Courant juin circulait sur le Web une rumeur faisant état du vol par un hacker de près de 6,5 millions de mots de passe d’utilisateurs du réseau social professionnel LinkedIn, sans toutefois que les identifiants soient déclarés dérobés. Un journaliste de ComputerWorld aurait confirmé la nouvelle car il aurait retrouvé son propre mot de passe sur une liste diffusée sur le site Web du pirate. Cette information se répand alors, qu’au même moment LinkedIn est accusé de récupérer les données des agendas de ses utilisateurs possesseurs d’Iphone et d’Ipad qui ont téléchargé et activé l’application fournie par le réseau social. Comme quoi personne n’est parfait !

Plus récemment, c’est Last.fm, un site britannique de recommandation musicale, qui annonçait mener une enquête interne sur de possibles fuites de mots de passe d’utilisateurs, « faisant suite à des pertes de mots de passe récemment constatées sur d’autres sites, et d’autres informations de ce type publiées sur le web ». On admirera la dilution de responsabilité opérée par l’auteur du message mais, en attendant, il semble utile de rappeler quelques règles de base sur l’utilisation des mots de passe.

Pourquoi ne pas suivre les règles de Google ?

Le célèbre portail Google, souvent accusé des pires complots, donne sur le lien :

« http://www.google.fr/goodtoknow/online-safety/passwords/ » quelques bonnes pratiques pour construire des mots de passe qui demeurent le « premier niveau de protection contre le piratage informatique ». Le site préconise de choisir un mot de passe sûr et différent pour chacun des comptes jugés importants (messagerie, compte bancaire en ligne), puis d’en changer régulièrement en les confectionnant selon la recette suivante :

  • Créer un mot long : la longueur rend toujours un assemblage de symboles connus difficile à deviner, une chaîne de 10 caractères (chiffres et lettres) a 4000 fois plus de possibilités de combinaison qu’un ensemble de 8 lettres.
  • Combiner lettres, chiffres et symboles : chiffres, symboles du clavier et lettres en minuscules et majuscules augmentent encore la difficulté à deviner ou à déchiffrer. Un mot de passe de huit caractères combinant ces caractéristiques présente six quatrillions de combinaisons possibles, soit 30 000 fois plus de possibilités qu’un mot de passe de même longueur écrit en lettres minuscules.
  • Mémoriser une expression originale : pour se rappeler des mots de passe on peut créer une expression très personnelle puis établir une règle de construction : mon frère Emile transmet trois messages codés en binaire par mois devient : MfEt3mCe01pM, en appliquant la règle « majuscule, minuscule, chiffre » ou d’autres variantes.
  • Mettre à jour et sécuriser les options de récupération : il faut veiller à ce que l’adresse e-mail de récupération de mot de passe – généralement une messagerie courante ou au contraire dormante – soit à jour pour récupérer sans soucis les e-mails de réinitialisation. Un numéro de téléphone permet aussi l’envoi des codes de réinitialisation sous SMS. La question « secrète » pour valider l’identité en cas d’oubli du mot de passe doit être vraiment personnelle pour être le seul à en connaître la réponse. Une réponse formulée de façon originale (forme, orthographe, casse) sécurisera encore plus le processus de récupération.
  • Dissimuler les mémos : interdits les post-it et les étiquettes collées sous le clavier, les fichiers mémo seront nommés de façon anodine, cachés dans le disque dur, ou dans une clé USB elle-même cachée, on peut aussi utiliser un gestionnaire de mots de passe de confiance.
  • Ajouter un niveau de sécurité supplémentaire : comme d’autres sociétés ou prestataires, Google propose une procédure de sécurité en deux étapes – avec usage du téléphone mobile, du nom d’utilisateur, du mot de passe – pour se connecter.

La complexité de l’entreprise

Le problème est sûrement plus compliqué à gérer dans l’univers de l’entreprise, surtout lorsqu’il existe plusieurs mots de passe pour ouvrir les postes de travail, les accès aux différentes applications métiers internes ou externalisées chez des fournisseurs ou des prestataires, ou encore pour effectuer les mises à jour des sites internet de l’entreprise localisés chez un hébergeur, etc. Le nombre de mots de passe à générer et à utiliser – en principe tous assez différents – devient rapidement un souci. Peu d’entreprises – surtout de tailles moyennes ou modestes – gèrent cet aspect de leur sécurité informatique de façon simple et efficace, surtout lorsque vient l’époque du renouvellement des précieux sésames ! Le recours au contrôle électronique (badge) ou à la biométrie (prise d’empreinte, reconnaissance faciale) n’est pas à la portée de toutes les entreprises mais, surtout, n’est pas à l’abri des défaillances humaines, notamment en termes de mise à jour des bases de données des accrédités.

On sait la difficulté que rencontrent beaucoup de personnes par rapport à ces nouvelles contraintes de la vie numérique mais il faut bien admettre que la gestion des mots de passe des personnels de l’entreprise est aussi un véritable casse-tête, lorsqu’il faut faire appliquer l’obligation de les changer puis… aller au secours des oublieux ou des négligents qui se retrouvent dans l’incapacité de travailler sur leur ordinateur. Une des solutions pour estomper ces difficultés et surtout diminuer les risques, consiste à mettre en place une vraie politique de gestion des codes et mots de passe utilisés en imposant, après négociation, une liste de « bonnes pratiques » applicables à tous les collaborateurs. Puis il faut distribuer les mots de passe ou proposer une procédure de création, avec des règles, via une interface utilisateur accessible sur le poste de travail qui indiquera en temps réel le niveau de sécurité de la chaîne de caractères proposée. Mais il faut également communiquer et expliquer aux salariés de tous niveaux le pourquoi de ces mesures qui sont parfois vécues comme des brimades. Sans dramatiser, il faut exposer les risques encourus et les dangers qui peuvent peser sur la vie même d’une entreprise qui ne prend pas au sérieux sa sécurité informatique et celle de ses locaux.

Le rôle de l’hébergeur

Comme dans toute politique de sécurité, l’hébergeur qui assure l’infogérance des moyens et applications informatiques de l’entreprise a un rôle de premier plan à jouer pour faire appliquer les règles et bonnes pratiques. Il doit d’abord être irréprochable lors de l’audit de sécurité physique et technique et ce, à chaque fois que l’exercice est réitéré. Un bon hébergeur informera ensuite ses clients de toutes les évolutions et mises à jour qu’il pratique tant sur le plan de la sécurité matérielle – protection périmétrique, alimentation électrique, redondance réseau – que logicielle – mise à jour, changements de codes, etc. Certification SSL, anti-virus, pare feu, politiques de sauvegarde et de recouvrement d’activité seront régulièrement passés en revue à l’initiative de l’hébergeur consciencieux qui doit mettre régulièrement en alerte ses clients pour lancer les procédures de mise à jour des bases de données d’autorisation, ou pour renouveler les mots de passe et les codes d’accès aux baies de stockage de données, aux serveurs et aux applications métier. Et rien ne l’empêche d’ailleurs de pousser son rôle de gardien de la sécurité jusqu’à informer ses clients qu’il est grand temps de renouveler leurs mots de passe internes.