Un nouveau mot de passe chaque année pour vous protéger

par Yassine Ghennai, team sécurité, Ci-UNIL et Christopher Greiner, conception et développement, Ci-UNIL

Pour faire face aux menaces croissantes qui pèsent sur le système d’information de l’UNIL, le Ci va vous demander de changer votre mot de passe chaque année : www.unil.ch/ci/pass.

© Ulvur - Fotolia
© Ulvur – Fotolia

Le changement de mot de passe, une mesure de sécurité essentielle parmi d’autres

Quand il s’agit de sécurité informatique, la solution miracle n’existe pas. Il faut sans cesse resserrer les boulons et rester à l’écoute des dernières tendances. Une politique de sécurité globale se met en place sur la durée.

Après avoir à nouveau renforcé des éléments d’infrastructures nous avons besoin de vous pour continuer à élever le niveau de sécurité du système d’information de l’UNIL. Nous avons constaté que de nombreuses personnes ne changent pas leur mot de passe de façon régulière, et utilisent même depuis des années un seul sésame peu sécurisé pour tous leurs comptes informatiques. Or l’époque où le piratage informatique était le fait d’espiègles adolescents boutonneux est révolue. Place au crime organisé et à la cyberguerre. Mais sans aller si loin le serveur de messagerie de l’UNIL subit chaque jour plus de 1’500 attaques qui visent à deviner un mot de passe valide ou tester un mot de passe volé, afin de commencer une campagne de spam qui utilisera notre infrastructure. Une fois piraté, votre compte peut aussi être utilisé pour pénétrer à l’intérieur du réseau de l’UNIL (vol de données, connexion à de multiples services ou serveurs, utilisation du VPN, …). Chaque année environ 50 comptes UNIL sont compromis et nécessitent un urgent changement de mot de passe.

L’heure est donc venue d’instaurer un changement de mot de passe annuel obligatoire pour mieux vous protéger. Cette simple mesure permet de compliquer la vie aux pirates, car elle :

  • lutte contre la réutilisation du même mot de passe sur plusieurs services (le fondateur de Facebook Marc Zuckerberg s’est récemment fait voler ses comptes Twitter et Instagram suite à une fuite sur le réseau social professionnel LinkedIn : il avait utilisé le même mot de passe faible partout !).
  • fait adhérer les sésames des utilisateurs UNIL aux derniers critères de sécurité.

Effet de bord souhaitable : cela limitera également au maximum le partage des comptes de personnes physiques. Pour mémoire l’accès au système d’information UNIL est personnel et donc le mot de passe ne doit pas être communiqué à un tiers, comme la charte affichée et acceptée lors de l’activation du compte UNIL le stipule (dans certains cas des poursuites pénales sont mêmes possibles).

Un exemple à ne pas suivre : un mot de passe faible en prime collé sur la machine. Conseil du CERN : « Votre mot de passe doit être traité de la même manière qu’une brosse à dents : vous ne le partagez pas et vous le changez régulièrement ! »
Un exemple à ne pas suivre : un mot de passe faible en prime collé sur la machine. Conseil du CERN : « Votre mot de passe doit être traité de la même manière qu’une brosse à dents : vous ne le partagez pas et vous le changez régulièrement ! »
© designer491 – Fotolia

Comment définir des mots de passe sûrs et comment s’en souvenir

Il est très important d’utiliser un mot de passe sûr et unique pour votre compte UNIL. Même les sites web des grands noms de l’informatique (LinkedIn, MySpace, Adobe, …) se font régulièrement pirater leurs bases de données qui contiennent souvent les noms d’utilisateur et mots de passe de leurs clients. Comme environ 75% des personnes utilisent le même mot de passe partout, cela signifie que presque trois quarts des adresses @unil.ch prises dans ces fuites sont en danger.

Idéalement il faut utiliser un mot de passe différent pour chaque service. Ainsi en cas de perte ou de vol le pirate ne pourra pas se connecter à tous vos comptes. En changeant rapidement le mot de passe compromis vous aurez minimisé les risques. @ Room 76 Photography - Fotolia
Idéalement il faut utiliser un mot de passe différent pour chaque service. Ainsi en cas de perte ou de vol le pirate ne pourra pas se connecter à tous vos comptes. En changeant rapidement le mot de passe compromis vous aurez minimisé les risques.
@ Room 76 Photography – Fotolia

L’idéal est de définir un mot de passe fort par service et de s’en souvenir. Cela implique d’avoir une excellente mémoire ou un truc qui permet de décliner un sésame racine selon une systématique. Mais avec le nombre toujours plus important de comptes que nous gérons tous, l’exercice devient difficile. Sachez qu’il existe une multitude de gestionnaires de mots de passe, des logiciels bien pratiques qui se synchronisent sur toutes vos machines. Ils vous aident à vous souvenir de vos sésames et à en définir de forts. Vous pourrez même vous contenter de ne mémoriser qu’un seul mot de passe, celui de votre coffre-fort numérique. Attention toutefois à ne pas oublier cette maîtresse clé : vous auriez alors perdu en une fois tous vos accès, car toutes ces applications cryptent fortement leurs données. 1Password est le gestionnaire de mots de passe le plus répandu à l’UNIL. Mais de nombreuses alternatives existent, citons par exemple KeePass, LastPass ou Password Safe. Sur Mac il ne faut pas oublier la basique mais tout à fait suffisante application Trousseaux d’accès, livrée avec le système depuis belle lurette. Si vous avez un compte iCloud vos sésames seront synchronisés sur vos Mac et autres iPhone ou iPad, simplement et gratuitement.

Avec la quantité de comptes différents que nous avons aujourd’hui un logiciel de gestion de mots de passe peut être très utile pour définir des sésames forts qui nous suivent partout. Ce n’est pas le choix qui manque, du Trousseaux d’accès livré avec macOS à 1Password, en passant par KeePass ou LastPass : il y en a pour tous les goûts, bourses ou plateformes.
Avec la quantité de comptes différents que nous avons aujourd’hui un logiciel de gestion de mots de passe peut être très utile pour définir des sésames forts qui nous suivent partout. Ce n’est pas le choix qui manque, du Trousseaux d’accès livré avec macOS à 1Password, en passant par KeePass ou LastPass : il y en a pour tous les goûts, bourses ou plateformes.

Plus d’un an pour migrer les comptes ouverts avant août 2016

Les utilisateurs de l’UNIL au bénéfice d’un compte informatique ouvert jusqu’en août 2016 pouvaient ne jamais changer de mot de passe. Nous allons étaler l’expiration de ces 30’000 mots de passe sur un plus d’un an : il n’est en effet pas question de risquer de bloquer toute l’UNIL le même jour, mais d’augmenter le niveau de sécurité de son système d’information. Nous commencerons dès octobre à envoyer chaque jour un centaine de courriers papiers pour annoncer l’expiration prochaine du mot de passe en raison de la mise en œuvre de la nouvelle politique. Nous commencerons par une semaine pilote destinée à affiner la procédure et évaluer l’impact sur notre help desk et nos usagers.

Des emails et l’AAI annoncent l’expiration prochaine du mot de passe

30 puis 7 jours avant l’expiration de votre sésame un email vous rappellera cette échéance (un message identique s’affichera à chaque authentification sur myUNIL, l’intranet ou tout service authentifié par notre standard SWITCHaai). Ce courriel contiendra des informations sur vous et votre compte pour prouver sa légitimité, notamment votre numéro de Campus card.

Aucun mail relatif à la gestion de votre compte UNIL ne contiendra de lien cliquable : à vous donc de taper le bon URL. Pourquoi ? Parce que nos messages ressembleraient ainsi trop aux mails de phishing qui contiennent de faux liens vous invitant à soi-disant vérifier ou renouveler votre compte. Le meilleur moyen de s’assurer que l’on tape son mot de passe sur le bon site web est de vérifier la validité du certificat : si un cadenas s’affiche devant l’URL et que le navigateur n’émet aucun avertissement vous ne courez en principe aucun risque. Pour en savoir plus lisez notre article Web : un S pour votre sécurité.

Comment changer son mot de passe, même expiré

Pour changer votre mot de passe, ouvrez votre navigateur et tapez www.unil.ch/ci/pass

Si vous avez trop tardé et que votre mot de passe a déjà expiré vous ne pourrez par exemple plus vous connecter sur la messagerie UNIL, ni imprimer sur PrintOffice et votre ordinateur vous signalera une foule d’erreurs d’authentification : pas de panique. Vous n’aurez même pas besoin d’appeler notre help desk, puisque votre sésame périmé vous permettra toujours de changer votre mot de passe.

Pour finir la procédure, redémarrer votre Mac, PC, smartphone, tablette ou autre périphérique connecté. La plupart des services vous demanderont simplement de rentrer votre nouveau mot de passe, et le tour sera joué.

Si vous rencontrez des problèmes, rendez-vous sur notre aide en ligne.
Pour les éventuels cas plus délicats n’hésitez pas à contacter notre helpdesk.

© Sashkin - Fotolia
© Sashkin – Fotolia

Notre nouvelle politique de mots de passe en questions

Pourquoi s’en prendrait-on à moi, pourquoi faire attention ? Je n’ai rien de bien intéressant à cacher…
Ce n’est pas parce que l’on n’a rien à cacher qu’il faut tout montrer. Les pirates ne cherchent pas forcément à avoir accès à vos données ou photos de vacances. Ils utilisent les identifiants volés sur nos infrastructures pour envoyer du spam par exemple. Lorsqu’un compte compromis est utilisé de la sorte, cela baisse la réputation de nos serveurs de messagerie. Un seul compte compromis peut perturber le fonctionnement de la messagerie de toute la communauté UNIL, puisqu’il est possible que temporairement des grandes messageries comme celles de Google ou de Microsoft considèrent tout mail @unil.ch comme du spam.

Pourquoi Google, Hotmail au Apple ne m’obligent pas à changer mon mot de passe chaque année ?
Malheureusement nous ne jouons pas dans la même cour que les géants de l’Internet. Ceux-ci disposent de moyens financiers et humains quasi illimités. Ils gèrent tout de A-Z, ont mis en place des systèmes comme l’authentification à deux facteurs, des mots de passe uniques par service, et le contrôle de connexion géographique. Ils peuvent donc vous envoyer des mails qui vous demandent si c’est bien vous qui vous êtes connecté mardi à 15h46 d’Eclépens avec un iPad nommé KingOfHackers. Notre système d’information n’est pas suffisamment intégré pour permettre la mise en place de ce genre de mécanismes. La question de la responsabilité légale se pose également : chez Google, Hotmail ou Apple si un compte est volé, cela relève de la responsabilité du client. A l’UNIL de nombreux utilisateurs travaillent avec des données potentiellement sensibles (recherche, données médicales, données privées, …), dont la fuite pourrait engager la responsabilité de l’institution, et non de la personne. Une nuance de taille.

Pourquoi se contenter d’un changement annuel ?
Tout est question d’équilibre. Plusieurs entreprises et quelques universités exigent un changement tous les 3 mois. Nous estimons que c’est trop et donc contre-productif. Ne pas imposer de changement du tout permet à des utilisateurs de ne jamais mettre à jour leurs mots de passe. Un changement annuel semble être un bon compromis entre l’efficacité de la mesure et la gêne occasionnée.

Mon mot de passe est suffisamment sûr pour être éternel !
Plus longtemps un mot de passe est utilisé, plus il a de chance d’être trouvé et plus il a de chances d’être utilisés sur plusieurs services. Nous l’utilisons partout, sur nos PC/Mac au travail, le stockons dans nos smartphones, il transite par Wi-Fi, on le tape sur la machine d’un ami ou sur l’ordinateur familial… les chances sont donc grandes qu’à un moment ou à un autre votre précieux sésame transite par une machine infectée qui s’empressera d’envoyer vos codes d’accès à un hacker.

Il existe sans doute des mesures moins contraignantes et plus efficaces !
Nous étudions la mise en place d’une authentification à deux facteurs (vous utilisez sans doute déjà ce type de système pour vous connecter sur le portail de votre banque). Mais l’hétérogénéité des systèmes déployés à l’UNIL rend la mise en place d’un tel système complexe, voire impossible à systématiser. Ajoutons qu’une telle solution n’est pas forcément plus légère qu’une simple changement régulier de mot de passe.

Qu’est-ce qui se fait ailleurs ?
Sur 9 universités et hautes écoles sondées il y a une année, 5 avaient mis en place cette mesure. Cette année les 2 écoles polytechniques suisses vont passer à un changement régulier et une autre université travaille à mettre une telle politique en place. Il s’agit donc d’un mouvement général dans le monde des hautes écoles suisses.