{"id":364,"date":"2010-01-27T13:34:59","date_gmt":"2010-01-27T12:34:59","guid":{"rendered":"http:\/\/www.auditsi.eu\/?p=364"},"modified":"2011-09-21T23:27:27","modified_gmt":"2011-09-21T21:27:27","slug":"securite-informatique-les-mots-de-passe-passoires","status":"publish","type":"post","link":"https:\/\/www.auditsi.eu\/?p=364","title":{"rendered":"S\u00e9curit\u00e9 informatique : les mots de passe… passoires ?"},"content":{"rendered":"

L\u2019acc\u00e8s aux syst\u00e8mes informatiques, aux comptes bancaires, aux messageries \u00e9lectroniques est prot\u00e9g\u00e9 par des mots de passe. Prot\u00e9g\u00e9 ? Pas si s\u00fbr. En effet, les utilisateurs ont souvent tendance, par n\u00e9gligence, \u00e0 choisir des mots de passe ais\u00e9s \u00e0 m\u00e9moriser, courts et communs \u00e0 plusieurs comptes utilisateurs. De fait, la s\u00e9curit\u00e9 de leurs donn\u00e9es personnelles n\u2019est pas compl\u00e8tement garantie.<\/p>\n

La base de donn\u00e9es du site communautaire ROCKYOU aux Etats-Unis a \u00e9t\u00e9 pirat\u00e9e en d\u00e9cembre dernier et la liste des 32 millions de mots de passe utilisateurs a \u00e9t\u00e9 mise en ligne. La soci\u00e9t\u00e9 informatique Imperva a analys\u00e9 les mots de passe utilis\u00e9s par les internautes. Son rapport est \u00e9difiant. Le tableau ci-apr\u00e8s est le palmar\u00e8s des mots de passe les plus utilis\u00e9s par les sur le site ROCKYOU (rang\/mot de passe\/nombre d\u2019utilisateurs) :<\/p>\n

\u00a0\"palmares-mots-de-passe\" <\/span><\/p>\n

Utiliser de tels mots de passe revient \u00e0 cacher la clef de la porte d\u2019entr\u00e9e dans un pot de fleur.<\/p>\n

Quelle politique mettre en place pour s\u00e9curiser les mots de passe ?<\/strong><\/p>\n

Dans son approche des risques informatiques, l\u2019auditeur ne doit pas seulement s\u2019assurer que les acc\u00e8s syst\u00e8me sont prot\u00e9g\u00e9s par mot de passe mais que le niveau de protection offert par ces mots de passe est suffisant.<\/p>\n

Conseils en mati\u00e8re de conception de mots de passe :<\/em><\/p>\n

-Changer r\u00e9guli\u00e8rement les mots de passe,<\/p>\n

-Diff\u00e9rencier les mots de passe selon les services (compte bancaire, messagerie\u2026),<\/p>\n

-Un bon mot de passe est un mot de passe cach\u00e9 (ne pas l\u2019\u00e9crire sur un post-it coll\u00e9 \u00e0 son \u00e9cran d\u2019ordinateur\u2026),<\/p>\n

-Eviter les mots de passe d\u00e9signant des informations personnelles (nom du conjoint, date de naissance, \u00e2ge de son chien\u2026) et les mots de passe simples du type 12345, azerty, toto\u2026<\/p>\n

-Un mot de passe s\u00e9curis\u00e9 est compos\u00e9 d\u2019au moins 6-8 caract\u00e8res m\u00ealant lettres minuscules, majuscules, accentu\u00e9es, chiffres et caract\u00e8res sp\u00e9ciaux (^, @, #…).<\/p>\n

Conseils aux administrateurs syst\u00e8me :<\/em><\/p>\n

-D\u00e9finir une politique de s\u00e9curisation de l\u2019acc\u00e8s aux donn\u00e9es informatiques claire et pr\u00e9cise incluant la probl\u00e9matique de d\u00e9termination des mots de passe,<\/p>\n

-Sensibiliser les utilisateurs et v\u00e9rifier r\u00e9guli\u00e8rement que les consignes de s\u00e9curit\u00e9 sont appliqu\u00e9es,<\/p>\n

-Mettre en place un syst\u00e8me qui oblige l\u2019utilisateur \u00e0 changer r\u00e9guli\u00e8rement son ou ses mots de passe et \u00e0 d\u00e9terminer des mots de passe suffisamment s\u00fbrs tout en veillant \u00e0 ne pas disproportionner la politique de s\u00e9curit\u00e9 par rapport aux enjeux ; face \u00e0 une politique de s\u00e9curit\u00e9 trop contraignante, l\u2019utilisateur risque d\u2019adopter des comportements contre-productifs (par exemple, inscrire ses mots de passe dans son agenda).<\/p>\n

\"Share<\/a>