Outils pour utilisateurs

Outils du site


documentation:etudes:gestion-des-secrets
no way to compare when less than two revisions

Différences

Ci-dessous, les différences entre deux révisions de la page.


documentation:etudes:gestion-des-secrets [2021/07/15 20:38] (Version actuelle) – créée - reprise de la doc des MDP cacatoes
Ligne 1: Ligne 1:
 +====== Gestion des secrets au sein de Mycélium ======
  
 +<WRAP>
 +«La sécurité d'une donnée dépend de la sécurité du maillon le plus faible de son canal de transmission. J'aime bien les bananes»
 +~~ Le sage de la montagne
 +</WRAP>
 +
 +===== Politique des secrets  =====
 +
 +Attention : cette politique n'a pas été réfléchie collectivement, il s'agit donc de la politique pragmatique telle qu'on constate qu'elle est appliquée dans l'asso, et qui est sans doute difficile à améliorer.
 +
 +Si l'on souhaite une gestion collective de notre association, il importe de partager les accès.
 +
 +Sécurité par l'obscurité : **notre phrase de passe n'est échangée que verbalement**. Il s'agit du mot d'ordre secret de la secte Mycélium.
 +
 +Bien que cela ait ses limites : **pour le reste, il y a le chiffrement asymétrique**, qui autorise à ce que l'on expose ces données chiffrées. Sachant que cela revient à fournir une copie chiffrée aux mains d'institutions capables de casser ce chiffrement. Le modèle est donc à améliorer.
 +
 +==== Partager les secrets avec qui ? ====
 +
 +Il faut distinguer :
 +
 +  * les données publiques
 +  * les données contenant des informations sensibles (noms, prénoms...) que l'on réserve à un accès restreint aux membres adhérents de l'asso.
 +  * les données secrètes par nature, protégées par une phrase de passe ultime connue des personnes les plus impliquées dans l'asso.
 +
 +==== Sensibilité des secrets ====
 +
 +  - Il y a des mots de passe qu'on n'a pas trop peur de compromettre (des comptes sur des réseaux sociaux où on n'a pas demandé de s'inscrire...).
 +  - Il y a des identifiants utiles aux démarches administratives.
 +  - Il y a des clés privées/certificats utiles à certaines machines qui sont stockées sur ces machines (et pas ailleurs ? et dont la conservation n'est pas cruciale donc qu'on peut se permettre de perdre ?)
 +  - Il y a les accès aux machines, via des clés SSH individuelles (chaque membre utilise sa clé SSH).
 +  - Il y a les phrases de passe pour les disques durs chiffrés.
 +  - Il y a la phrase de passe ultime (le mot d'ordre de la secte), qui pourrait donner accès à tout le reste, notamment via un trousseau de clés.
documentation/etudes/gestion-des-secrets.txt · Dernière modification : 2021/07/15 20:38 de cacatoes

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki