L’accès aux systèmes informatiques, aux comptes bancaires, aux messageries électroniques est protégé par des mots de passe. Protégé ? Pas si sûr. En effet, les utilisateurs ont souvent tendance, par négligence, à choisir des mots de passe aisés à mémoriser, courts et communs à plusieurs comptes utilisateurs. De fait, la sécurité de leurs données personnelles n’est pas complètement garantie.
La base de données du site communautaire ROCKYOU aux Etats-Unis a été piratée en décembre dernier et la liste des 32 millions de mots de passe utilisateurs a été mise en ligne. La société informatique Imperva a analysé les mots de passe utilisés par les internautes. Son rapport est édifiant. Le tableau ci-après est le palmarès des mots de passe les plus utilisés par les sur le site ROCKYOU (rang/mot de passe/nombre d’utilisateurs) :
Utiliser de tels mots de passe revient à cacher la clef de la porte d’entrée dans un pot de fleur.
Quelle politique mettre en place pour sécuriser les mots de passe ?
Dans son approche des risques informatiques, l’auditeur ne doit pas seulement s’assurer que les accès système sont protégés par mot de passe mais que le niveau de protection offert par ces mots de passe est suffisant.
Conseils en matière de conception de mots de passe :
-Changer régulièrement les mots de passe,
-Différencier les mots de passe selon les services (compte bancaire, messagerie…),
-Un bon mot de passe est un mot de passe caché (ne pas l’écrire sur un post-it collé à son écran d’ordinateur…),
-Eviter les mots de passe désignant des informations personnelles (nom du conjoint, date de naissance, âge de son chien…) et les mots de passe simples du type 12345, azerty, toto…
-Un mot de passe sécurisé est composé d’au moins 6-8 caractères mêlant lettres minuscules, majuscules, accentuées, chiffres et caractères spéciaux (^, @, #…).
Conseils aux administrateurs système :
-Définir une politique de sécurisation de l’accès aux données informatiques claire et précise incluant la problématique de détermination des mots de passe,
-Sensibiliser les utilisateurs et vérifier régulièrement que les consignes de sécurité sont appliquées,
-Mettre en place un système qui oblige l’utilisateur à changer régulièrement son ou ses mots de passe et à déterminer des mots de passe suffisamment sûrs tout en veillant à ne pas disproportionner la politique de sécurité par rapport aux enjeux ; face à une politique de sécurité trop contraignante, l’utilisateur risque d’adopter des comportements contre-productifs (par exemple, inscrire ses mots de passedans son agenda).