Maintenant que l’authentification à deux facteurs (2FA) a été mise en place pour plus de 42 000 comptes du CERN, primaires ou secondaires, il ne reste plus qu’une étape à franchir pour que le CERN soit entièrement conforme aux recommandations de l’audit réalisé en 2023 sur la cybersécurité au CERN. Afin de s’adapter aux normes en matière de cybersécurité, la longueur minimale des mots de passe et les règles relatives à leur complexité vont changer. Ne vous inquiétez pas, ces changements vous faciliteront la vie. Vous devrez juste faire preuve d’imagination si votre mot de passe actuel n’est pas conforme aux normes actuelles.
Jusqu’à récemment, les règles relatives aux mots de passe au CERN reposaient sur un ensemble de critères de complexité devenus obsolètes : un mélange de lettres majuscules et minuscules, de chiffres et de symboles qui rendait les mots de passe difficiles à mémoriser. Conséquence : ils étaient souvent oubliés. De plus, certains choix étaient devenus prévisibles, comme le fait de remplacer un « E » par un « 3 », un « S » par un « 5 », d’inclure une année, ou bien d’avoir un « ! » à la fin du mot de passe(1). Ces règles ont désormais changé.
Conformément à la norme NIST 800-63b, les Règles informatiques du CERN ont supprimé les exigences de complexité relatives à la nécessité d’inclure une majuscule, un chiffre et un caractère spécial au profit de l’exigence d’avoir une longueur minimale de 15 caractères. Avec ce nouveau format, qui suit la tendance générale dans le monde, les mots de passe du CERN ne seront plus aussi faciles à deviner. Ils deviendront ce que l’on appelle des « phrases de passe », c’est-à-dire une combinaison de mots choisis au hasard et formant une phrase(2). Longueur ne rime plus avec difficulté de mémorisation, au contraire. Vous pouvez par exemple choisir les premières paroles du refrain de votre chanson préférée (« Ne vous déplaise en dansant la Javanaise »), les vers de votre poème préféré (« Fais de ta vie un rêve [et d’un rêve, une réalité] », en supprimant éventuellement les virgules), votre citation préférée (« Seules deux choses sont infinies : [l’Univers et la bêtise humaine. Mais en ce qui concerne l’Univers, je n’en ai pas encore acquis la certitude absolue] », ou encore « J’ai testé toutes les langues ; [j’ai une faiblesse pour le français] »). À défaut, tapez « simplement » deux fois votre mot de passe actuel. Faites preuve de créativité, car cette phrase de passe pourrait demeurer la même pour le restant de vos jours (sauf si les normes changent de nouveau).
Bien que les nouvelles règles relatives aux mots de passe aient déjà été appliquées aux nouveaux comptes informatiques du CERN, tous les mots de passe existants reliés à des comptes primaires, secondaires, ou de service, ainsi que tout autre compte CERN (bases de données, comptes invités ou comptes locaux comme ceux associés à LHC@Home ou Zenodo par exemple) devront également être modifiées. Tout nouveau mot de passe sera toutefois vérifié afin d’éviter les combinaisons trop simples ou faciles à deviner (telles que « AAA-AAA-AAA-AAA-AAA ») et sera comparé à une liste de mots de passe déjà compromis(3). En réalité, la vérification des mots de passe compromis a déjà été mise en place il y a un certain temps, lors de l’introduction de la protection 2FA dans le système d’authentification unique (SSO) du CERN. Cette mesure a permis de supprimer l’obligation de changer les mots de passe chaque année.
Si votre mot de passe n’est pas conforme ou a été compromis, le système d’authentification unique du CERN vous en informera une fois que vous serez connecté et vous proposera de le modifier à votre convenance. Si vous êtes occupés, vous aurez la possibilité de le modifier ultérieurement, mais à un moment donné, il faudra le changer. Nous vous invitons donc à commencer à réfléchir, dès 2026, à un bon mot de passe à la fois facile à mémoriser, sûr et difficile à deviner afin de mieux protéger les comptes informatiques du CERN.
(1) Vous voulez créer le mot de passe le plus sécurisé du monde ? Essayez le jeu suivant : https://neal.fun/password-game/.
(2) Des clés d’accès sont également prévues, dès que notre système de gestion des identités pourra facilement les intégrer.
(3) Les mots de passe compromis sont des mots de passe qui ont été exposés dans le cadre d’une violation de données impliquant des mots de passe ou d’autres informations à caractère personnel. Ils sont considérés comme étant publics et ne doivent sous aucun prétexte être utilisés dans un contexte de sécurité informatique.
________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.