Sécurité informatique : ne copiez-collez pas les mots de passe
Qu'est-ce que les cheveux, les parapluies, les guerres et les mots de passe ont en commun ? Au fil du temps, on finit par les perdre.
Bien que le phénomène soit inévitable, nous pouvons au moins vous aider à en réduire l'impact pour ce qui concerne les mots de passe. Des millions de mots de passe sont volés ou perdus chaque année. En partie du fait d’utilisateurs inattentifs tombant dans le piège du « Phishing », où des personnes mal intentionnées demandent directement aux gens leurs mots de passe, et ceux-ci le donnent volontairement ; en partie du fait de sites web plus ou moins populaires qui ont été compromis et dont la base de données de mots de passe a été dérobée.
Par exemple, au cours des dernières années : eBay a demandé à ses 145 millions d'utilisateurs de changer leurs mots de passe ; LinkedIn a perdu 6,5 millions de mots de passe sous forme de « hash »* ; le piratage du service CERN HyperNews a rendu publics 4 745 « hashs » de mots de passe. Tout récemment, 860 000 noms d'utilisateurs, adresses électroniques et « hashs » de mots de passe ont été volés dans le forum MacRumors, et Adobe a perdu un dossier de 150 millions de combinaisons adresse e-mail - mot de passe. Aïe ! Au CERN, 746 personnes ont été informées que leur adresse e-mail du CERN avait été trouvée parmi ces combinaisons. Et il n'est pas improbable que certaines personnes aient utilisé un mot de passe similaire au CERN. En tout cas, c’est ce que pourraient laisser penser quelques indications mnémotechniques également dévoilées : « cern id », « nice pw dec 2011 » et « wie edh », mais aussi « us the year of LHC startup ».
Donc relevez ce petit défi. Nous sommes des gens créatifs ! Les bons praticiens de la sécurité utilisent des mots de passe complexes et différents pour chaque site. Un bon mot de passe doit être privé (utilisé et connu par une seule personne) ; secret (il ne doit pas apparaître en clair dans un fichier ou un programme, ou sur un morceau de papier accroché sur l'écran) ; facile à retenir (donc pas besoin de l'écrire) ; au moins 8 caractères avec un mélange d'au moins trois des éléments suivants : lettres majuscules, lettres minuscules, chiffres et symboles. Il ne doit pas être inscrit dans un dictionnaire d'une langue majeure ; ni facile à deviner par un programme dans un délai raisonnable, par exemple moins d'une semaine.
Un bon mot de passe est une œuvre d'art. Voici quelques conseils pour vous aider à choisir de bons mots de passe :
• Choisissez un ou deux vers d'une chanson ou d'un poème, et utilisez la première lettre de chaque mot. Par exemple, « Maître Corbeau sur un arbre perché / Tenait en son bec un fromage » devient « MCsuap/Tesbuf ». Les formules mathématiques fonctionnent également bien : « a**2+sqr(b)==c^2 ».
• Utilisez un mot de passe long comme par exemple « /TenaitEnSonBecUnFromage » .
• Alternez entre une consonne et une ou deux voyelles en mélangeant majuscules et minuscules. Ceci permet d'obtenir des mots absurdes qui sont habituellement prononçables, et donc facile à retenir. Par exemple : « Weze-Xupe » ou « DediNida3 ».
• Choisissez deux mots courts (ou un long que vous fractionnez) et réunissez-les avec un ou plusieurs signes de ponctuation. Par exemple : « dogs+F18 » ou « comP!!Uter ».
Rappelez-vous qu’un mot de passe est comme une brosse à dents : une brosse à dents, vous ne la partagez pas et vous la changez régulièrement. La même chose est valable pour votre mot de passe. Ni vos collègues, ni votre superviseur, ni le ServiceDesk ou l'équipe de sécurité informatique n’ont de raison valable de le demander. Ils ne doivent pas le faire et ne le feront jamais. La même chose est valable pour toute entreprise extérieure : UBS, Paypal, Amazon, Facebook, Google ne vous demanderont jamais votre mot de passe ! Votre mot de passe est à vous et à vous seulement.
Si vous avez encore du mal à vous rappeler tous vos mots de passe, utilisez un de ces gestionnaires de mots de passe : KeePass ou Password Safe (mais il faut noter que l'utilisation est à vos propres risques. Ni l'équipe de sécurité du CERN, ni le département informatique ne supportent ces outils). Par contre, évitez d'utiliser le stockage de mots de passe proposé par votre navigateur, par exemple Chrome, Firefox ou Internet Explorer, car les mots de passe ne sont pas toujours stockés de manière sécurisée (voir à ce sujet notre article du Bulletin « Ne laissez pas Chrome exposer vos mots de passe »). En particulier, si vous perdez votre appareil, vous pouvez ainsi donner l'accès à vos sites web préférés ! Une autre bonne raison de re-saisir à chaque fois votre mot de passe, surtout sur les smartphones, c'est qu'un mot de passe codé en dur pourrait terminer dans les sauvegardes de l'appareil --- stockées quelque part dans le nuage (« Sauvegardés et disparus... »).
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
* Un « hash» est le résultat d'une fonction mathématique à sens unique comme MD5 ou SHA. Le calcul du « hash » d'un mot de passe est facile ; l'inverse est censé être difficile. Quand vous vous connectez, la valeur de « hash » est calculée à partir de votre mot de passe et comparée à ce qui est stocké par le service Web que vous souhaitez utiliser. Cependant, si un pirate s'empare de cette liste de « hashs », il peut utiliser des « rainbow tables », c’est-à-dire des « hashs » pré-calculés pour une grande variété de mots de passe produits à partir de dictionnaires communs, en espérant que des entrées de ces « hashs » pré-calculés correspondront à celles de la liste volée. Pour parer à cette éventualité, des données aléatoires sont maintenant ajoutées aux « hashs » de façon à faire exploser la taille des rainbow tables.