L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique
Non, 123456789 n'est toujours pas un bon mot de passe
Le 24 mars 2015 à 09h45
14 min
Internet
Internet
La sécurité informatique est parfois trop prise à la légère par certains, avec toutes les conséquences désastreuses que cela peut avoir. Afin de limiter les dégâts et de prodiguer quelques conseils, l'ANSSI et la CGPME ont publié un guide des bonnes pratiques de la sécurité informatique. Une première approche intéressante, mais est-ce suffisant ?
Selon un rapport de l'éditeur GFI, l'année 2014 a été relativement épouvantable pour la sécurité informatique avec plus de 7 000 failles identifiées, contre un peu moins de 4 800 l'année précédente. Pour début 2015, la situation ne s'améliore pas vraiment avec, par exemple, Adobe, plusieurs banques (Carbanak), l'affaire Gemalto, Labio.fr, Lenovo et Microsoft qui ont été victimes de pirates informatiques aux cours des dernières semaines. Selon les cas, cela se traduit parfois par des vols de données, une demande de rançon et la publication d'informations confidentielles, telles que des bilans d'analyses médicales.
Face à cela, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a décidé de s'associer avec la Confédération générale des petites et moyennes entreprises la (CGPME) afin de proposer « un guide des bonnes pratiques de l'informatique ». L'agence rappelle en effet que, « quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité ».
Premières règles : un mot de passe robuste et des logiciels à jour
Premier élément abordé : l'incontournable mot de passe. Sur ce point, le guide recommande d'en choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ». Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter un piratage en série en cas de fuite. Mais l'ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».
Vient ensuite la mise à jour des logiciels... un point que nous avons souvent évoqué lors de l'annonce de failles sur les navigateurs, ou bien avec le cas particulier de SynoLocker. Pour rappel, des pirates exploitaient des failles sur une vieille version du Disk Station Manager (DSM) afin de prendre possession du NAS et chiffrer les données qui y étaient stockées. Ils demandaient alors une rançon afin de vous donner la clé de déchiffrement.
« Configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles » indique le guide. Problème : encore faut-il savoir qu'une mise à jour est disponible, ce qui n'est pas toujours évident pour tout le monde. On pourra par exemple citer le cas d'OpenSSL qui enchaine les versions à un rythme important ces derniers mois. De nombreux logiciels permettent par contre d'être avertis lors de la mise en ligne d'une nouvelle version, pensez à activer et vérifier ce genre de notification lorsque cela est possible.
Une fois la mise à jour ou le logiciel à télécharger identifié, il faudra privilégier le site officiel de l'éditeur ou bien « d’autres sites de confiance », mais sans plus de précision sur la définition d'un site de confiance, dommage. Il est également recommandé de « penser à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires ». Attention par contre car certains jouent avec les mots et/ou la présentation des options pour vous inciter à cliquer au mauvais endroit. N'allez pas trop vite et prenez le temps de bien lire ce qui est écrit avant de valider. Dernier exemple en date : uTorrent et son bouton accepter ou décliner l'offre qui en a trompé plus d'un. Certains ont en effet cliqué sur « Accepter » sans lire précisément de quoi il était question, pensant accepter des conditions générales d'utilisation, mais ce n'est pas le cas.
Du côté de la gestion des comptes, le guide recommande d'éviter autant que possible d'utiliser un compte administrateur lorsque cela n'est pas nécessaire, le but étant de limiter les possibilités des logiciels malveillants qui pourraient être téléchargés par inadvertance. Un compte utilisateur classique sera largement suffisamment pour la plupart des tâches courantes.
La question de la sauvegarde des données, du stockage en ligne et du chiffrement
Il est ensuite question des sauvegardes, un point parfois négligé et qui peut rapidement s'avérer catastrophique en cas de panne matérielle sur un ou plusieurs disques durs par exemple. On rappellera d'ailleurs qu'un RAID ajoute une tolérance de panne, mais ne doit pas être considéré comme solution de sauvegarde. Libre à vous de choisir la méthode qui vous convient le mieux (CD, DVD, disque dur externe, etc.), mais en prenant en compte la durée de vie du support utilisé.
De plus, l'ANSSI précise, à juste titre, qu'il faut de préférence stocker vos sauvegardes « à l’extérieur de l’entreprise pour éviter que la destruction des données d’origine ne s’accompagne de la destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou que la copie de sauvegarde ne soit volée en même temps que l’ordinateur contenant les données d’origine ». Le choix du lieu ne doit pas être pris à la légère pour éviter que les données ne soient volées par des pirates.
On s'étonne d'ailleurs qu'il ne soit pas question de chiffrement pour les sauvegardes. Ce point n'est en effet évoqué que pour les services de stockage en ligne. Si vous optez pour ce genre de solution, le guide met en garde contre certains risques : confidentialité, disponibilité et intégrité des données, « irréversibilité des contrats » et incertitude sur la localisation de vos fichiers. Sur ce point, HubiC se targue d'héberger ses données en France (voir notre entretien avec Octave Klaba), contrairement à Google Drive, Amazon, Dropbox, etc. Il est aussi possible de passer par un Cloud souverain, bien que la situation de ce dernier ne soit pas au beau fixe (voir notre dossier).
Le Wi-Fi : « à éviter dans le cadre de l’entreprise »
Vient ensuite la question du Wi-Fi, rapidement tranchée par le guide : « à éviter dans le cadre de l’entreprise ». Si vous souhaitez quand même en profiter, le WEP est à bannir absolument puisqu'un chiffrement de ce type peut être cassé en quelques minutes seulement (voir notre dossier sur le chiffrement). Il faudra donc lui préférer du WPA/WPA2 avec une clé suffisamment longue de « plus de 20 caractères de types différents ». Le guide précise également qu'il faut « vérifier la configuration des fonctions pare-feu/routeur », mais sans donner plus de détails malheureusement.
Afin d'assurer sa sécurité, le guide recommande de ne pas utiliser « les Wi-Fi « publics » (réseaux offerts dans les gares, les aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité ». En effet, ce genre de lieu est notamment propice à une attaque de type homme du milieu ou bien à la récupération d'information en scannant les données transmises. Le guide ne donne pas de solution de secours, mais la réponse pourrait être de passer par un routeur Wi-Fi 3G/4G permettant de disposer de sa propre connexion, et éventuellement de la partager avec ses collaborateurs. Une solution qui a certes un prix, mais qui peut éviter bien des déboires. À titre d'exemple, un forfait Nomad de Bouygues Telecom avec 6 Go de « Fair use » coûte 14,90 euros par mois.
Smartphones et ordinateurs : attentions aux applications et aux ports USB
On passe sur le mobile, avec une entrée en matière percutante de l'ANSSI et de la CGPME : « bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés ». « N’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer » recommande le guide.
En déplacement, il convient d'être prudent et d'éviter de faire n'importe quoi avec ses ports USB, entre autres, qui peuvent facilement être vecteurs d'infection d'un virus. Le guide donne un exemple parlant : « Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son ordiphone, Charles ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle très confidentielle de Charles ».
Sur les ordinateurs portables, le guide recommande l'utilisation d'un filtre de protection permettant de limiter les angles de visions, et ainsi les indiscrétions des tiers, d'y coller un signe distinctif (autocollant par exemple) afin d'éviter un échange de machine, de ne pas préenregistrer les mots de passe afin d'éviter toute mésaventure en cas de perte et de désactiver Wi-Fi et Bluetooth lorsqu'ils ne sont pas utilisés. Des consignes strictes que bon nombre de personnes ne respectent pas au quotidien. Une fois de retour de mission, le guide donne un bon conseil : « changez les mots de passe que vous avez utilisés pendant le voyage », on ne sait jamais.
La bonne vieille attaque par email : toujours se méfier du contenu d'une correspondance
Le guide s'attaque ensuite à un autre vecteur d'attaque important : les emails. Comme on a trop souvent tendance à l'oublier, il rappelle que « l’identité d’un expéditeur n’étant en rien garantie », il est conseillé de vérifier « la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité ». Bien évidemment, « n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts ». On se souvient par exemple du cas du compte Twitter du Monde.
Lors d'une transaction avec un site marchand, il faut également s'assurer que la connexion est bien sécurisée (généralement indiqué par un cadenas vert). Comme nous l'avons déjà évoqué, il faudra également éviter les « hot spots » Wi-Fi publics afin de ne pas subir d'attaques de type homme du milieu, comme avec FREAK. Dans le cas de Heartbleed par contre, il n'y avait pas grand-chose à faire à part différer son achat pour plus de sécurité.
BYOD : apportez votre machine personnelle, mais attention aux risques
Se pose ensuite l'épineuse question du « AVEC (Apportez Votre Équipement personnel de Communication) ou BYOD (Bring Your Own Device) », qui « est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel ». Le guide explique en effet que « si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur) ».
Pour l'ANSSI, « dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels »... ce qui est tout sauf évident lorsqu'on amène son propre ordinateur au travail et vice-versa. Côté smartphones, BlackBerry misait là-dessus avec BlackBerry OS 10, mais cela n'a pas permis à la société canadienne de sortir la tête de l'eau pour le moment.
La CNIL s'est d'ailleurs récemment penchée sur la question avec « une fiche des bonnes pratiques ». La commission des libertés rappelle que « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ».
Enfin, dernier point et pas des moindres : « prendre soin de ses informations personnelles, professionnelles et de son identité numérique ». Des pirates peuvent évidemment utiliser les données que vous semez derrière vous afin de tenter de déduire votre mot de passe, ou bien répondre à une question secrète permettant de le changer (prénom de votre mère, ville de naissance, etc.). Le guide recommande également l'utilisation de plusieurs adresses email dédiées à vos différentes activités : « une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux-concours…) ». Une solution peut être de passer par des alias.
Que faire lorsqu'il est trop tard ?
Dans sa dernière partie, le guide donne enfin quelques conseils lorsque votre machine a un « comportement étrange », pouvant laisser croire à un piratage : « déconnectez la machine du réseau, pour stopper l’attaque. En revanche, maintenez là sous tension et ne la redémarrez pas, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque ». Ensuite, prévenez le responsable informatique ou un prestataire compétent si besoin.
Selon le cas, le guide indique que vous pouvez évidemment déposer une plainte auprès de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication OCLCTIC), de la Brigade d’enquêtes sur les fraudes aux technologies de l’information ou de la Direction centrale du renseignement intérieur.
Par la suite, n'utilisez pas le système compromis, mais « réinstallez complètement le système d’exploitation à partir d’une version saine, supprimez tous les services inutiles, restaurez les données d’après une copie de sauvegarde non compromise, et changez tous les mots de passe du système d’information ». Là encore, l'opération de réinstallation devra être faite sous surveillance pour éviter toute recontamination. Il faudra également s'occuper de tous les périphériques de stockage qui ont pu être branchés sur la machine infectée.
Ces recommandations peuvent-elles remplacer des professionnels de la sécurité ?
Ce guide des bonnes pratiques de l’informatique est l'occasion de rappeler certaines règles de base, mais on regrettera tout de même qu'il n'aille parfois pas plus loin. De plus, il se targue de proposer des solutions « pratiques ; peu coûteuses et faciles à mettre en œuvre permettant de limiter une grande partie des risques liés à l’usage de l’informatique », tandis que Guillaume Poupard, directeur général de l'ANSSI, ajoute que les « mesures accessibles aux non-spécialistes décrites dans ce guide concourent à une protection globale de l’entreprise ».
On peut tout de même se demander s'il ne faudrait pas davantage insister sur la nécessité de généraliser le chiffrement des données, ou sur l'importance d'un service de sécurité informatique de qualité dans certains cas, notamment pour les sociétés disposant de données personnelles hautement confidentielles (données bancaires, analyses médicales, etc.).
Les récentes fuites d'informations en tous genres laisseraient plutôt à penser que si. Contrairement à une partie de ceux qui appliqueront ces règles, les pirates ont généralement une très bonne connaissance des arcanes des systèmes informatiques, de leurs protections et bien évidemment de leurs failles. À tel point d'ailleurs qu'il est extrêmement difficile, voire impossible, de prétendre à une sécurité absolue. Stéphane Richard, PDG d'Orange, avait essayé un temps en signant une charte afin de garantir la sécurité des données, avec le résultat que l'on connait. Idem pour les navigateurs qui tombent chaque année, pourtant dans leurs dernières versions stables.
- Télécharger le guide des bonnes pratiques de l'informatique
L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique
-
Premières règles : un mot de passe robuste et des logiciels à jour
-
La question de la sauvegarde des données, du stockage en ligne et du chiffrement
-
Le Wi-Fi : « à éviter dans le cadre de l’entreprise »
-
Smartphones et ordinateurs : attentions aux applications et aux ports USB
-
La bonne vieille attaque par email : toujours se méfier du contenu d'une correspondance
-
BYOD : apportez votre machine personnelle, mais attention aux risques
-
Que faire lorsqu'il est trop tard ?
-
Ces recommandations peuvent-elles remplacer des professionnels de la sécurité ?
Commentaires (44)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/03/2015 à 10h47
Oui, « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe », j’espère qu’ils se réfèrent à un tableur ou à un fichier texte.
Autrement, soit on les écrit sur papier (sécurité relative), soit effectivement Keepass et compagnie sont, selon moi, la meilleure solution : un mot de passe fort à retenir, tous les autres mots de passe sont générés aléatoirement.
Le 24/03/2015 à 10h55
Le 24/03/2015 à 11h05
Le gros avantage du générateur c’est qu’on n’hésite plus à changer de mdp régulièrement et à utiliser le maximum autorisé par le service.
Le 24/03/2015 à 11h06
Ou alors il faut utiliser un mot de passe variable en fonction du site.
Par exemple, on prend la première lettre d’une phrase à retenir : Nextinpact Est Le Meilleur Site Du Monde Entier. Cela donne nelmsdme. On y colle un chiffre et un caractère spécial à la fin comme 62!.
On rajoute au début du mot de passe les deux premières lettres en majuscules du site (NE pour nextinpact, FA pour facebook, GO pour google, …)
Pour NextINpact, le mot de passe donnerai NEnelmsdme62! et ainsi de suite.
Ca demande une gymnastique mentale mais c’est plus facile à retenir que des mots de passe générés aléatoirement. La sécurité est moindre mais meilleure qu’avec un mot de passe unique.
Le 24/03/2015 à 11h35
En partant du postulat qu’il n’y pas de sécurité parfaite, Keepass est selon moi très bien. Alors certes c’est un point de concentration. En revanche, le niveau de chiffrement (AES 256 bit) et le MDP long et complexe découragera n’importe qui. A moins que ce ne soit une organisation, mais dans ce cas là, en tant que particulier, j’ai pas les moyens de vraiment m’en protéger.
Deuxièmement, c’est pratique, je peux utiliser ma mémoire pour d’autres choses.
Que proposes-tu ?
Le 24/03/2015 à 12h01
Effectivement, je me fais la même remarque :
Comment concilier un mot de passe différent pour chaque site/service et ne pas utiliser de système de gestion des mots de passes ?
Je ne vois pas en quoi le carnet de note, le calepin ou autre feuilles à transporter apporte un supplément de sécurité (risque de perte). Ou alors il y a quelque chose que je n’ai pas compris.
Je veux bien, retenir une dizaine de mdp avec des solutions mémotechniques ça se fait, ça devient vite l’embrouille avec des mdp à changer régulièrement, mais au delà faudrait me proposer une solution, parce que mis à part keepass, dashlane et consort, je ne vois pas ce qui peut être fait de mieux actuellement.
Le 24/03/2015 à 12h40
Le 24/03/2015 à 12h45
Le 24/03/2015 à 12h46
Le 24/03/2015 à 12h53
Vu le nombre de petites entreprises informatiques qui installent des solutions low cost autant en matériel logicielles que de compétences sur le sujet… Je ne m inquiète pas sur la pérennité des mauvaises pratiques :
je ne compte pas le nombre de serveurs exchange collés sur une ip fixe d un FAI (au hazard : free) avec un modem par feu… Et une bête redirection de port en direct sur le serveur…
Cool pour monayer une passerelle mail française sur le marché noir :p car le susdit exchange est resté en rtm ou sp1 sans ru :cool:
Ce n est qu un exemple parmis tant d autres.
Edit : avec un user de l AD accessible via cet exchange car il est soit sans mot de passe ou soit un mdp genre admin ou @dm1n
Le 24/03/2015 à 12h56
On est bien d’accord. A chaque fois que je vois ça, je ne peux m’empêcher de penser soit au complot, soit à la méconnaissance d’une logique pourtant très simple.
Chaque fois ça me fait repenser au dessin d’XKCD dont tu parle. Et en effet, c’est tellement plus simple à mémoriser pour toi, humain, qui a associé dans sa tête les images sur les quelques mots sélectionnés.
Le lien ici puisque tu ne l’a pas mis " />
Le 24/03/2015 à 12h57
Le 24/03/2015 à 12h59
Le 24/03/2015 à 12h59
Le 24/03/2015 à 13h02
Le 24/03/2015 à 13h05
Le 24/03/2015 à 13h20
L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique
Un très bon guide totalement inapplicable pour la quasi totalité des gens.
Aujourd’hui, les seuls capables de mettre en oeuvre une (relative) sécurité informatique ce sont les sites/serveurs/éditeurs, et pas les utilisateurs.
On ne peut pas espérer que les utilisateurs retiennent des dizaines de passwords C0Wb0yS, ou qu’ils soient sans arrêt en mode hyper-vigilance paranoiaque.
Le 24/03/2015 à 13h20
Cela fait plusieurs commentaires où tu dégommes les solutions proposées sans proposer d’alternative. Je serais curieux de savoir comment tu gères tes mots de passe.
Le 24/03/2015 à 13h30
Le 24/03/2015 à 14h22
Merci :)
Le 24/03/2015 à 14h29
Le 24/03/2015 à 14h39
Alors, bonne pratique “une” : la sauvegarde et pas le mot de passe.
Le reste me laisse bien dubitatif, certes cela est majoritairement vrai (hormis les mises à jour, à faire surtout sur les frontaux, bastions : le reste chez M$ c’est la pour plomber votre poste … )
La sécurité est un leurre, pour masquer le fait que les technologies ont évoluées mais pas l’être humain dans ses comportements quotidiens …
Le 24/03/2015 à 15h43
J’ai fait quelques recherches sur Keepass. J’ai appris que ce dernier se basait sur le runtime .NET pour s’exécuter. Or, si l’appli est à priori robuste (bien nettoyée et vérifiée), il suffirai qu’une faille un tant soit peu sérieuse existe dans le runtime pour réduire à néant la sécurité du programme. De quoi réfléchir …
Le 24/03/2015 à 17h25
Le 24/03/2015 à 17h55
Merci à tous ceux qui ont évoqué Keepass, c’est installé ;-) Jusqu’à maintenant les mdp les moins sensibles étaient inscrits dans un fichier (en clair, oui m’dame ! Du coup, le vrai mdp, c’est le login), les autres dans un coin de mon cerveau. Et vu mon age, le clique sur “vous avez oublié votre mdp ?”, c’est au moins une fois par mois…
Il faudrait aussi passer par les armes ces vendeurs qui te demandent un mot de passe sur 26 caractères, dont trois spéciaux, et six chiffres dont la somme fait 12000. Le tout à renouveler toutes les semaines. Tout ça pour un site de vente de brosses à cheveu où tu n’iras que deux fois. Et qui finalement te renvoient ton super mdp pour confirmation … par mail.
Le 24/03/2015 à 19h09
“Votre mot de passe est : incorrect” … " />
Le 24/03/2015 à 19h12
Le Wi-Fi : « à éviter dans le cadre de l’entreprise »
Il est bien temps de le déconseiller dans le cadre pro, mais enfin, mieux vaut tard que jamais …" />
Le 25/03/2015 à 08h45
Oui enfin avec les PC portables/tablettes/smartphones et compagnie ça devient difficile de s’en passer dans certaines entreprises.
Là où je bosse c’était hors de question de mettre du Wifi il y a quelques années, mais maintenant le sujet revient sur la table, notamment pour le confort que ça apporte. Par exemple si 10 personnes font une réunion dans une salle où est actuellement câblé 1 port RJ45, c’est la guerre pour savoir qui va se brancher, et le pauvre avant-gardiste avec sa tablette wifi-only il sera sur la touche " />
Et l’ANSSI ils sont gentils mais certaines de leurs propositions sont inapplicables, beaucoup d’utilisateurs ne savent pas retenir un mot de passe un brin complexe, alors si c’est pour retrouvé un post-it sur le bureau avec le mot de passe écrit dessus ce n’est pas la peine.
Le 25/03/2015 à 19h21
Quel est le mot de passe le plus robuste et le plus facile à retenir ?
Π@$sW0Rd
Seloncertainessourcesprochesdudossier,l’expertdel’ANSSIvitdanslemondedesBisounours!
Vous avez 4 heures…
Le 30/03/2015 à 14h46
Pour ceux qui lisent les commentaire, je vais faire un peu de pub pour LastPass qui a autre approche.
Un grand nombre de paramètres [de sécurité et autres] possibles et une disponibilité online/multiplateforme.
(En partenariat avec Xmarks)
Le 24/03/2015 à 09h53
“Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d’éviter un piratage en série en cas de fuite. Mais l’ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».”
Je viens de regarder, j’ai 160 mots de passe dans ma base keepass.
Alors il faudrait peut-être en sortir que les services les plus sensibles mais bon c’est un investissement d’en apprendre une dizaine de différents et de plus de 12 caractères.
Le 24/03/2015 à 09h56
Le guide en question est dlable qqpart ? " />
Le 24/03/2015 à 09h57
Un lien vers ce guide de l’Anssi ?
Le 24/03/2015 à 09h59
Oui par ici, un lien a aussi été ajouté dans l’actu " />
Le 24/03/2015 à 10h04
Merci " />
Le 24/03/2015 à 10h04
Beaucoup de choses logiques.
Question “mots de passe”, pour les “trash sites”, j’utilise un mot de passe certes relativement complexe mais relativement générique. Dès que cela requiert un truc plus solide : mot de passe unique (je n’en ai pas tant que ça). Et rien de stocké sur mes navigateurs ni d’utilisation de “keepass”.
Le 24/03/2015 à 10h11
Je crois surtout qu’il faudrait penser à enterrer définitivement le mot de passe pour quelque chose de plus robuste. De plus en plus de services proposent la double authentification mais d’une, c’est rarement activé par défaut (ex: google), et de deux c’est très loin d’être généralisé.
Le 24/03/2015 à 10h14
Le 24/03/2015 à 10h15
« 12 caractères de type différent (…) et ne figurant pas dans le dictionnaire ».
« un mot de passe unique pour chaque service sensible ».
« ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».
Je crois que la quasi-totalité des problèmes de sécurité liés aux mots de passe est résumée dans ce paragraphe…
Le 24/03/2015 à 10h21
Le 24/03/2015 à 10h37
Le 24/03/2015 à 10h37
Les caractères “non présents” dans le dictionnaire ne sont pas DU TOUT un problème pour un ordinateur, mais présente énormément de contrainte pour les humains.
Or c’est bien nous qui utilisons ces MDP, pas des machines !
Encore une fois, plus un MDP est long, plus il est difficile de le cracker. Et pas besoin de rajouter des & “ ( @ et autres, qui ne gêne en rien les brute force.
Le comic strip d’XKCD sera toujours pertinent sur ce sujet (battery staple Horse etc…). Pour preuve je me souviens encore des mots utilisés.
Le 24/03/2015 à 10h37
« 12 caractères de type différent (…) et ne figurant pas dans le dictionnaire ».
Je suis un peu plus réaliste sur ce point, je préfère avoir une pass-phrase de 18-20 caractères (qui contiendra de toute façon des caractères spéciaux ‘ponctuation’ voire ‘accentués’) mais qui sera surtout bien plus facile à retenir…
Bon et après faut que les sites qui demandent un MDP acceptent les longs et les caractères spéciaux, des fois c’est pas le cas
Le 24/03/2015 à 10h43