View in

English

Sécurité info : faux concours de mots de passe sécurisés

Notre « concours du mot de passe le plus sécurisé » a été facilement repéré comme étant un poisson d'avril... Félicitations !

Bon. Apparemment notre « concours du mot de passe le plus sécurisé », annoncé dans le dernier numéro du Bulletin, a été facilement repéré comme étant un poisson d'avril... Félicitations à tous ceux et celles qui n'ont pas mordu à l'hameçon. J'espère que tous les autres sauront garder le sourire :) Nos excuses à ceux qui espéraient rencontrer des personnes possédant un mot de passe semblable au leur.

En fait, sécuriser son mot de passe est l’une des pierres angulaires de la sécurité au CERN (et ailleurs aussi). Rappelez-vous qu'à l'heure actuelle, votre mot de passe est, dans bien des cas, votre seule clé d'accès à un service informatique (ou, dans le cas du CERN, à tous les services informatiques via son portail d’authentification unique), et également votre seule protection. Perdre cette clé signifie exposer tous vos documents et toutes vos données. Si votre mot de passe CERN venait à tomber entre les mains d'une personne malveillante, cette dernière pourrait faire mauvais usage des ressources informatiques de l'Organisation, comme envoyer des pourriels dans le monde entier en utilisant votre adresse électronique, instancier des machines virtuelles dans le centre de calcul afin de générer illégalement de la crypto-monnaie, télécharger auprès de la bibliothèque du CERN des revues numériques auxquelles le Laboratoire a souscrit, espionner votre travail pour attaquer ensuite les services informatiques ou les systèmes de contrôle sur lesquels vous travaillez ou que vous gérez, ou encore se servir de votre ordinateur pour en pirater d'autres, au CERN ou ailleurs. Chez vous, perdre la protection de votre ordinateur peut mettre votre vie privée en danger en exposant votre profil Facebook, vos fils Twitter, vos messages Instagram, vos services bancaires en ligne, ainsi que vos photos et vidéos stockées dans votre ordinateur. En volant le mot de passe de votre ordinateur, les pirates peuvent en prendre totalement le contrôle et enregistrer ainsi tout ce que vous tapez sur votre clavier, vous observer à travers la webcam ou vous écouter grâce au microphone intégré.

C'est la raison pour laquelle un mot de passe est personnel et doit le rester. Le CERN ne garde pas en mémoire votre mot de passe, juste des fragments pêle-mêle sous forme d'une empreinte mathématique protégée correctement par des spécialistes de la gestion des identités du département IT. Le Service Desk et l'équipe en charge de la sécurité informatique ne connaissent pas votre mot de passe, et ne veulent pas le connaître. Il est donc inutile de le leur donner. S'ils ont besoin d'accéder à des ressources informatiques liées à votre compte, des procédures existent pour lesquelles votre mot de passe n'est pas nécessaire (voir les dispositions relatives à l'« Accès par des tiers aux comptes et aux données des utilisateurs » des Règles informatiques du CERN). De même, vous n'avez pas à divulguer votre mot de passe à des tiers, comme vos collègues ou votre superviseur. D'ailleurs, cela ne devrait jamais vous être demandé. Si le cas devait se présenter, contactez-nous pour nous en expliquer la raison et nous trouverons un moyen pour vous éviter de le faire. Souvenez-vous, tout comme pour votre brosse à dent, ne partagez votre mot de passe avec personne et changez-le régulièrement.

Personne ne doit pouvoir deviner votre mot de passe. Rendez-le compliqué en mélangeant des lettres, des symboles et des chiffres. Plus il est long, plus il est fiable. Pensez à des phrases, par exemple « Maître Corbeau, sur un arbre perché, tenait en son bec un fromage. », qui devient « MC,suap,tesbuf. » Ou bien, si vous avez un esprit mathématique, utilisez des formules comme « DeltaX*DeltaP>=h/2Pi » (pour les physiciens*) ou « a**2+b^2=sqr(c) » (pour les ingénieurs et les techniciens*). Dans tous les cas, ne réutilisez jamais vos mots de passe. Créez un mot de passe différent pour chaque service, par exemple un pour le CERN, un autre pour Facebook et, bien évidemment, un autre encore pour votre banque. Si vous avez de la difficulté à vous souvenir de tous vos mots de passe, utilisez un gestionnaire comme « Keepass », « Trousseau » de Apple ou même les gestionnaires de mots de passe intégrés dans Internet Explorer/Edge, Firefox, Safari (c.-à-d. « Trousseau » de Apple) et Chrome. Toutefois, en utilisant de telles applications, vous mettez en quelque sorte tous vos œufs dans le même panier. Il est peut-être préférable de créer plusieurs petits paniers pour différents usages.

N'oubliez pas que chez vous, c'est votre vie privée qui est en jeu. Au CERN, ce sont les activités et la réputation du Laboratoire. Cela vaut la peine de les protéger. Nous vous remercions de faire les efforts nécessaires !

 

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.

 

*Utilisez d'autres exemples, car ceux-ci ont déjà servi. Soyez créatif et inventez vos propres mots de passe.