Aujourd’hui, nous allons inaugurer une sous catégorie du blog basée sur la Sécurité des Système d’Information.
Pour commencer dans ce domaine, je vais aborder un point plutôt simple à comprendre pour tous, les mots de passes.
Dans votre entreprise, vous devez surement avoir un règlement intérieur qui stipule que votre mot de passe est personnel, confidentiel et complexe.
C’est le genre de phrase que tout le monde connaît par cœur mais voyons ce qui se cache derrière.
Cela signifie qu’il vous est propre, ce n’est pas un mot de passe identique pour tous les personnels d’un même service ou de l’entreprise.
Plutôt simple à comprendre mais c’est un point crucial, ce mot de passe ne doit être connu que de vous.
Si vous devez vous absentez (départ en vacances, maladie) l’employeur n’a pas a vous demandez votre mot de passe.
En effet, l’administrateur du réseau informatique possède une sorte de passe qui lui permet se connecter et d’avoir des droits supérieurs aux vôtres.
Exemple:
Vous avez sur votre ordinateur le fichier inscription.odt qui contient la feuille à remettre aux personnes désirant s’inscrire dans votre établissement. Malheureusement vous êtes en vacances et vous n’avez pas copié ce fichier sur le serveur.
Solution:
L’administrateur se connecte sur votre poste avec ses identifiants « Administrateur » et recopie ce fichier sur le réseau. Nullement besoin de votre mot de passe de session.
Par contre, s’il est impossible pour l’administrateur d’avoir accès aux informations qui nécessitent votre mot de passe, l’employeur peut vous le demandez (et vous devez le fournir).
Exemple:
Seul votre compte permet de gérer l’accès à certains services, malheureusement vous êtes malade et il faut donner vos droits à la personne qui vous remplace.
Solution:
L’administrateur vous appelle, et vous demande votre mot de passe. Vous lui fournissez par téléphone ou courrier avec accusé de réception. Il se connecte sous votre session, donne les droits pour la personne qui vous remplace et se déconnecte. Idéalement, il change votre de passe tout de suite après (vous en mettant un générique connu de lui seul, de manière à ce qu’à votre retour vous puissiez le changer directement) afin d’éviter que quelqu’un n’ait pu entendre, lire ou avoir vent de votre passe ne se connecte en se faisant passer pour vous.
Sources: CNIL et Legifrance
La complexité d’un mot de passe est quelque chose de primordial, encore plus en entreprise.
Il est fort probable qu’au sein de votre entreprise vous vous connectiez avec un identifiant sous forme de prenom.nom ou p.nom .
En soit c’est plutôt logique, pour vous c‘est plus simple à retenir, pour l’administrateur ça permet d’identifier facilement la personne derrière un compte.
Malheureusement, ça veut aussi dire que si quelqu’un souhaite voler votre identité, il connaît déjà un des deux identifiants de connexions, il ne lui reste donc plus qu’à trouver votre mot de passe.
Le but n’est pas de créer un mot de passe inviolable, chose théoriquement impossible, mais d’augmenter la difficulté pour autrui de le deviner facilement.
Plutôt que de faire un petit pavé, je vous poste une petite vidéo trouvée par mon Chef qui résume très bien les méthodes pour trouver/deviner un mot de passe.
Le plus simple est d’utiliser un modèle. En effet quand vous devez choisir un mot de passe sur un site internet, il y a des outils de disponibles (conseiller hors environnement pro) tel que LastPass Keepass (qui va entre autres sauvegarder le mot de passe pour vous = plus besoin de le mémoriser = mettre un mot de passe super long).
Attention toutefois, il faut utiliser un mot de passe assez complexe pour ne pas que quelqu’un le devine facilement, mais assez simple pour s’en rappeler.
Exemple 1:
Prenez le nom d’un film, livre, ou quelque chose qui vous plaît. Ici prennons le film : Ghost In The Shell (abrégé GitS)
Une année importante pour vous. Ici : 1984
Le nom du service sur lequel vous souhaitez vous connecter : Intranet
Mixer le tout : GitS1984Intranet
Exemple 2:
Utilisez une phrase que l’on connaît par cœur (typiquement une phrase de poème, compte, etc.) et ne retenir que les majuscules. Changer aussi certains caractères (les o deviennent 0, les i deviennent des 1, etc.) .
La phrase : L‘espoir est le premier pas vers la déception.
Les Majuscules à retenir : Leelppvld
Changement des caractères : L33lppvld
Pour vous faire une idée concernant la robustesse de votre mot de passe je vous invite à vous rendre sur le site de l’ANSSI.
4 Comments