Project

General

Profile

Usage des mots de passe » History » Version 4

Herve Ballans, 24/09/2013 10:05

1 1 Herve Ballans
h1. Usage des mots de passe
2 1 Herve Ballans
3 1 Herve Ballans
h2. Règles de bon usage d'un mot de passe
4 1 Herve Ballans
5 1 Herve Ballans
Suite à la publication, ces dernières semaines, de plusieurs millions de condensats de mots de passe exfiltrés
6 1 Herve Ballans
de divers réseaux sociaux, le CERTA rappelle que des bonnes pratiques sont disponibles dans le document intitulé
7 1 Herve Ballans
Recommmandations de sécurité relatives aux mots de passe (DAT-NT-001/ANSSI/SDE), sur le site Internet de
8 1 Herve Ballans
l’ANSSI (section documentation). Elles comprennent notamment :
9 1 Herve Ballans
* la nécessité de *différencier les mots de passe utilisés sur des systèmes d’information professionnels et des sites web publics* (messagerie, réseaux sociaux, vente en ligne) ;
10 1 Herve Ballans
* le besoin d’ *utiliser un mot de passe complexe*, voire non rejouable (one time password) ;
11 1 Herve Ballans
* le besoin de *renouveler ces mots de passe avec une fréquence raisonnable* ;
12 1 Herve Ballans
* *ne pas configurer les logiciels pour se souvenir des mots de passe sensibles*.
13 1 Herve Ballans
Le document présente également des méthodes d’attaque sur mots de passe dictant ces recommandations.
14 1 Herve Ballans
Enfin, il est rappelé aux autorités administratives que l’annexe B3 du référentiel général de sécurité (RGS) fixe
15 1 Herve Ballans
l’ensemble des règles techniques à respecter en matière d’authentification.
16 1 Herve Ballans
17 1 Herve Ballans
Documentation :
18 1 Herve Ballans
– Recommandations de sécurité relatives aux mots de passe : http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf
19 1 Herve Ballans
20 1 Herve Ballans
Source : Bulletin CERTA du 8 juin 2012
21 2 Herve Ballans
22 2 Herve Ballans
h2. Vigilance sur le vol de mot de passe (hameçonnage ou phishing)
23 2 Herve Ballans
24 2 Herve Ballans
On nous signale une tentative de phishing via le message malveillant ci-dessous.
25 2 Herve Ballans
26 2 Herve Ballans
L’émetteur se fait passer pour l’assistance CNRS et demande de cliquer sur un lien qui amène à un site qui cherche à voler le mot de passe de l’utilisateur.
27 2 Herve Ballans
28 2 Herve Ballans
Il ne faut en aucun cas répondre à ce message ou cliquer sur le lien contenu dans le message.
29 2 Herve Ballans
30 2 Herve Ballans
Merci de transmettre cette alerte à l’ensemble de vos utilisateurs en leur rappelant les règles élémentaires de sécurité concernant les messages provenant d’internet (règle N°5) : 
31 2 Herve Ballans
«  5- Attitude prudente vis à vis des messages reçus
32 2 Herve Ballans
Nous sommes toujours tentés de savoir qui nous écrit, cependant de nombreux escrocs et pirates utilisent notre curiosité et notre crédulité pour tenter de voler nos données.
33 2 Herve Ballans
Dans certains cas le message frauduleux demande le changement du mot de passe d’un compte et redirige l’utilisateur vers un site pirate qui va voler ce mot de passe (c’est le « phishing ») pour utiliser le compte de l’utilisateur à son insu et ainsi pénétrer dans sa messagerie, son compte bancaire, etc.»
34 2 Herve Ballans
 
35 2 Herve Ballans
36 2 Herve Ballans
<pre>
37 2 Herve Ballans
------------------------------------ message malveillant --------------------------------------------------------------------
38 2 Herve Ballans
39 2 Herve Ballans
Début du message transféré :
40 2 Herve Ballans
41 2 Herve Ballans
Expéditeur: CNRS <bma@stmarys-ca.edu>
42 2 Herve Ballans
Date: 25 août 2012 17:18:15 HAEC
43 2 Herve Ballans
Destinataire: undisclosed-recipients:;
44 2 Herve Ballans
Objet: avis Important
45 2 Herve Ballans
46 2 Herve Ballans
Conseils CNRS Web du centre-mail à tous les utilisateurs de compte de messagerie à
47 2 Herve Ballans
s'il vous plaît répondre à ce courrier.
48 2 Herve Ballans
49 2 Herve Ballans
Nous sommes en train d'améliorer notre base de données et le centre compte e-mail.
50 2 Herve Ballans
Nous sommes la suppression de comptes qui ne sont pas en cours d'utilisation pour créer plus de
51 2 Herve Ballans
l'espace pour les nouveaux comptes. Pour éviter que votre compte ne doit pas être tronqué,
52 2 Herve Ballans
nous vous conseillons de cliquer ou copier le lien ci-dessous et de bien vouloir remplir le
53 2 Herve Ballans
l'information requise;
54 2 Herve Ballans
55 2 Herve Ballans
Cliquez ici: lien sur le site malveillant
56 2 Herve Ballans
57 2 Herve Ballans
58 2 Herve Ballans
Nous sommes sincèrement nos excuses pour ce désagrément.
59 2 Herve Ballans
 Cordialement,
60 2 Herve Ballans
IT Service!
61 2 Herve Ballans
Administrateur Système ®
62 2 Herve Ballans
Mettez à niveau votre compte?
63 2 Herve Ballans
64 2 Herve Ballans
------------------------------------ fin du message malveillant --------------------------------------------------------------------
65 2 Herve Ballans
</pre>
66 2 Herve Ballans
67 3 Herve Ballans
Source : DSI - CNRS le 27 août 2012
68 4 Herve Ballans
69 4 Herve Ballans
h2. [[Quelques exemples de phishing récents]]