En cas de doute sur la sécurité d'un appareil de l'établissement, sur le contenu d'un courriel, sur un processus, un accès illégitime ou un comportement anormal sur votre poste de travail vous pouvez contacter le RSSI (Responsable de la Sécurité du Système d'Information) à l'adresse rssi@cnam.fr, l'assistance assistance@cnam.fr ou par téléphone au 01 40 27 23 42.

Comptes et mots de passe

Le mot de passe est le premier mécanisme de sécurité, il permet d'assurer la confidentialité des données. Associé à un nom d'utilisateur, il permet d'assurer l'authenticité de cet utilisateur.

Les mots de passe se volent de bien des manières, mettant ainsi en péril cette authentification.

Choisir un « bon mot de passe »

Un bon mot de passe :

  • est difficile à deviner par un humain
  • est difficile à trouver par une machine
  • est complexe, mais simple à retenir

Commençons par des contre-exemples.

azerty et 123456 ne sont donc pas des bons mots de passe. Le nom de mon âne Martin et la date de naissance de mon boa Charlie ne sont pas des bons mots de passe (d'autant moins si j'en parle sur les réseaux sociaux).

Les pirates utilisent des dictionnaires de mots de passe connus et des dictionnaires tout court pour les tester un à un. Même en France, good morning n'est donc pas un bon mot de passe non plus.

Les pirates cherchent aussi les variantes de mots connus comme Martin et m4rt!n.

Règles

  1. Les meilleurs mots de passe sont générés aléatoirement.
  2. Chaque mot de passe doit être unique.
  3. Un mot de passe est secret et doit le rester.

En 2023, un mot de passe doit contenir :

  • des lettres et des chiffres
  • des majuscules et des minuscules
  • au moins douze caractères

Il sera plus complexe en ajoutant les caractères spéciaux. Il sera plus complexe s'il fait plus de douze caractères. Et plus un mot de passe est complexe, plus il est robuste face aux attaques (par dictionnaire ou par force brute).

La CNIL propose un générateur de mots de passe robustes : Générer un mot de passe solide.

Plus d'explications sur la page vol de mots de passe, contre-mesures. Voir aussi ces dix bonnes pratiques pour gérer efficacement ses mots de passe.

Comptes

Le nom d'utilisateur (souvent appelé identifiant ou login) identifie l'utilisateur. Le mot de passe authentifie l'utilisateur : il prouve son identité.

Recommandations

  • Les comptes d'accès aux ordinateurs, applications métiers, etc., doivent être protégés par un « bon mot de passe ». Plus généralement, tout mot de passe doit être un « bon mot de passe ».
  • À chaque compte son mot de passe : un mot de passe ne doit jamais être réutilisé pour plusieurs comptes. Si l'un était compromis, ils le seraient tous.
  • On ne donne jamais son mot de passe, à personne, pas même à un service informatique, sous aucun prétexte : il est incessible, il doit rester secret.

Pour rester secret, le mot de passe ne doit être stocké « en clair » nulle part mais doit être chiffré.

Pour gérer ces nombreux de mots de passe, utiliser un gestionnaire de mots de passe. Un gestionnaire de mots passe stocke les mots de passe dans un conteneur, conteneur chiffré avec un « mot de passe père ». Il suffit alors de retenir ce mot de passe pour accéder aux autres. Par exemple, le logiciel KeePassXC est disponible sur plusieurs plates-formes (Android, iOS, Linux, macOS, Windows). Évidemment le fichier chiffré doit impérativement être soigneusement sauvegardé.

Attention

Le mot de passe « père » ne peut pas être perdu, les autres seraient alors irrécupérables.

Un gestionnaire de mots de passe comme KeePassXC propose la création de mots de passe robustes (aléatoires).

NB : ne pas utiliser ses identifiants et mots de passe sur une machine inconnue, prêtée, dans un cybercafé, etc. : en principe, on ne saisit de mot de passe que sur son propre matériel. Parfois, cette règle ne peut être respectée ; il faut alors changer les mots de passe saisis sur un équipement douteux dès que possible (depuis une machine de confiance).

Attention

Dès qu'on a commencé à utiliser un gestionnaire de mots de passe comme KeePassXC, s'y tenir scrupuleusement i.e. entretenir très soigneusement le contenu et le sauvegarder à chaque modification : ajout, suppression, changement, précision…

Le conteneur du gestionnaire de mots de passe ne peut pas être perdu lui non plus : il doit être sauvegardé.

NB : un document (fichier de tableur ou de traitement de textes), un carnet de notes ou une feuille volante ne sont évidemment pas des gestionnaires de mots de passe.

Pourquoi

Il s'agit d'assurer la confidentialité et l'intégrité des données en vérifiant l'authenticité de l'utilisateur.

En cas de compromission du mot de passe, les risques sont à plusieurs niveaux ; citons :

  • laissées sans protection, les données de l'utilisateur courent le risque d'être divulguées ;
  • le système et les données des autres utilisateurs courent aussi un risque si un utilisateur malintentionné a un accès au système.

Il s'agit donc de se protéger soi-même, mais aussi et surtout les autres et l'établissement. En effet, la compromission d'un seul compte peut avoir des effets dévastateurs en termes d'image, de confiance, allant parfois jusqu'à rendre totalement inutilisable son système d'information, la presse se fait régulièrement l'écho de telles catastrophes.

Mots de passe « par défaut »

De nombreux systèmes et équipements sont fournis avec un mot de passe par défaut pour un ou des comptes prééxistants (souvent des comptes d'administration qui plus est).

Bien évidemment, une des premières choses à faire avant la mise en service de ces systèmes et équipements est de changer ces mots de passe par défaut.

Authentification à plusieurs facteurs

On peut authentifier un individu avec :

  • ce qu'il sait (un mot de passe)
  • ce qu'il a (un fichier de clef, un jeton USB, un téléphone…)
  • ce qu'il est (empreintes digitales ou rétiniennes…)

Les mots de passe étant « faciles » à extorquer, on rencontre de plus en plus de systèmes à deux ou plusieurs facteurs. La solution basée sur des SMS a le mérite d'exister, mais n'est actuellement pas la meilleure, tant s'en faut.

Lorsque c'est possible, activer l'authentification à deux facteurs.

NB : en anglais, on parle de two-factors authentication, souvent abrégé en « 2FA » ou de multi-factors authentication, souvent abrégé en « MFA ».

Pour aller plus loin

Pour le cybermoi/s 2021, l'ANSSI, la CNIL et cybermalveillance.gouv.fr (entre autres) se sont mobilisés pour la sécurisation des mots de passe.

L'ANSSI et la CNIL proposent des recommandations relatives à l'authentification multifacteurs et aux mots de passe. La CNIL détaille les enjeux, le contexte, les risques et décline ces recommandations.

L'ANSSI explique comment calculer la force d'un mot de passe.

Régulièrement, des études sur la qualité des mots de passe sont publiées. Par exemple, fin 2022, NordPass a publié les mots de passe les plus populaires en français. NB : ces mots de passe sont donc les pires, car ils sont courants : ce sont les premiers testés par les pirates.


Dernière mise à jour : 5 juin 2024