img

Newsletter n° 7

Comment sécuriser vos mots de passe ?

Par Alexandre CARON - RSSI • le jeudi 30 mars 2017

Notre mission de conseil et d’assistance auprès de nos utilisateurs inclut de vous informer sur les règles essentielles de sécurité informatique en vous rappelant notamment la nécessité de sécuriser les mots de passe que vous utilisez.

Les mots de passe ont mauvaise réputation, car ils sont trop nombreux et souvent compliqués à mémoriser. Nous devons en retenir plusieurs : celui de l’ordinateur personnel et professionnel, celui de messagerie, ceux de nos sites marchands préférés, etc. En effet, la plupart de ces outils exigent, aujourd’hui, l’utilisation de mots de passe complexes, longs et parfois imposés.

Fini les mots de passe « dates de naissance » ou « prénoms des enfants » …Comme l’actualité nous le rappelle régulièrement, le vol de données coûte cher. Le coût total pour l’année 2015 serait de 3,79 millions de dollars (la donnée de santé serait évaluée à 363 dollars contre 154 dollars pour une donnée autre).

Ces vols de données sont encore trop souvent liés à une mauvaise gestion des accès, c’est à dire des mots de passe (24% de ces fuites de données sont liées à un facteur humain).

Comment construire un mot de passe qui puisse résister et pour quelles raisons doit-il être aussi compliqué ?Aujourd’hui, un bon mot de passe est celui qui permet de déjouer la puissance de calcul des ordinateurs. Il est dur, c’est-à-dire d’une longueur de 12 caractères minimum et complexe : composé de majuscules, minuscules, chiffres et caractères spéciaux (ex : ?/+%*).

Pour illustrer notre propos, voici ci-dessous une liste de mots de passe plus ou moins compliqués et le temps estimé nécessaire pour les casser (à ce jour) :moulinet : 13 minutes pour cracker ce mot de passe
Moulinet : 2 jours
Moulin3t : 10 jours
Moulin3t# : 12 ans
Moulin3t@Paulo : 32 milliards d’années
Moulin3t_Fil0che% : 14 quadrillions d’années (1 quadrillion = 1 000 000 000 000 000 000 000 000)
Certains sites Internet vous permettent de tester la solidité d’un mot de passe. Vous pouvez, par exemple, essayer via le site : https://howsecureismypassword.net.
Préférez tester un mot de passe de construction similaire à votre mot de passe, nous ne sommes jamais trop prudents.

Des règles à respecter…Le mot de passe est aussi une information privée et secrète qui ne doit pouvoir être trouvée aisément par des techniques d’espionnage ou d’ingénierie sociale.
Pour comparaison, lorsque vous quittez votre domicile, vous fermez la porte à clef et vous ne laissez pas vos clefs sur cette porte. Il en est de même pour votre mot de passe, il est la clef permettant l’accès à vos informations.
Il ne doit donc être connu que de vous-même et ne pas être noté sur un bloc note sous votre clavier ou sur le tableau blanc derrière votre bureau, ni même enregistré dans un fichier de votre téléphone ou de l’ordinateur en question.

Un mot de passe ne se partage pas avec d’autres personnes et ne s’utilise pas pour plusieurs ordinateurs ou comptes Internet afin d’éviter le piratage en cascade. Utilisez-vous la même clef pour votre voiture, votre maison et votre bureau ?

Soyez également vigilant en ne donnant pas votre mot de passe s’il vous est demandé dans un e-mail par exemple. Cette technique que l’on nomme « phishing » ou « hameçonnage » est très en vogue aujourd’hui.
Plutôt que de cliquer sur le lien dans le message, préférer ouvrir votre navigateur et taper l’adresse de votre site ou, de façon plus confortable, utiliser vos favoris ou signets.

La sécurité informatique est très similaire à la sécurité physique. Tout comme votre serrure votre mot de passe à ses failles, mais l’informatique permet heureusement de faire mieux sur cet aspect.

Si vous ne pouvez pas changer votre serrure dès qu’une faille est découverte sur celle-ci, vous pouvez en revanche changer régulièrement votre mot de passe et si possible tous les 3 mois.
Cela rend les opérations d’ingénierie sociale plus compliquées et les vols de base de données moins risqués.

Pour plus d’informations, nous vous invitons à nous contacter : infoapicrypt@apicrypt.org

Sources : Page wikipedia FLOPS
dernière étude mondiale menée par Ponemon pour IBM (350 entreprises interrogées dans 11 pays)
https://www.ssi.gouv.fr/guide/mot-de-passe/
https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe - JORF n°0023 du 27 janvier 2017 - Texte n°103