UNSpecial N° 608 — Juin – June 2002
 

ÉDITORIAL
Star Academy
Recrutement d’étoiles 

INTERVIEW
L’OIM au XXe siècle 

Spécial développement durable
UN Special Concours
UN Special Competition 
Highest Importance for the World
Don’t Water Down the Message
S.G.: Pour un avenir viable
S.-G.“Towards a Sustainable Future”

PERSONNEL
Who is Minding the Shop?
Le 1er mai 2002
See No Evil, Hear No Evil, Speak No Evil
Le coup de gueule de Rachel
Did you know that … Saviez vous que...
ACDP News: Pourquoi ne pas en parler?
GPAFI: Age limite 55 ans
Accident au Palais: que faire?
Raymond Glasgow, 1940-2002
Pour votre agenda 

TECH NEWS
Mon mot de passe? n § 4D & 7! 

GLOBE
United Nations Children’s Summit
Les usages domestiques de l’eau
Civil Liability
A New Step in Democracy?
Sierre Leone: End of War
World Refugee Day 

Mon mot de passe? n § 4D & 7!

Sérgio da Silva, ONU/SSE

Quel est déjà mon mot de passe ? Je crois que je l’ai noté sur un bout de papier qui doit encore se trouver en-dessous de mon clavier.

Voyons s’il y est encore… Le voilà ! « n § 4D & 7 ! ».

Ce n’est qu’un exemple parmi tant d’autres, mais qui montre comment les mots de passe peuvent être facilement utilisés par quelqu’un de mal intentionné, qui utilise un ordinateur pour accéder à l’information voulue à travers un réseau informatique.

Le bon fonctionnement et la pérennité de toute entreprise ou organisation dépend plus que jamais de la protection de ses données, accessibles depuis tous les points de son infrastructure informatique, qui, en ce qui concerne son accès par les utilisateurs, ne peut être assurée que par des pratiques efficaces d’attribution et de gestion des mots de passe:

Identification de l’utilisateur et mots de passe – les types d’identification se résument à quelque chose: que vous connaissez (mot de passe), que vous avez (jeton, carte à puce) ou que vous êtes (analyse biométrique) ; de la voix, de l’empreinte digitale ou de la rétine – voir Tech-News No.57 – décembre
1999). D’une manière générale, il est plus sûr d’utiliser plus d’un type d’identification combiné, ce qui a bien évidemment une incidence sur le coût.

Menaces pour la sécurité – Un utilisateur peut vouloir écrire son mot de passe ou de le partager avec un collègue, un mot de passe peut être deviné par quelqu’un ou par un programme spécialement conçu à cet effet, les mots de passe peuvent être transmis en clair ou codés à travers le réseau et décodés ensuite. Les mots de passe peuvent être stockés dans l’ordinateur, le serveur ou dans un support de stockage extérieur qui pourrait être accessible par quelqu’un.

Facteurs humains – Il est difficile de se rappeler des mots de passe: compliqués, en grand nombre ou qui changent fréquemment ainsi que ceux pour des applications utilisées sporadiquement. Quand on a de la peine à se rappeler des mots de passe, la tendance est de: les noter sur un bout de papier, d’appeler le bureau d’assistance informatique, d’utiliser des mots trop simples et évidents, ainsi que de réutiliser fréquemment des anciens mots de passe.

Pour qu’une politique de gestion des mots de passe puisse être efficace, il faut prendre en considération ces facteurs humains.

D’autre part, les utilisateurs devront choisir des mots de passe difficiles à deviner et de rendre ainsi plus difficile la tâche des programmes qui peuvent essayer plusieurs millions de combinaisons pour essayer de les découvrir. L’ensemble des caractères possibles d’utilisation (y compris majuscules et minuscules) devrait être fourni aux utilisateurs pour agrandir leur choix.

Un nombre minimum de caractères doit être défini et plus ce nombre est élevé et moins grandes seront les chances de le découvrir: 7 caractères équivalent à 10 milliards de combinai- sons possibles.

Par conséquent, les mots de passe: devraient être composés d’au moins 7 caractères, d’avoir au moins une lettre et un chiffre, d’avoir des majuscules et minuscules et au moins un symbole spécial, de ne pas avoir de rapport ni avec le nom de l’utilisateur ni avec son code d’identification (login Id), de ne pas avoir des mots qu’on trouve dans le dictionnaire dans n’importe quelle langue et de ne pas contenir plus que 2 fois les mêmes lettres consécutives.

Changement et réutilisation des mots de passe – Avec le temps, les mots de passe peuvent devenir connus et même un bureau d’assistance des utilisateurs peut, sans se rendre compte, donner un mot de passe valable à un intrus mal intentionné. Il est recommandé de les changer régulièrement, et de le faire automatiquement au moins chaque 3 mois. En tous cas, les anciens mots de passe ne devront plus être réutilisés.

Confidentialité – Les mots de passe doivent être personnels et intransmissibles. Les utilisateurs devraient recevoir des procédures d’aide pour savoir comment gérer leurs mots de passe sans avoir à les écrire ou à les partager, ce qui devrait être fortement découragé.

Détection d’intrusion – Les tentatives d’intrusion dans un système avec un code d’accès incorrect dans un espace de temps déterminé doivent enclencher un programme de blocages.

Cryptage – Il est conseillé à tout administrateur de courrier électronique, de sauvegarder les mots de passe qui sont transmis depuis le PC au serveur, en utilisant des algorithmes déjà connus par leur efficacité.

Synchronisation – Consiste à utiliser le même mot de passe pour entrer dans plusieurs systèmes, ce qui suppose des systèmes assez sécurisés et des changements fréquents de mots de passe compliqués.

Un seul mot de passe, difficile à deviner et régulièrement changé, est plus efficace que l’utilisation de mots de passe multiples.

Assistance aux utilisateurs – Mots de passe oubliés ou incorrects demandent l’intervention fréquente du bureau d’assistance «Help-Desk», pour identifier l’utilisateur, enregistrer et tester de nouveaux mots de passe.

Problèmes de sécurité – Le bureau d’assistance peut: oublier d’identifier l’utilisateur, avoir plusieurs personnes habilitées à changer les mots de passe sans qu’il apparaisse nulle part qui l’a changé et qui est au courant d’un nouveau mot de passe.

Mécanismes de réduction des vérifications – Formation appropriée des spécialistes et mise à disposition d’in- formation valable pour chaque utilisateur en ce qui concerne son identification.

Identification de l’utilisateur – La demande du changement d’un mot de passe de la part de l’utilisateur au bureau d’assistance informatique ou par un programme approprié doit permettre une identification correcte: les cartes ou les jetons de sécurité et la biométrie offrent plus de sécurité que la pose des questions personnelles (3 par exemple) que seul l’utilisateur lui-même est supposé connaître. Il est bon de demander que l’utilisateur définisse sa propre question en plus des questions standards.

Mots de passe pour «Windows» Les stations de travail peuvent utiliser des mots de passe pour: l’entrée dans «Windows», un économiseur d’écran, pour les services réseau de Microsoft et aussi d’autres vendeurs, tels que Novell. Pour renforcer la sécurité, la possibilité d’utiliser la mémoire tampon pour garder en mémoire des mots de passe, peut être enlevée.

Référence: Password Management Best Practices.

 
© 1949-2009 UN Special | Contact Us | About Us | Terms of Use