Nouvelle politique de mot de passe à l’UNIL

par Yassine Ghennai, team sécurité, Ci-UNIL

Dans un souci d’amélioration de la sécurité informatique, dès cet été, nous vous demanderons de changer plus systématiquement le mot de passe de votre compte UNIL.

© kunertus - Fotolia
© kunertus – Fotolia

Il ne se passe pas une semaine sans que des attaques informatiques de toutes sortes soient reportées dans la presse. Les techniques deviennent de plus en plus sournoises et toujours plus sophistiquées. Malgré nos efforts et les outils déjà mis en place, vous avez sûrement déjà reçu quelques emails de phishing ou encore d’autres messages affublés d’une étrange pièce jointe. N’ouvrez jamais ce type de documents attachés sous peine d’infecter votre machine, qui n’affichera ensuite par exemple plus le site de votre banque, mais une contrefaçon destinée à subtiliser votre mot de passe.

Si vous avez affaire à un ransomware, toutes vos données seront cryptées et donc inaccessibles sans un mot de passe inconnu : dans ce cas inutile de verser de l’argent au pirate, seule une sauvegarde peut vous sauver (si vous êtes membre du personnel UNIL, vérifiez que CrashPlan soit bien installé sur votre ordinateur).

En réaction à ces menaces, la plupart des sites web que vous visitez sont passés du protocole http au sécurisé https (Google, Wikipedia, Yahoo, …). Le but est notamment de rendre la contrefaçon plus difficile : un site accessible via https est associé à un certificat délivré par une autorité de régulation qui atteste que vous visitez bien Google, votre banque et non une copie destinée à vous soutirez des informations ou de l’argent. A l’instar des grands du web, nous devons nous aussi monter notre garde.

En auscultant la robustesse des mots de passe associés au compte UNIL, nous avons été surpris de découvrir qu’environ 550 personnes n’avaient pas changé leur sésame depuis plus de 10 ans ! Nous devons donc agir pour supprimer cette vulnérabilité.

Cet été, un changement important nous attend. Une nouvelle politique de mot de passe va être mise en place. Il ne sera plus possible de conserver le même mot de passe pour votre compte durant toute votre carrière à l’UNIL, que vous soyez étudiant ou employé.

Dans un souci d’amélioration constant de la sécurité nous allons donc vous demander, à l’avenir, de changer plus systématiquement vos mots de passe. Nous allons mettre sur pieds un groupe pilote afin d’apprécier l’impact d’une telle mesure. Le but est de minimiser la gêne occasionnée, tout en élevant le niveau de sécurité. Il est toujours délicat de placer judicieusement le curseur entre sécurité et praticité, mais ce groupe pilote devrait nous aider à bien viser. Nous avons également été voir ce qui se faisait dans les autres universités suisses afin de mettre en place des mesures qui ont fait leurs preuves.

Un article plus complet paraitra cet été pour vous informer sur la démarche et les actions que vous devrez entreprendre pour nous aider à protéger l’UNIL des pirates informatiques. Sachez par exemple que lorsqu’un membre de l’UNIL se fait voler son mot de passe, typiquement à l’aide d’un mail de phishing, son compte se met à envoyer du spam en masse. Conséquence : Gmail, Microsoft & co mettent toutes les adresses email UNIL sur une liste noire et filtrent du coup tous les mails envoyés par des adresses UNIL ! Nous devons alors contacter toutes ces entreprises pour leur demander de nous retirer de leurs listes noires. Un seul compte compromis peut donc poser problème à toute l’institution…

En savoir plus :