Journée mondiale du mot de passe

Les mots de passe sont nos clés d’accès à de nombreux services et de nombreuses données sensibles qui nous concernent, et concernent nos patients ! Ils sont précieux et méritent toute notre attention. En cette journée mondiale du mot de passe, prenons le temps de revoir nos pratiques.

1. Évitons les « passes partout » :

Comme pour les clés physiques, il est recommandé d’utiliser un mot de passe différent pour chaque usage. La compromission d’un service en ligne abouti généralement à une fuite de données des informations de connexion de ses utilisateurs. Ces informations seront réutilisées sur d’autres services pour tenter de compromettre d’autres accès. Si un même mot de passe ayant fuité est utilisé sur plusieurs services, il y a fort à parier qu’il ne tardera pas à ouvrir les portes de l’ensemble de ces services. Évitons donc d’utiliser des « passes partout ».

 

2. N’utilisons pas de données personnelles connues dans nos mots de passe :

Utiliser des données nous concernant dans nos mots de passe permet de faciliter leur mémorisation, mais cela simplifie également la tâche des attaquants. Lors d’une attaque ciblée, toute information relative à notre vie privée, notre vie professionnelle, nos loisirs, nos passions… seront utilisées pour tenter de découvrir nos mots de passe. Ces informations sont généralement faciles à retrouver sur le web. Restons discrets et évitons d’utiliser des mots de passe trop simples à deviner.

 

Affiche de comparaison des mots de passe à une brosse à dents

3. Optons pour la robustesse :

Choisir un mot de passe robuste n’est pas aussi simple qu’il n’y parait, il y a bien évidemment plusieurs paramètres à prendre en considération :

  • la longueur : la réglementation française (Délibération CNIL n° 2017-012) impose de 8 à 12 caractères pour l’utilisation seule d’un mot de passe selon l’exposition du service et sous certaines conditions, mais de nombreux experts s’accordent sur le fait qu’un mot de passe de plus 15 caractères permettrait de limiter d’avantage les attaques de type « force brute ».
  • la complexité : l’utilisation de différents types de caractères (majuscules, minuscules, chiffres, caractères spéciaux, emojis) va également augmenter le nombre de possibilités et complexifier la tâche aux attaquants.
  • éviter un mot du dictionnaire : l’utilisation d’une chaîne de différents types de caractères dénuée de sens et générée de manière aléatoire permet évidemment d’avoir un mot de passe robuste. Son principal inconvénient est qu’elle sera difficile à retenir et fastidieuse à saisir. Ce type de mot de passe est à idéal lorsqu’il peut être utilisé avec un gestionnaire et générateur de mots de passe tel que KeePass. Lorsque le mot de passe ne peut pas être utilisé avec un gestionnaire de mots de passe (ouverture de session sur un terminal par exemple), l’utilisation d’une « phrase de passe » peut s’avérer être une très bonne solution, elle permettra d’allier complexité et longueur, ne pas reposer sur un mot unique (peu importe la langue) et sera rapide à saisir.
  • éviter d’utiliser un mot de passe révélé publiquement : tout mot de passe ayant fuité et ayant été rendu public ne doit pas être réutilisé, il est donc primordial de ne pas reprendre un mot de passe ayant déjà servi pour un autre accès et le personnaliser (sans y insérer des informations personnelles faciles à deviner) dans le cas d’un mot de passe non généré aléatoirement, afin d’éviter d’utiliser un mot de passe susceptible d’être déjà utilisé pour un autre accès ou par une autre personne.
  • privilégier la robustesse des mots de passe messagerie : la messagerie permettant généralement de réinitialiser les mots de passe à de nombreux services, une attention particulière doit lui être accordée.
  • modifier les mots de passe par défaut : différents appareils sont livrés avec un mot de passe « constructeur » / « par défaut », ces mots de passe doivent être considérés comme compromis et doivent être modifiés lors de la première utilisation.

4. Ne partageons jamais nos mots de passe :

Un mot de passe est personnel et ne doit jamais être partagé. Il ne doit pas être :

  • transmis oralement à un tiers (même un collègue, une personne du support technique ou sa hiérarchie)
  • écrit / imprimé sur un papier, une étiquette…
  • inscrit « en clair » dans un fichier informatique (fichier texte, traitement de texte, tableur, base de données...)
  • saisi sur un terminal non maîtrisé appartenant à un tiers

En révélant nos mots de passe, nous risquons d’être responsables des actes qui pourraient être réalisés avec nos accès.

En utilisant l’accès d’un tiers, nous risquons de nous rendre coupable d’usurpation d’identité.

 

5. Modifions nos mots de passe en cas de soupçon :

Un mot de passe doit être modifié dès lors que nous suspectons une éventuelle compromission :

  • une activité suspecte détectée sur un service (connexion signalée depuis un terminal inconnu où à une heure inhabituelle…)
  • une erreur de saisie : mot de passe du site A utilisé sur le site B
  • la saisie de son mot de passe sur un site malveillant (on s’aperçoit parfois trop tard que l’on a saisi son mot de passe sur un site contrefait, dans ce cas, il est nécessaire de le changer rapidement)
  • un regard indiscret sur son clavier
  • un mot de passe révélé face à l’urgence / la contrainte
  • un mot de passe apparu dans une fuite de données (voir https://haveibeenpwned.com/)

 

6. Utilisons une authentification « forte » lorsque cela est possible :

L’utilisation d’un second facteur d’authentification est à activer dès qu’un mécanisme est disponible : Pro Santé Connect via carte CPx et e-CPS, Certificat, code à usage unique, second facteur universel (U2F)… N’hésitez pas à solliciter vos fournisseurs sur ce sujet.

Les données de santé sont des données particulièrement sensibles auxquelles il convient de porter une attention particulière, notamment concernant leurs modalités d’accès.

De nombreuses exigences relatives à l’authentification forte ont été inscrites dans le Référentiel d’identification électronique, première brique opposable de la PGSSI-S publié le 1er avril 2022, faisant suite à l’Arrêté du 28 mars 2022. A noter que nous nous orientons vers la fin de l'utilisation du mot de passe simple pour l'accès aux données de santé... L'utilisation d'un seul facteur d'authentification (mot de passe seul) et ce, sous conditions de respects de certaines exigences, ne sera plus autorisée que de manière transitoire jusqu'au 31/12/2025. (cf Exigence n°25 du référentiel).

Pour aller plus loin, à l’attention des administrateurs du SI :

Éviter d’utiliser un mot de passe révélé publiquement :

Dans le cas d’un système d’information de santé par exemple, il peut s’avérer intéressant d’utiliser une technique de détection de mots de passe déjà révélés, telle que le mécanisme ZXCVBN (https://github.com/dropbox/zxcvbn) lorsque les utilisateurs choisissent leur mot de passe. Si ce mécanisme ne peut pas être mis en place, une comparaison des condensats de mots de passe utilisateurs du SI avec les condensats fournis sur le site Have I Been Pwned (https://haveibeenpwned.com/Passwords) peut permettre de détecter des mots de passe compromis et inviter les utilisateurs concernés à les modifier. Des attaques par dictionnaires agrémentées de règles de mutations pourraient permettre d’aller plus loin dans l’évaluation de la robustesse.
 

Modification des mots de passe en cas de soupçon :

Le site Have I Been Pwned permet de connaître l’ensemble des adresses de messageries liées à son propre nom de domaine présentes dans une fuite de données, et d’éventuellement recevoir une alerte par courriel en cas de nouvelle compromission : https://haveibeenpwned.com/DomainSearch
 

Mise en place d’une authentification forte :

La mise en place d’une authentification forte est à prioriser pour les accès à privilèges et les accès à des informations sensibles, notamment des données de santé.

 

Charles Blanc-RolinChef de projet Sécurité numérique en santé

Ressources à consulter :

Le référentiel d’identification électronique opposable au secteur sanitaire, médico-social et social :

https://esante.gouv.fr/espace-presse/un-grand-pas-pour-la-securite-et-les-usages-du-numerique-en-sante-publication-du-referentiel-sur-lidentification-electronique

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045457991?datePubli
 

Le guide de sensibilisation à la sécurité des mots de passe du CERT-Santé (ANS) :

https://www.cyberveille-sante.gouv.fr/sites/default/files/documents/documents-secteur-sante/ACSS_Sensibilisation_s%C3%A9curit%C3%A9_mot_passe.pdf
 

Les recommandations de la CNIL pour sécuriser ses mots de passe :

https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers


Le guide de l’ANSSI relatif à l’authentification à plusieurs facteurs et aux mots de passe :

https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf


Les guides de Cybermalveillance pour la création de ses mots de passe :

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/comment-choisir-un-bon-mot-de-passe

Focus sur