Les incidents de sécurité sont en constante évolution. Heureusement, une bonne partie de ces menaces peut être évitée par le respect de bonnes pratiques en matière de mots de passe.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié récemment des directives et recommandations relatives à l’authentification multifacteur et aux mots de passe. Jurisconforme vous présente 7 réflexes ou méthodes relativement simples à mettre en œuvre permettant de se protéger des dangers liés à l’usage d’un mot de passe non sécurisé.
1- Utiliser des mots de passe robustes
Il est fréquent qu’un utilisateur crée des mots de passe à partir des informations relativement simple à retrouver ( le nom de premier animal de compagnie + date d’anniversaire de mon premier enfant + plus le nom de mon ou ma compagne). Ces types de mots passe seront très facilement et rapidement retrouvé par un attaquant plus ou moins outillé. Il est recommandé d’utiliser des mots de passe (ou phrases de passe) robustes, c’est- à-dire suffisamment longs et complexes pour résister aux attaques par recherche exhaustive et n’étant pas un mot du dictionnaire (ou une citation ou phrase connue) pour résister aux attaques par dictionnaire. Pour en savoir plus.
2- Utiliser un mot de passe différent pour chaque service
Il est recommandé d’utiliser un mot de passe différent pour chaque service auquel l’utilisateur est inscrit. Cette technique empêchera à un attaquant d’utiliser le mot de passe volé ou trouvé sur les différents services de la victime.
3- Utiliser un coffre-fort de mots de passe
Il est recommandé d’utiliser un coffre-fort de mots de passe permettant facilement de générer des mots de passe robustes et différents pour chaque service. En revanche, le mot de passe “maître” de ce coffre-fort doit être suffisamment robuste.
4- Protéger ses mots de passe
Il est recommandé d’adopter les bons réflexes de protection des mots de passe. Par exemple, il est impératif de ne pas écrire ses mots de passe sur une note sous le clavier, de ne pas créer un fichier « mot de passe » sur le poste utilisateur, de ne pas s’envoyer ses mots de passe par courriel, etc. L’utilisation d’outils comme les coffres- forts de mots de passe est à privilégier. Les messageries électroniques sont actuellement des éléments centraux et critiques dans les mécanismes d’authentification. En effet, leur compromission permet très généralement d’accéder dans un second temps à tous les comptes associés à cette messagerie électronique.
5- Utiliser un mot de passe robuste pour l’accès à sa messagerie électronique
Comme, nous l’avons vu au point 1, en règle générale, le mot de passe doit être suffisamment robuste pour les comptes les plus sensibles. Il est recommandé d’utiliser un mot de passe robuste pour accéder à sa messagerie électronique qui permet souvent de modifier les mots de passe des autres services en ligne. Mieux, il faut privilégier l’utilisation d’une méthode d’authentification multifacteur lorsque cela est disponible.
6- Choisir un mot de passe sans information personnelle
Un attaquant peut facilement “casser” le mot de passe si celui-ci est constitué pour tout ou partie par des informations de nature publique et/ou personnelles (nom, prénom, date de naissance, nom d’un animal domestique, ville de résidence, etc.), particulièrement celles visibles sur les réseaux sociaux. Il est donc recommandé de ne pas construire son mot de passe à partir d’informations personnelles comme les noms et prénoms ou encore la date de naissance. Par ailleurs, des comptes natifs (d’administration ou d’équipements connectés) possèdent généralement des mots de passe par défaut, consultables dans la documentation de l’éditeur de la solution ou sur Internet. Il convient donc de les modifier dès l’installation.
7- Modifier les mots de passe par défaut
En général, à l’inscription ou lors d’un abonnement à un service, un mot de passe par défaut relativement simple est proposé à l’utilisateur pour qu’il puisse le retenir facilement. Mais, ces mots de passe ne sont pas suffisamment sécurisés. Il est donc recommandé de modifier les mots de passe par défaut, le plus rapidement possible, par un mot de passe qui respecte, à minima, l’ensemble de ces recommandations ci-dessus.
En somme, le mot de passe s’apparente à une clé de porte. Pour être en sécurité, il ne suffit pas d’en avoir. Il faut savoir choisir un bon mot de passe, suffisamment robuste, le conserver dans un endroit sécurisé, le changer autant que possible selon la sensibilité du compte ( Voir Délai d’expiration des mots de passe) et à minima respecter l’ensemble des bons reflexes évoqués plus haut. Dans le cadre de l’usage du matériel informatique d’une entité privée tout comme publique, une politique de sécurité des mots de passe doit être mise en œuvre pour la gouvernance de la sécurité des systèmes d’information. Certains bons reflexes sont aussi à respecter dans le cas particulier de la sécurité sur Internet.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
- Recommandations relatives à l’authentification multifacteur et aux mots de passe, ANSSI
- Axes indispensables de la politique de sécurité des mots de passe
- Naviguer avec prudence et vigilance sur Internet
- Délai d’expiration des mots de passe
