Accueil      Que faire si..     Charte      Archives des messages dans les infos internes Conseils aux utilisateurs      Conseils aux administrateurs      Divers textes

En tant que responsables de la sécurité des systèmes d'information de l'ENS, nous avons dû traiter récemment plusieurs incidents heureusement restés mineurs liés à l'utilisation de mots de passe de piètre qualité.

Les identifiants de connexion (login/mot de passe) servent à protéger l'accès à vos comptes informatiques, que ceux-ci soit utilisés pour stocker vos données, gérer votre courrier électronique ou autre. Un mot de passe de mauvaise qualité risque d'être découvert facilement par des méthodes essais-erreurs (force brute). Des idées pour construire un mot de passe sûr sont disponibles ICI.

Nous entendons souvent   Je n'ai rien de secret, je n'ai rien à cacher

Certes, mais en êtes-vous si sûr?

A une époque où les achats en lignes, la gestion de son compte bancaire via internet sont devenus chose courante, des informations personnelles, nécessitant une certaine confidentialité ne sont-elles pas présentes dans vos courriers électroniques, dans vos fichiers, ne serait-ce que vos identifiants de connexion... N'avez-vous jamais appuyé sur le bouton "Mot de passe oublié" et gardé précieusement le courrier reçu, courrier aide-mémoire?

Si l'on considère les données professionnelles, comme les contrats, articles scientifiques en cours de rédaction, cours, notes,... peuvent-elles être consultées par n'importe qui sans restriction? Et que dire de la divulgation de données nominatives, qui si les précautions nécessaires pour les protéger n'ont pas été prises, peuvent être source de lourdes amendes, voire de prison.

Etes-vous toujours aussi sûr que vous n'avez pas quelques informations à protéger?

Un délinquant obtenant un accès à votre compte peut exploiter les ressources disponibles pour réaliser différentes choses répréhensibles avec des conséquences pour vous mais aussi pour l'ensemble des utilisateurs de l'ENS.

On peut citer par exemple:

  • utiliser le compte usurpé pour envoyer des spams qui éventuellement peuvent être de type phishing (hameçonnage destiné à vous convaincre de réaliser une action peu raisonnable: communiquer vos données bancaires ou autres). Cela a comme conséquence que l'adresse ENS.FR est référencée dans des listes noires de sites émetteurs de spams. Les courriels légitimes envoyés depuis l'ENS sont alors considérés comme du spam par certains fournisseurs d'accès, et vos destinataires peuvent alors ne pas recevoir le message important que vous leur avez transmis. L'envoi de spams s'est produit trois fois en juin-juillet 2009 suite à des usurpations de compte.
  • utiliser le compte pour lancer des attaques vers d'autres machines de l'internet. Pour la victime, l'attaque est vue venant de l'ENS. Outre les plaintes qui peuvent être déposées, cela entache l'image de l'ENS.
  • installer un service internet sur le compte, comme un serveur de fichiers destinés à échanger des données illégales (films ou musiques piratés, pédophilie, nazisme,...). On est d'autant plus attractif que l'on a de bonnes connexions vers Internet!

Il est donc important d'avoir de bons mots de passe PARTOUT, même là où vous pensez n'avoir RIEN d'important.

Il est important de ne pas mettre le même mot de passe partout Un mot de passe identique pour sa banque et son accès au jeu XYZ, ce n'est pas raisonnable! D'autant qu'il y a des techniques informatiques permettant d'intercepter les mots de passe, on parle alors de "vols de mots de passe".

Il est important de ne pas stocker ces mots de passe dans un fichier sans protection. Par exemple que se passe-t-il si votre machine portable est volée?

Il est important de ne jamais donner son mot de passe sur un site Web dont vous avez eu l'adresse par exemple dans un mail simulant une demande de votre banque, de E-Bay, de la sécurité sociale, des impôts, etc. Dans les derniers en date, il y en a même un qui vous invite à communiquer vos coordonnées bancaires pour vous faire rembourser les frais de votre dernière mission. Ce sont tous des faux.

Il est important d'être extrêmement prudent quand vous vous connectez depuis un lieu peu sûr (cybercafé, wifi public,...). Il existe des outils qui capturent les identifiants de connexion dès leurs frappes au clavier. De même, il faut veiller à ce qu'un virus ou un logiciel espion ne soit pas présent sur votre machine. En cas de doute, n'hésitez pas à changer votre mot de passe.


Les Responsables Sécurité des Systèmes d'Informations de l'ENS <rssi[arobase]ens[point]fr>