SSI – Les mots de passe en entreprise

Aujourd’hui, nous allons inaugurer une sous catégorie du blog basée sur la Sécurité des Système d’Information.

Pour commencer dans ce domaine, je vais aborder un point plutôt simple à comprendre pour tous, les mots de passes.

Dans votre entreprise, vous devez surement avoir un règlement intérieur qui stipule que votre mot de passe est personnel, confidentiel et complexe.

C’est le genre de phrase que tout le monde connaît par cœur mais voyons ce qui se cache derrière.

Personnel

Cela signifie qu’il vous est propre, ce n’est pas un mot de passe identique pour tous les personnels d’un même service ou de l’entreprise.

Confidentiel

Plutôt simple à comprendre mais c’est un point crucial, ce mot de passe ne doit être connu que de vous.

En cas de départ en vacances

Généralité:

Si vous devez vous absentez (départ en vacances, maladie) l’employeur n’a pas a vous demandez votre mot de passe.
En effet, l’administrateur du réseau informatique possède une sorte de passe qui lui permet se connecter et d’avoir des droits supérieurs aux vôtres.

Exemple:
Vous avez sur votre ordinateur le fichier inscription.odt qui contient la feuille à remettre aux personnes désirant s’inscrire dans votre établissement. Malheureusement vous êtes en vacances et vous n’avez pas copié ce fichier sur le serveur.

Solution:
L’administrateur se connecte sur votre poste avec ses identifiants “Administrateur” et recopie ce fichier sur le réseau. Nullement besoin de votre mot de passe de session.

Cas particulier:

Par contre, s’il est impossible pour l’administrateur d’avoir accès aux informations qui nécessitent votre mot de passe, l’employeur peut vous le demandez (et vous devez le fournir).

Exemple:
Seul votre compte permet de gérer l’accès à certains services, malheureusement vous êtes malade et il faut donner vos droits à la personne qui vous remplace.

Solution:
L’administrateur vous appelle, et vous demande votre mot de passe. Vous lui fournissez par téléphone ou courrier avec accusé de réception. Il se connecte sous votre session, donne les droits pour la personne qui vous remplace et se déconnecte. Idéalement, il change votre de passe tout de suite après (vous en mettant un générique connu de lui seul, de manière à ce qu’à votre retour vous puissiez le changer directement) afin d’éviter que quelqu’un n’ait pu entendre, lire ou avoir vent de votre passe ne se connecte en se faisant passer pour vous.

Sources: CNIL et Legifrance

Complexe

La complexité d’un mot de passe est quelque chose de primordial, encore plus en entreprise.

Il est fort probable qu’au sein de votre entreprise vous vous connectiez avec un identifiant sous forme de prenom.nom ou p.nom .

En soit c’est plutôt logique, pour vous c‘est plus simple à retenir, pour l’administrateur ça permet d’identifier facilement la personne derrière un compte.

Malheureusement, ça veut aussi dire que si quelqu’un souhaite voler votre identité, il connaît déjà un des deux identifiants de connexions, il ne lui reste donc plus qu’à trouver votre mot de passe.

Le but n’est pas de créer un mot de passe inviolable, chose théoriquement impossible, mais d’augmenter la difficulté pour autrui de le deviner facilement.

Les erreurs habituelles

Plutôt que de faire un petit pavé, je vous poste une petite vidéo trouvée par mon Chef qui résume très bien les méthodes pour trouver/deviner un mot de passe.

Créer un mot de passe complexe

Le plus simple est d’utiliser un modèle. En effet quand vous devez choisir un mot de passe  sur un site internet, il y a des outils de disponibles (conseiller hors environnement pro) tel que LastPass Keepass (qui va entre autres sauvegarder le mot de passe pour vous = plus besoin de le mémoriser =  mettre un mot de passe super long).

Attention toutefois, il faut utiliser un mot de passe assez complexe pour ne pas que quelqu’un le devine facilement, mais assez simple pour s’en rappeler.

Quelques idées de modèles

Exemple 1:

Prenez le nom d’un film, livre, ou quelque chose qui vous plaît. Ici prennons le film : Ghost In The Shell (abrégé GitS)
Une année importante pour vous. Ici : 1984
Le nom du service sur lequel vous souhaitez vous connecter : Intranet

Mixer le tout : GitS1984Intranet

Exemple 2:

Utilisez une phrase que l’on connaît par cœur (typiquement une phrase de poème, compte, etc.) et ne retenir que les majuscules. Changer aussi certains caractères (les o deviennent 0, les i deviennent des 1, etc.) .

La phrase : L‘espoir est le premier pas vers la déception.
Les Majuscules à retenir : Leelppvld
Changement des caractères : L33lppvld

Pour vous faire une idée concernant la robustesse de votre mot de passe je vous invite à vous rendre sur le site de l’ANSSI.

4 Comments

  1. Roultabie

    23 novembre 2016 at 11 h 19 min

    Bon article, mais je reviendrai sur 3 points:

    1) Le cas particulier pour obtenir un mot de passe:
    Pour ce cas, l’administrateur système a les droits nécessaires pour donner l’accès au service au nouvel utilisateur. Je ne vois pas quel besoin il a de lui demander le mot de passe.

    Le seul cas ou je demande le mot de passe de l’utilisateur, c’est quand il rencontre un problème sur sa session, que je n’arrive pas à reproduire. À ce moment, je lui demande si il accepte que je me connecte avec ses identifiants pour que je vérifie. Ce n’est que la que je lui demande son mot de passe.

    2) La complexité:
    C’est le problème principal de tout sysadmin.
    Personnellement je ne conseilles pas les méthodes que tu propose, car c’est le meilleur moyen pour avoir des demandes récurrentes car les utilisateurs ont oubliés le mot de passe.

    Je préfère utiliser une méthode bien plus simple et que permet d’avoir des mots de passe forts:
    Utiliser une phrase longue que l’utilisateur connait par coeur (idem, poème, chanson, etc) et l’utiliser telle quelle comme mot de passe en conservant les espaces et la ponctuation. Comme ça il n’a pas à faire un travail de conversion et le retiendra très facilement.
    Aussi, ça décourage l’utilisateur qui essaye de regarder par dessus l’épaule pour connaitre le mot de passe.

    3) LastPass:
    Oh No ! Mais la c’est un choix personnel, je ne conseille pas à mes utilisateurs ce genre d’outils en environnement pro:
    1 – Ça fait un outil en plus à suivre en terme de mises à jour et failles de sécurité.
    2 – Une centralisation qui permet plus facilement d’accéder à toute une série de mots de passe (failles 0-day par exemple).

    • nucl3arsnake

      23 novembre 2016 at 11 h 30 min

      Ton point 1 je le voit à mon boulot où on n’a pas accès à la plateforme en question (on a pas besoin d’y avoir accès légalement donc pas d’accès), du coup quand le grand manitou qui avait les accès est parti avec sa mutation et n’a pas redonner les droits aux nouveaux arrivants bha, bernique 😉

      2: ici tu met une espace dans un mdp ça foire (la joie des différentes plateforme dev à différents moment, avec différentes technologies etc.).
      Après comme tu dit c’est toujours la galère pour les MdP.

      3: je parle de lastpass pour le perso, en pro de toute façon tu n’a pas accès aux installations :D.
      Dans le doute j’ai edit 😉

      • Roultabie

        23 novembre 2016 at 11 h 41 min

        Dans ce cas c’est ballot, effectivement, mais ça relève tout de même d’un cas particulier (vraiment pas de bol). Mais ça veut donc dire, qu’il n’y a pas possibilité d’administrer un outil dans un environnement d’entreprise ?

        Pour le mot de passe, effectivement, il faut pouvoir maitriser les env (j’ai au moins ça pour moi à mon poste 😉 ). Et pour les dev/boites qui imposent un pass avec des restrictions dans leur appli: au bûcher ! Je ne vois vraiment pas en quoi c’est un problème de laisser l’utilisateur mettre les caractères qu’ils veulent.

        • nucl3arsnake

          23 novembre 2016 at 12 h 41 min

          Oui c’est un cas particulier, pour ça que le titre c’est cas particulier 🙂
          Et là en l’occurence la seule possibilité c’était que celui qui avait encore les droits les refilent au nouveau et que le nouveau vire l’ancien (super sécurité).

          “e ne vois vraiment pas en quoi c’est un problème de laisser l’utilisateur mettre les caractères qu’ils veulent.” Genre les banques qui imposent tant de caractères, pas plus pas moins, forcément chiffres x).