Gestion des secrets au sein de Mycélium

Attention : cette politique n'a pas été réfléchie collectivement, il s'agit donc de la politique pragmatique telle qu'on constate qu'elle est appliquée dans l'asso, et qui est sans doute difficile à améliorer.

Si l'on souhaite une gestion collective de notre association, il importe de partager les accès.

Sécurité par l'obscurité : notre phrase de passe n'est échangée que verbalement. Il s'agit du mot d'ordre secret de la secte Mycélium.

Bien que cela ait ses limites : pour le reste, il y a le chiffrement asymétrique, qui autorise à ce que l'on expose ces données chiffrées. Sachant que cela revient à fournir une copie chiffrée aux mains d'institutions capables de casser ce chiffrement. Le modèle est donc à améliorer.

Il faut distinguer :

• les données publiques
• les données contenant des informations sensibles (noms, prénoms…) que l'on réserve à un accès restreint aux membres adhérents de l'asso.
• les données secrètes par nature, protégées par une phrase de passe ultime connue des personnes les plus impliquées dans l'asso.

1. Il y a des mots de passe qu'on n'a pas trop peur de compromettre (des comptes sur des réseaux sociaux où on n'a pas demandé de s'inscrire…).
2. Il y a des identifiants utiles aux démarches administratives.
3. Il y a des clés privées/certificats utiles à certaines machines qui sont stockées sur ces machines (et pas ailleurs ? et dont la conservation n'est pas cruciale donc qu'on peut se permettre de perdre ?)
4. Il y a les accès aux machines, via des clés SSH individuelles (chaque membre utilise sa clé SSH).
5. Il y a les phrases de passe pour les disques durs chiffrés.
6. Il y a la phrase de passe ultime (le mot d'ordre de la secte), qui pourrait donner accès à tout le reste, notamment via un trousseau de clés.