Nous remarquons que vous êtes actuellement en train de visiter le site du Royaume-Uni. Souhaitez-vous plutôt visiter notre site principal?

Une personne dans un bureau utilisant un clavier. Des logos d’e-mails et un logo de verrouillage

Envoi par e-mail documents protégés par mot de passe : la nouvelle brèche silencieuse

Nous dépendons fortement des e-mails

Les e-mails, qu’ils soient personnels ou professionnels, sont omniprésents dans notre mode de vie moderne. Depuis la pandémie de COVID, les entreprises ont de plus en plus recours aux réunions à distance plutôt que physiques. En conséquence, les travailleurs partagent davantage de fichiers avec leurs collègues, leurs clients ou d’autres tierces parties (prestataires de services, sous-traitants, partenaires financiers, juridiques et techniques, etc.) Il est donc essentiel que les fournisseurs de messagerie électronique chiffrent correctement nos messages, de bout en bout, afin que les données sensibles contenues dans les fichiers joints aux e-mails soient parfaitement sécurisées.

De nombreux utilisateurs vont plus loin. Des applications telles que Word, Excel®, Adobe® Acrobat® et bien d’autres permettent de protéger les fichiers par mot de passe. Ce chiffrement intégré vise à ce que les données qu’ils contiennent ne soient accessibles qu’aux destinataires munis du bon mot de passe.

Toutefois, cette protection n’est pas sans failles. Même si les lois et les réglementations l’exigent, les services informatiques ne vérifient pas systématiquement les e-mails sortants pour détecter d’éventuelles violations des données protégées, en tant que données propres ou dans des serveurs cloud. Il est fréquent que les entrepreneurs victimes d’une violation d’e-mails ne le signalent pas à leurs partenaires.

Dans quelle mesure les pièces jointes aux e-mail sont-elles sûres ?

Nous devons partir du principe que nos serveurs d’e-mails, nos fournisseurs d’accès à Internet et les serveurs de nos clients/partenaires sont correctement sécurisés. On entend constamment parler de violations de données cloud ou d’entreprises, mais beaucoup moins des violations d’e-mails.

Pourtant, en juillet 2023, des pirates se sont introduits dans des comptes e-mail du gouvernement américain. En janvier 2024, Microsoft® a révélé avoir été victime d’une violation de sa messagerie électronique pendant deux mois, au cours de laquelle des messages internes et des pièces jointes de ses cadres ont été dérobés.

Est-il encore possible de se sentir en sécurité lorsqu’on traite des données sensibles ? Pensez aux professions qui traitent des données précieuses, comme les avocats, les conseillers financiers, les préparateurs de déclarations de revenus, les compagnies d’assurance, etc. Bien que la protection des fichiers par mot de passe apporte une certaine tranquillité à de nombreux utilisateurs, elle ne peut plus être considérée comme une garantie de sécurité.

Fichiers protégés par mot de passe à l’aide du chiffrement logiciel

Une personne assise à un bureau, utilisant un clavier et une souris. Graphique superposé représentant un document protégé par mot de passe.

La protection par mot de passe des feuilles de calcul Microsoft Excel contenant des informations sur les clients et le chiffrement des fichiers PDF Acrobat contenant des preuves juridiques peuvent vous rassurer, mais que peuvent faire les pirates informatiques s’ils ont accès à ces documents ?

Les fichiers de ce type sont chiffrés par un logiciel sur l’ordinateur, suite à quoi un mot de passe est ajouté pour accéder aux données. Si un mot de passe incorrect est saisi, le fichier n’autorise pas l’accès et reste inaccessible.

Malheureusement, ces fichiers ne sont pas protégés contre les attaques par force brute (également appelées attaques par dictionnaire), lesquelles consistent à deviner toutes les combinaisons de caractères pouvant composer un mot de passe.

Prenons l’exemple d’un mot de passe sûr et complexe utilisant trois des quatre ensembles de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. Il s’agit du type de mot de passe typique exigé comme meilleure pratique par les politiques de sécurité informatique. Le plus souvent, les mots de passe complexes comportent 8 caractères. En principe, un ordinateur devrait mettre de nombreuses années à les deviner. Les fichiers protégés par mot de passe n’ont aucune défense contre les attaques visant à deviner le mot de passe, si ce n’est le caractère aléatoire (ou entropique) de ce dernier.

Ordinateurs et outils modernes

Les ordinateurs d’aujourd’hui peuvent deviner un milliard de mots de passe ou plus par seconde. Il s’agit d’un progrès considérable par rapport à l’époque où les premiers fichiers protégés par mot de passe ont été créés.

Comment les cybercriminels parviennent-ils à pirater les fichiers protégés par mot de passe ?

Il existe sur Internet de nombreux outils gratuits permettant de supprimer les mots de passe des fichiers Excel ou Acrobat. Les fichiers dotés d’un chiffrement de sécurité spécial peuvent être ciblés par des outils payants. Ces outils peuvent utiliser un seul ordinateur ou des milliers d’ordinateurs en réseau (dans le cas des attaquants déterminés qui ciblent des données de grande valeur). Certains de ces puissants outils sont commercialisés en tant qu’outils d’investigation pour les forces de l’ordre. Mais ils sont très accessibles, au point que vous pouvez les acheter et les télécharger avec une simple carte de crédit.

Selon Home Security Heroes, un outil de craquage de mot de passe basé sur l’IA peut pirater un mot de passe complexe de 8 caractères en quelques minutes ou au maximum sept heures. Avec des ordinateurs en réseau, une attaque par force brute sur un seul fichier protégé par mot de passe pourrait être réalisée dans un délai encore plus court.

Protéger les données mobiles

Une clé USB Kingston IronKey Vault Privacy 50 est branchée sur un hub multiport sur un bureau, connecté à un PC de bureau.

À ce stade, il est clair que toute transmission de données sensibles par voie électronique est susceptible d’être violée si un fichier est intercepté, ou si des serveurs contenant le fichier en tant que pièce jointe ou que fichier sont violés. Il en va de même pour les fichiers chiffrés stockés dans un cloud (quel qu’il soit) qui repose sur le chiffrement logiciel. Si un acteur malveillant accède au fichier protégé par mot de passe, il peut alors le soumettre à des attaques par force brute à l’aide d’un logiciel adapté à ce type de fichier.

La solution pour atténuer ce risque est de conserver ces données « hors réseau » ou dans un endroit isolé. Elles peuvent être stockées sur un ordinateur qui n’est pas connecté à Internet, ou être transmises par un vecteur protégé contre les attaques par force brute. Cette procédure peut être pesante, mais elle est proportionnelle à la valeur des données. Selon le type de données perdues, certaines violations peuvent coûter des millions de dollars et entraîner des frais juridiques et des règlements élevés. Par exemple, la perte d’une feuille de calcul contenant des détails sur des comptes clients peut être très préjudiciable pour une entreprise. Les données IP d’un client utilisées dans le cadre d’une procédure judiciaire peuvent avoir de graves conséquences pour une entreprise si ces données sont perdues et vendues sur le dark web.

Il existe une solution peu coûteuse pour les données mobiles : les clés USB ou les SSD à chiffrement matériel. Ils disposent d’un écosystème de sécurité matériel autonome qui les protège contre les attaques visant les mots de passe et utilise un chiffrement AES-256 bits toujours actif pour lequel, à ce jour, aucune compromission n’a été signalée. Il est important de se procurer ces appareils de stockage auprès de fabricants connus et fiables, car il est possible que la sécurité des mots de passe ou le chiffrement des clés bon marché vendues en ligne ne soit pas correctement mis en place.

Les clés USB ou SSD externes à chiffrement matériel, comme ceux de la gamme Kingston IronKey, ne sont pas des clés USB ou des SSD ordinaires. Ils sont conçus dès le départ comme des appareils de protection des données, utilisant des contrôleurs spécialisés dont l’objectif principal est la sécurité. Ces dispositifs peuvent offrir une sécurité de classe entreprise ou de classe militaire (laquelle inclut une certification FIPS 140-3 niveau 3 du NIST, l’agence gouvernementale américaine qui crée le chiffrement AES-256 bits et qui définit les normes pour les agences gouvernementales américaines). Depuis plus de 20 ans, Kingston conçoit et fabrique également des clés USB/SSD à chiffrement matériel pour les entreprises et les gouvernements du monde entier.

Protection efficace contre les attaques par force brute

Tous les accès à un produit IronKey passent par le microprocesseur sécurisé. Pour autoriser l’accès aux données, le microprocesseur sécurisé exige un mot de passe valide ou un code PIN pour les clés USB/SSD à clavier. Le microprocesseur sécurisé comptabilise les saisies de mot de passe erronées (si votre téléphone portable a déjà été réinitialisé, vous savez comment cela fonctionne). Les produits IronKey autorisent plusieurs mots de passe : Admin, Utilisateur et de récupération à usage unique. Si les mots de passe Utilisateur ou de récupération à usage unique sont saisis de manière erronée 10 fois de suite, l’appareil verrouille les mots de passe. Si le mot de passe Admin principal est saisi de manière erronée 10 fois de suite, le microprocesseur sécurisé passe en mode d’autodestruction des données. C’est-à-dire qu’il exécute un effacement chiffré de tous les paramètres de chiffrement, formate le stockage des données et réinitialise l’appareil à l’état d’usine. À ce stade, les données précédemment stockées sur la clé USB/le SSD sont perdues à jamais. C’est la défense par excellence contre la plupart des attaques visant vos données sensibles.

Meilleures pratiques pour sécuriser les données sensibles

Malheureusement, la transmission électronique de fichiers protégés par mot de passe par e-mail ou leur affichage sur un serveur cloud peut entraîner des violations de données, car les fichiers eux-mêmes ne peuvent pas être protégés contre les technologies informatiques et d’IA d’aujourd’hui. La meilleure sécurité exige que les données mobiles soient transportées physiquement en votre possession, dans votre poche ou dans votre sac. Elles peuvent ensuite être partagées avec l’autre partie. Ou, vous pouvez expédier la clé USB/le SSD à votre client/partenaire et lui indiquer comment accéder aux données. Cette clé USB/ce SSD peut être laissée chez lui pour que les données restent sécurisées et hors réseau. Les SSD externes IronKey d’une capacité allant jusqu’à 8 To offrent une sécurité robuste à un vaste éventail de professionnels, des cabinets d’avocats aux prestataires de services médicaux ou financiers.

De nombreux fabricants n’envoient plus les documents et détails clés relatifs à la propriété intellectuelle par e-mail. En lieu et place, ils expédient les produits IronKey aux tierces parties (souvent dans d’autres pays) en leur donnant des instructions pour accéder aux données. Les produits IronKey permettent au rôle Admin de définir un mode de lecture seule global, ce qui empêche toute modification des fichiers lorsqu’un mot de passe Utilisateur y accède.

Les produits IronKey respectent les meilleures pratiques de la triade CIA et constituent une assurance peu coûteuse pour assurer la sécurité et la protection de vos données sensibles dans toute la mesure du possible sur le plan commercial. En fin de compte, tout dépend de la valeur que vous donnez à vos informations.

Icône Demandez à un expert de Kingston sur un circuit imprimé de chipset

Demandez à un expert

Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.

Demandez à un expert.

Articles