagement que les utilisateurs aient le droit au chiffrement a été un soulagement énorme. Avant, il semblait que l'État allemand pourrait exiger des vendeurs de logiciels qu'ils implémentent des portes dérobées, ce qui est désormais complètement hors de question.
Pouvez-vous nous présenter votre gestionnaire de mots de passe ? Quelles sont ses principales fonctionnalités ?
Psono vous permet de stocker et de partager des mots de passe en toute sécurité avec des collègues et des membres de la famille. Il y a quelques points qui font ressortir Psono. Premièrement, vous pouvez héberger les éléments sur vos serveurs. Cette approche décentralisée le rend extrêmement résilient contre les attaques par rapport aux fournisseurs qui hébergent des choses de manière centralisée pour leurs clients où une seule vulnérabilité exposera tous les mots de passe de tous les clients. La pile technologique de Psono est open source et, en tant que telle, peut être auditée pour détecter les vulnérabilités et les portes dérobées. En tant que fournisseur allemand, nous proposons des alternatives respectueuses de la vie privée des utilisateurs à d'autres solutions. Tous les mots de passe et autres secrets sont chiffrés avant de quitter l'appareil de l'utilisateur et ne peuvent être déchiffrés que par l'utilisateur. Toutes les entrées peuvent être partagées avec d'autres utilisateurs et un concept de permission étendu avec des groupes permet des configurations extrêmement flexibles, ce qui en fait un choix parfait pour les entreprises.
Quelle était la vision derrière la mise en open source de Psono ? Pouvez-vous nous en dire plus sur les tenants et aboutissants des logiciels de sécurité open source ?
Être open source fait partie de notre modèle de sécurité. Vous ne devriez pas faire confiance à un logiciel que vous ne pouvez pas auditer. Cela est particulièrement vrai pour l'une de vos pièces de logiciels les plus cruciales, un gestionnaire de mots de passe. Il y a bien sûr un amour intrinsèque pour les logiciels open source. Quand je repense à ce que j'ai ressenti quand mon premier Ubuntu a démarré sur mon ordinateur portable, je deviens assez nostalgique. Donc, nous sommes tous sur les épaules de géants et sans logiciels open source, nous vivreions tous dans l'âge de pierre de l'informatique. Être open source présente également d'autres avantages car il offre un accès à certains canaux marketing exclusivement disponibles pour les fournisseurs open source.
Certains experts disent que nous nous dirigeons actuellement vers un avenir sans mot de passe. Que pensez-vous de cette approche ?
La tendance est généralement répétée par les fournisseurs de solutions qui tentent de vendre leur logiciel comme solution à ce problème. Je crois que les mots de passe ne disparaîtront pas dans les 30 prochaines années. Le problème est qu'aucune solution appropriée n'a émergé jusqu'à présent. Habituellement, ils ont plusieurs inconvénients. Les outils hérités ne peuvent généralement pas être connectés. Implémenter une solution sur tous les appareils, logiciels et systèmes est difficile. Les options publiques comme tous ces services OAuth imposent le risque que le service ferme votre compte ou vous refuse l’accès pour une raison quelconque, vous faisant perdre tous vos comptes connectés. Les mots de passe ont beaucoup de problèmes mais toutes les alternatives connues actuelles ont leurs propres problèmes.
Avez-vous remarqué de nouvelles menaces apparues à la suite des événements mondiaux actuels ?
Je veux être prudent, mais honnêtement, je ne pense pas qu'il y ait de nouvelles menaces qui surgissent concernant les événements mondiaux actuels. Il y a certainement plus de désir de sécurité et de protection, mais la partie sécurité informatique ne pourrait en bénéficier que modérément. Cela peut certainement changer très rapidement si de nouveaux hacks deviennent publics.
En cas de violation de la sécurité, quelles devraient être les premières étapes pour une entreprise afin de protéger ses charges de travail ainsi que les données de ses clients ?
La première étape serait l'atténuation. Essayez de débrancher Internet, le réseau, éteignez les serveurs et les services pour éviter tout dommage supplémentaire. La deuxième étape serait de redémarrer les services de manière isolée et d'essayer d'identifier ce qui s'est passé, comment cela s'est produit, potentiellement avec l'aide de professionnels externes qui vous aideront à répondre à ces questions. La troisième étape serait d'informer les clients concernés. Expliquez les détails et les risques potentiels. Lorsque vous redémarrerez vos services, faites tourner les identifiants et assurez-vous que l'attaquant n'a pas laissé de porte dérobée qu'il pourrait utiliser pour regagner l'accès aux systèmes. Enquêtez sur la manière de prévenir les problèmes de nature similaire à l'avenir et mettez en œuvre ces gardes. Habituellement, c'est là qu'interviennent les gestionnaires de mots de passe si l'entreprise n'en a pas encore.
Comment peut-on savoir si son mot de passe a été compromis ? Y a-t-il des signes avant-coureurs souvent négligés ?
Il est généralement assez difficile de repérer les mots de passe compromis, il n'y a que quelques signes vagues et évidents à surveiller. Comme une activité suspecte, des notifications par e-mail de mots de passe modifiés ou de connexions depuis des emplacements inconnus, ou des virements bancaires que vous n'avez pas autorisés. Psono a une fonctionnalité intéressante incluse qui vérifie les services publics comme haveibeenpwned.com pour les violations de mots de passe connues, il détectera donc si votre mot de passe a déjà été compromis. Habituellement, il est préférable de penser de manière préventive. Ce que vous pouvez faire pour empêcher que votre mot de passe soit compromis est d'utiliser des mots de passe véritablement aléatoires et de ne jamais réutiliser les mots de passe ; c'est là qu'un gestionnaire de mots de passe est votre seul choix.
En dehors de l'authentification forte, quels autres outils de sécurité pensez-vous que tout le monde devrait intégrer dans son mode de vie ?
Il existe de nombreux outils mais comme la plupart des attaques passent par des e-mails, je dirais qu'un bon fournisseur de services de messagerie est votre première ligne de défense. Gmail et Outlook font un très bon travail pour prévenir le spam, le phishing et bloquer le contenu suspect. Le deuxième outil le plus important que vous pouvez implémenter est l'authentification à deux facteurs. Utilisez-la partout où vous le pouvez. Nous avons collaboré avec Yubico pour implémenter la prise en charge des Yubikeys dans Psono (en plus des alternatives comme Google Authenticator et d'autres). Les seconds facteurs préviennent la plupart des inconvénients pour lesquels les mots de passe sont critiqués.
Partagez avec nous, quel est l'avenir de Psono ?
Je ne sais pas par où commencer. Du point de vue du produit, nous travaillons actuellement sur une nouvelle version de notre client web qui a été entièrement réécrite. L'application est un autre chantier majeur car nous voulons en faire la meilleure application de gestion de mots de passe de sa catégorie. Du point de vue des affaires, je ne suis pas encore autorisé à dire quoi que ce soit, mais il y a de grandes entreprises en route qui fourniront aux clients un accès large aux gestionnaires de mots de passe.
