Usage des mots de passe » History » Version 5
Herve Ballans, 05/05/2015 11:16
| 1 | 1 | Herve Ballans | h1. Usage des mots de passe |
|---|---|---|---|
| 2 | 1 | Herve Ballans | |
| 3 | 5 | Herve Ballans | h2. Charte SSI du CNRS |
| 4 | 5 | Herve Ballans | |
| 5 | 5 | Herve Ballans | Protection des moyens et droits d’accès aux informations |
| 6 | 5 | Herve Ballans | |
| 7 | 5 | Herve Ballans | L’Utilisateur est responsable de l’utilisation des systèmes d'information réalisée avec ses droits d'accès. |
| 8 | 5 | Herve Ballans | |
| 9 | 5 | Herve Ballans | A ce titre, il assure la protection des moyens d’authentification qui lui ont été affectés ou qu’il a généré (badges, mots de passe, clés privées, clés privées liées aux certificats, etc.) : |
| 10 | 5 | Herve Ballans | |
| 11 | 5 | Herve Ballans | * il ne les communique jamais, y compris à son responsable hiérarchique et à l'équipe chargée des SI de son Entité ; |
| 12 | 5 | Herve Ballans | * il applique les règles de « génération/complexité » et de renouvellement en vigueur selon le moyen d’authentification utilisé ; |
| 13 | 5 | Herve Ballans | * il met en place tous les moyens mis à sa disposition pour éviter la divulgation de ses moyens d’authentification ; |
| 14 | 5 | Herve Ballans | * il modifie ou demande le renouvellement de ses moyens d’authentification dès lors qu’il en suspecte la divulgation. |
| 15 | 5 | Herve Ballans | |
| 16 | 5 | Herve Ballans | Il garantit l’accès à ses données professionnelles, notamment dans le cadre de la politique de recouvrement de données mise en œuvre au sein de l’Entité. |
| 17 | 5 | Herve Ballans | |
| 18 | 5 | Herve Ballans | L’Utilisateur ne fait pas usage des moyens d’authentification ou des droits d'accès d’une tierce personne. De la même façon, il n’essaie pas de masquer sa propre identité. |
| 19 | 5 | Herve Ballans | |
| 20 | 1 | Herve Ballans | h2. Règles de bon usage d'un mot de passe |
| 21 | 1 | Herve Ballans | |
| 22 | 1 | Herve Ballans | Suite à la publication, ces dernières semaines, de plusieurs millions de condensats de mots de passe exfiltrés |
| 23 | 1 | Herve Ballans | de divers réseaux sociaux, le CERTA rappelle que des bonnes pratiques sont disponibles dans le document intitulé |
| 24 | 1 | Herve Ballans | Recommmandations de sécurité relatives aux mots de passe (DAT-NT-001/ANSSI/SDE), sur le site Internet de |
| 25 | 1 | Herve Ballans | l’ANSSI (section documentation). Elles comprennent notamment : |
| 26 | 1 | Herve Ballans | * la nécessité de *différencier les mots de passe utilisés sur des systèmes d’information professionnels et des sites web publics* (messagerie, réseaux sociaux, vente en ligne) ; |
| 27 | 1 | Herve Ballans | * le besoin d’ *utiliser un mot de passe complexe*, voire non rejouable (one time password) ; |
| 28 | 1 | Herve Ballans | * le besoin de *renouveler ces mots de passe avec une fréquence raisonnable* ; |
| 29 | 1 | Herve Ballans | * *ne pas configurer les logiciels pour se souvenir des mots de passe sensibles*. |
| 30 | 1 | Herve Ballans | Le document présente également des méthodes d’attaque sur mots de passe dictant ces recommandations. |
| 31 | 1 | Herve Ballans | Enfin, il est rappelé aux autorités administratives que l’annexe B3 du référentiel général de sécurité (RGS) fixe |
| 32 | 1 | Herve Ballans | l’ensemble des règles techniques à respecter en matière d’authentification. |
| 33 | 1 | Herve Ballans | |
| 34 | 1 | Herve Ballans | Documentation : |
| 35 | 1 | Herve Ballans | – Recommandations de sécurité relatives aux mots de passe : http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf |
| 36 | 1 | Herve Ballans | |
| 37 | 1 | Herve Ballans | Source : Bulletin CERTA du 8 juin 2012 |
| 38 | 2 | Herve Ballans | |
| 39 | 2 | Herve Ballans | h2. Vigilance sur le vol de mot de passe (hameçonnage ou phishing) |
| 40 | 2 | Herve Ballans | |
| 41 | 2 | Herve Ballans | On nous signale une tentative de phishing via le message malveillant ci-dessous. |
| 42 | 2 | Herve Ballans | |
| 43 | 2 | Herve Ballans | L’émetteur se fait passer pour l’assistance CNRS et demande de cliquer sur un lien qui amène à un site qui cherche à voler le mot de passe de l’utilisateur. |
| 44 | 2 | Herve Ballans | |
| 45 | 2 | Herve Ballans | Il ne faut en aucun cas répondre à ce message ou cliquer sur le lien contenu dans le message. |
| 46 | 2 | Herve Ballans | |
| 47 | 2 | Herve Ballans | Merci de transmettre cette alerte à l’ensemble de vos utilisateurs en leur rappelant les règles élémentaires de sécurité concernant les messages provenant d’internet (règle N°5) : |
| 48 | 2 | Herve Ballans | « 5- Attitude prudente vis à vis des messages reçus |
| 49 | 2 | Herve Ballans | Nous sommes toujours tentés de savoir qui nous écrit, cependant de nombreux escrocs et pirates utilisent notre curiosité et notre crédulité pour tenter de voler nos données. |
| 50 | 2 | Herve Ballans | Dans certains cas le message frauduleux demande le changement du mot de passe d’un compte et redirige l’utilisateur vers un site pirate qui va voler ce mot de passe (c’est le « phishing ») pour utiliser le compte de l’utilisateur à son insu et ainsi pénétrer dans sa messagerie, son compte bancaire, etc.» |
| 51 | 2 | Herve Ballans | |
| 52 | 2 | Herve Ballans | |
| 53 | 2 | Herve Ballans | <pre> |
| 54 | 2 | Herve Ballans | ------------------------------------ message malveillant -------------------------------------------------------------------- |
| 55 | 2 | Herve Ballans | |
| 56 | 2 | Herve Ballans | Début du message transféré : |
| 57 | 2 | Herve Ballans | |
| 58 | 2 | Herve Ballans | Expéditeur: CNRS <bma@stmarys-ca.edu> |
| 59 | 2 | Herve Ballans | Date: 25 août 2012 17:18:15 HAEC |
| 60 | 2 | Herve Ballans | Destinataire: undisclosed-recipients:; |
| 61 | 2 | Herve Ballans | Objet: avis Important |
| 62 | 2 | Herve Ballans | |
| 63 | 2 | Herve Ballans | Conseils CNRS Web du centre-mail à tous les utilisateurs de compte de messagerie à |
| 64 | 2 | Herve Ballans | s'il vous plaît répondre à ce courrier. |
| 65 | 2 | Herve Ballans | |
| 66 | 2 | Herve Ballans | Nous sommes en train d'améliorer notre base de données et le centre compte e-mail. |
| 67 | 2 | Herve Ballans | Nous sommes la suppression de comptes qui ne sont pas en cours d'utilisation pour créer plus de |
| 68 | 2 | Herve Ballans | l'espace pour les nouveaux comptes. Pour éviter que votre compte ne doit pas être tronqué, |
| 69 | 2 | Herve Ballans | nous vous conseillons de cliquer ou copier le lien ci-dessous et de bien vouloir remplir le |
| 70 | 2 | Herve Ballans | l'information requise; |
| 71 | 2 | Herve Ballans | |
| 72 | 2 | Herve Ballans | Cliquez ici: lien sur le site malveillant |
| 73 | 2 | Herve Ballans | |
| 74 | 2 | Herve Ballans | |
| 75 | 2 | Herve Ballans | Nous sommes sincèrement nos excuses pour ce désagrément. |
| 76 | 2 | Herve Ballans | Cordialement, |
| 77 | 2 | Herve Ballans | IT Service! |
| 78 | 2 | Herve Ballans | Administrateur Système ® |
| 79 | 2 | Herve Ballans | Mettez à niveau votre compte? |
| 80 | 2 | Herve Ballans | |
| 81 | 2 | Herve Ballans | ------------------------------------ fin du message malveillant -------------------------------------------------------------------- |
| 82 | 2 | Herve Ballans | </pre> |
| 83 | 2 | Herve Ballans | |
| 84 | 3 | Herve Ballans | Source : DSI - CNRS le 27 août 2012 |
| 85 | 4 | Herve Ballans | |
| 86 | 4 | Herve Ballans | h2. [[Quelques exemples de phishing récents]] |