Recommandations pour les mots de passe

Les logiciels qui cassent les mots de passe ou qui peuvent les lire sur le réseau sont facilement disponibles. Afin de limiter le risque que votre mot de passe soit cassé, celui-ci doit être long de 8 caractères minimum et doit inclure des lettres (majuscules et minuscules), des chiffres et des symboles. Vous devriez changer votre mot de passe régulièrement, en particulier après un voyage au cours duquel vous auriez pu exposer votre mot de passe sur un site étranger. De plus, veillez à ne jamais réutiliser votre mot de passe du CERN pour vous identifier sur d'autres comptes, y compris dans une autre organisation ou dans le cadre privé.

En particulier, prenez garde aux tentatives de « vol » de votre mot de passe. Le personnel informatique du CERN, ainsi que l’équipe de sécurité informatique ne vous demanderont jamais votre mot de passe. Faites attention aux e-mails malveillants, aux discussions en ligne et aux messages instantanés qui vous demandent votre mot de passe, y compris via des liens Web. Cette astuce est connue sous le nom de « phishing » (c.-à-d. « password fishing ») ou « hameçonnage ». Si vous pensez que votre mot de passe a pu être exposé, changez-le et informez Computer.Security@cern.ch (En fait, nous vérifions également si votre mot de passe (hash) a déjà été exposé, divulgué ou volé et exigera à toi de le changer alors aussi). Rappellez-vous:

... et appliquez également la même règle pour vos autres identifiants tels que vos clés SSH, certificats, carte du CERN, etc.

Comment changer vos mots de passe du CERN

Afin de changer vos mots de passe du CERN (NICE, Mail, Web, LXPLUS, AFS, ... ), allez sur la page http://users-portal.web.cern.ch et sélectionnez « Change Password ».

Nous vous recommandons de changer votre mot de passe à chaque fois que vous rentrez d’un voyage où votre mot de passe aurait pu être exposé.

Comment choisir de bons mots de passe

Un bon mot de passe est:

• privé: il est utilisé et connu par une seule personne;
• secret: il n’apparait jamais non chiffré dans aucun fichier ou programme, ni même sur un bout de papier collé sur l'écran;
• facile à retenir: afin qu’il n'y ait pas besoin de l’écrire;
• long de 8 caractères au minimum;
• un mixte d’au minimum 3 des points suivants : lettres majuscules, lettres minuscules, chiffres et symboles;
• non énuméré dans un dictionnaire de toute langue principale;
• devinable par aucun programme dans une limite de temps raisonnable, par exemple en moins d’une semaine;

Il existe quelques astuces afin de vous aider à choisir de bons mots de passe:

• Choisissez une ligne ou deux d’une chanson ou d’un poème, et utilisez la première lettre de chaque mot. Par exemple, « In Xanadu did Kubla Khan a stately pleasure dome decree! » devient « IXdKKaspdd! »;
• Utilisez une « passphrase » longue, comme la phrase « InXanaduDidKublaKahnAStatelyPleasureDomeDecree! », ou une formule mathematique comme « sin^2(x)+cos^2(x)=1 »;
• Alternez les consonnes et les voyelles: choisissez une consonne puis une ou deux voyelles, le tout écrit en majuscule et minuscule. Cela vous donne des mots sans aucun sens mais que l’on peut généralement prononcer, ils sont donc facile à retenir. Par exemple : « Weze-Xupe » ou « DediNida3 »;
• Choisissez deux mots courts (ou un long que vous coupez en deux) et concaténez-les avec des caractères de ponctuation entre eux. Par exemple : « dogs+F18 » ou « comP!!UTer »;

Les attaquantes et logiciels qui peuvent essayer de s’introduire dans votre compte connaissent un grand nombre de mots de passe « utilisés fréquemment ». Voici quelques conseils pour éviter les mots de passe devinables:

• N’utilisez pas votre nom d’utilisateur sous aucune forme (tel quel, inversé, en lettres majuscules, doublé, avec un préfixe, avec un suffixe…);
• N’utilisez pas sous aucune forme votre prénom ou nom, et de manière générale, toute information qui peut être facilement obtenue à propos de vous. Cela inclut les plaques minéralogiques de votre voiture, les numéros de téléphone, les numéros d’assurance, la marque de votre voiture, le nom de la rue dans laquelle vous vivez, le nom de votre épouse ou de vos enfants…;
• N’utilisez pas de mots contenus dans n’importe quel dictionnaire de n’importe quelle langue, dans les listes d’orthographe, ou autres listes de mots (acronymes, séquences de lettres telles que « abcdef » ou « qwerty », noms d’endroits, marques de voitures, héros de dessin animé…);
• N’utilisez pas le même mot de passe pour d'autres sites. Mieux, ayez un mot de passe distinct pour tous les autres sites. Si nécessaire, vous pouvez envisager d'utiliser un soi-disant « gestionnaire de mots de passe » pour les mémoriser tous. Pour plus de détails, consultez cet article du Bulletin .

Apprenez des autres. Voici les 10 mots de passe les plus utilisés:

Pourquoi vous avez besoin de bons mots de passe

Le mot de passe est l’élément le plus important en ce qui concerne la sécurité des comptes. Si un attaquante peut deviner votre mot de passe, il/elle peut utiliser votre compte pour attaquer des systèmes à l’intérieur ou à l’extérieur du CERN. Il/elle peut aussi lire, modifier ou supprimer tous vos fichiers. Les règles informatiques du CERN requièrent que vous protégiez vos comptes avec un bon mot de passe:

Pourquoi vous devez changer de mot de passe

Même si vous choisissez un bon mot de passe, il peut toujours être trouvé: quelqu’un peut vous voir le taper ou le découvrir en fouinant l’ordinateur ou le réseau. Si vous saisissez accidentellement votre mot de passe à la place de votre nom d'utilisateur ou sur la ligne de commande sur des clusters interactifs tels que lxplus/aiadm, votre mot de passe sera enregistré et envoyé au Centre des Opérations de Sécurité Informatique du CERN à des fins de traçabilité/audit. En outre, elle peut être directement visible par d'autres utilisateurs du système:

    joe      ttyp9        Wed Apr 28 09:37
    XSecret! pty/ttys0    Fri Feb 26 15:15 - 15:16  (00:00)
    fred     pty/ttys0    Fri Feb 26 15:16 - 14:27 (87+22:11)

Utilisation des gestionnaires de mots de passe

Sinon, si vous manquez de mémoire, vous pouvez utiliser un gestionnaire de mots de passe comme « Bitwarden », « 1Password » ou « KeePassXC » lesquels vous fournissant des mots de passe forts et totalement différents pour chaque site Web. Un gestionnaire de mots de passe décent vous protégera également de la saisie de vos informations d'identification dans un mauvais site Web. De cette façon, par exemple, si vous voyez un formulaire de connexion au CERN d'une page de « phishing » malveillant, le gestionnaire de mots de passe ne peut pas avoir le « bon » mot de passe enregistré et vous saurez que quelque chose ne va pas.

Pour tous les utilisateurs
(experts ou non)

• Sept « good practices »
• Mots de passe &
  brosses à dents
• Commencer avec
  l'authentification
  à deux facteurs
• Mauvais mails pour vous:
  « hameçonnage », « SPAM » & fraude
• Comment identifier des courriels et documents joints malicieux
• Travailler à distance
• Comment sécuriser
  votre PC ou Mac
• Se connecter au CERN
• Chiffrer Windows PCs/laptops (Bitlocker), Macs (FileVault) and Linux (LUKS)
• Chiffrage avec SSH
• A propos des fichiers Windows, sécurité de Mozilla

Pour les développeurs

• Bonne programmation en C/C++, Java, Perl, PHP, ou Python
• Comment garder les secrets secrets
  (alternatives aux mots de passe)
• Checklist de sécurité
• Outils pour sécuriser GitLab CI (en anglais)
• Sécuriser les applications Web
• Outils d’analyse statique de code source
• Pour en savoir plus

Pour les propriétaires de systèmes

• Baselines de sécurité
• FAQ sur les vulnérabilités Linux du CERN
• Recherche de rootkits
• Sécuriser des conteneurs & pods
• Sécuriser les systèmes de contrôle (CNIC)