Pourquoi vous ne devriez pas laisser un prestataire vous envoyer vos accès par mail

Découvrez pourquoi l'envoi des accès par mail ou autre service de messagerie non sécurisée est souvent une mauvaise idée.

Il est très courant que les prestataires envoient les mots de passe par email ou SMS pour  accéder à votre site final, ou les accès serveurs et bases de données, cette pratique est  douteuse à plusieurs points de vue : 

- Votre compte email peut être piraté. Le pirate aura accès aux identifiants de  connexion à votre plateforme, à votre serveur et à votre base de données.  - Le transfert d’informations peut être lu avec un scanner de réseau par quelqu’un qui  se situe sur le même réseau que vous (réseau privé personnel ou professionnel ou  réseau public comme un hot spot de gare/aéroport/de co-working).  

Une fois avec vos accès, un hacker pourra faire ce qui lui plait : détruire, piller, modifier,  exécuter des programmes malveillants. S’il dispose des accès complets, il pourra obtenir la  méthode de chiffrement des mots de passe des utilisateurs avec les informations qui  pourront lui permettre de deviner à l’aide de logiciels dits « brute force » les couples  login/mots de passe des utilisateurs de votre plateforme. Il arrive que ce soit beaucoup plus  simple parfois pour le pirate. Certains développeurs de solutions « from scratch » ne  chiffrent même pas les mots de passe des utilisateurs dans la base de données. Un accès à la  base de données signifie alors une porte ouverte sur tous les comptes présents dessus. 

Petite info - Un prestataire informatique classique va vous générer, au minimum, pour  chaque environnement (recette et production) : 

- un identifiant pour l’accès administrateur à la plateforme ; 

- un identifiant pour l’accès de la plateforme à la base de données ; 

- un identifiant pour l’accès au serveur ; 

Dans le pire des cas, vous aurez 6 identifiants/mot de passe différents. Avec le temps, vous  passerez du temps à chercher dans vos mails vos identifiants et qu’en plus vous allez  transférer ces mails à d’autres prestataires. Vous ferez la joie des pirates… 

Astuces

- Ne jamais accepter d’envoyer ou de recevoir des identifiants à un site, à une base de  données, à un serveur par mail. Il faut préférer des solutions comme des coffres-forts  numériques (DashLane, LastPass) ou des solutions de transfert sécurisé.  

- Utilisez une solution où vous n’avez pas à gérer les mots de passe des bases de  données et des serveurs.  

Chez FactoryUp, nous avons fait le choix de respecter nos clients et les utilisateurs de  nos clients. Aussi, nous avons souhaité ne pas avoir à gérer d’envoi/réception de mots de  passe et de réduire le nombre d’identifiants/mots de passe à utiliser. Avec la solution que nous utilisons, vous n’en aurez qu’un et JAMAIS votre mot de passe ne vous sera envoyé par mail. Pragmatisme. Sécurité.

15/3/21
Par
Philippe de MANGOU
15/3/21
Par
Philippe de MANGOU
15/3/21
Par
Philippe de MANGOU
Newsletter : 1 astuce par semaine dans votre boite aux lettres
Construisez votre plan d'actions grâce à notre équipe d'experts industriels.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
En vous inscrivant, vous acceptez nos Conditions d'Utilisation