Les menaces de sécurité des systèmes d’information et des données sont en constante évolution. Une bonne partie de ces menaces est liée à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.
La politique de sécurité des mots de passe fait partie des règlements officiels qu’une entité doit mettre en œuvre pour la gouvernance de la sécurité des systèmes d’informations. Il s’agit d’une suite de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement.
L’ANSSI ( Agence nationale de la sécurité des systèmes d’information) recommande de mettre en place une politique de sécurité des mots passe adaptée au contexte et aux objectifs de sécurité du système d’information. Revenons sur huit (8) sujets à traiter, à minima, dans la politique de sécurité des mots de passe.
1. Catégorie de mots de passe
On peut distinguer trois catégories qui permettent de mettre en lumière ceux qui doivent être mémorisés par un humain ou pas. Notamment, les mots de passe ne pouvant pas facilement être gérés par un coffre-fort de mots de passe, comme le mot de passe maître de ce dernier, le mot de passe d’une session Windows. Ensuite, ceux pouvant être générés et conservés par des coffres-forts de mots de passe, comme les mots de passe associés à des comptes de récupération. Enfin, les numéros d’identification personnels, autrement appelés codes PIN vérifiés localement au sein d’un composant physique de sécurité.
2. Longueur des mots de passe
La longueur est une composante importante de la sécurité d’une authentification par mots de passe. Il est souvent plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe.
3. Règles de complexité des mots de passe
La complexité d’un mot de passe doit être déterminée pour éviter que les utilisateurs ne choisissent des mots de passe trop simples (des mots du dictionnaire français par exemple).
4. Délai d’expiration des mots de passe
Le choix d’imposer un délai d’expiration sur des moyens d’authentification est une bonne mesure en général mais s’avère souvent contre-productif dans le cas des mots de passe. En effet, en imposant un délai d’expiration trop réduit sur les mots de passe, les utilisateurs ont tendance à créer des itérations sur leurs mots de passe (par exemple rajouter « +1 » sur un nombre contenu dans le mot de passe comme Toto1, Toto2, etc.) ou à créer des liens logiques triviaux entre les différents mots de passe.
5. Mécanismes de contrôle de la robustesse des mots de passe
Définir des règles de constitution des mots de passe est d’autant plus pertinent que des contrôles sont mis en place afin de s’assurer que ces règles sont respectées dans les faits et qu’il est impossible, pour les utilisateurs, de les contourner.
6. Méthode de conservation ou de stockage des mots de passe
Le stockage des mots de passe des utilisateurs par le vérificateur doit être réalisé de manière sécurisée. Mais, le stockage des mots de passe en clair doit être absolument proscrit. En effet, en cas de compromission de cette base (cette base a été récupérée ou rendue publique par un attaquant), les mots de passe seront directement révélés s’ils sont stockés en clair. Ainsi, ce sont les empreintes des mots de passe qu’il faut conserver plutôt que les mots de passe eux- mêmes.
7. Méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe
Pour pallier l’oubli ou l’expiration d’un mot de passe, un mécanisme de recouvrement d’accès (au compte, au service, à la ressource, etc) doit être mis en place. De nombreuses méthodes existent et sont dépendantes du contexte d’utilisation. Parmi les plus courantes, on peut citer : la réception d’un mot de passe temporaire autogénéré (qui doit alors être changé sans tarder), la réception d’un lien temporaire à usage unique de réinitialisation, le contact du support informatique, etc.
8. Mise à disposition d’un coffre-fort de mots de passe
Afin de permettre aux utilisateurs l’emploi de mots de passe robustes, il est important de mettre à leur disposition des outils dédiés, comme les coffres-forts de mots de passe. Ils permettent, entre autres, de générer des mots de passe longs et complexes (sans avoir besoin de les mémoriser ni même d’en prendre connaissance) et de les stocker de manière sécurisée.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
- Recommandations relatives à l’authentification multifacteur et aux mots de passe, ANSSI
