Comment sécuriser les mots de passe des applications

L'Anssi a réactualisé ses recommandations de sécurité relatives aux mots de passe pour aider les collectivités à définir leur politique d'authentification.

AdobeStock

Les mots de passe sécurisent depuis 60 ans l’accès aux applications informatiques. Si leur disparition est régulièrement annoncée, ils restent omniprésents dans notre quotidien numérique. Leur compromission est à l’origine de la plupart des attaques informatiques, raison pour laquelle il est primordial de les sécuriser. Pour les collectivités, cette stratégie d’authentification concerne autant le réseau, le poste client que les téléservices proposés aux citoyens.

1 - Analyser le risque

Pour l’Agence nationale de la sécurité des systèmes d’information (ANSII, www.ssi.gouv.fr/administration), une politique de mot de passe a pour préalable une analyse de risques : vol de données personnelles, dysfonctionnement de services ou encore ouverture d’une porte sur l’ensemble du système d’information municipal. À cet égard, la messagerie et l’accès aux comptes administrateurs (gestion de droits, accès au serveur, à la sauvegarde…) sont particulièrement critiques. Compromis, ils pourront être utilisés pour de multiples cyberattaques : vol ou destruction de données, hameçonnage, chantage, rançongiciel…

2 - Choisir un mot de passe robuste

Plus un mot de passe est long, plus il combine majuscules, minuscules, caractères spéciaux et chiffres, plus il a des chances d’être robuste. Les mots de passe doivent comporter dans l’idéal au moins 12 caractères, sans exiger de limite de taille maximale, et être différents pour chaque service. Les dates de naissance et autres informations individuelles comme les expressions logiques (12345…) doivent être proscrites.
Pour faciliter sa mémorisation, le mot de passe peut utiliser les premières lettres d’une phrase comme «un tien vaut mieux que deux tu l’auras » qui donnera 1tvmQ2tl.
Ce peut être aussi une phrase retranscrite phonétiquement comme ght2Vlo%E7am pour «j’ai acheté deux vélos pour cent euros cet après-
midi ». La durée d’authentification au service tout comme le nombre de tentatives pour y accéder doivent aussi être limités.

3 - Fixer des règles acceptables

Si les règles sont trop contraignantes, l’utilisateur les contournera. Aussi l’Anssi invite-t-elle à placer le curseur au bon endroit. Un renouvellement du mot de passe tous les 90 jours serait suffisant et uniquement pour les services critiques. Fixer des délais plus courts risque de se révéler contreproductif, comme la création de fichiers de mots de passe (à prohiber), voire le post-it en évidence sur l’ordinateur. Avec les coffres-forts de mots de passe (Keepass, Dashlane...), la multiplication des mots de passe n’est plus un problème. Ces outils permettent de générer des mots de passe complexes – avec un seul mot de passe à mémoriser pour accéder au logiciel – tout en s’interfaçant avec le navigateur pour compléter automatiquement les formulaires d’authentification.

4 - Opter pour une authentification multifacteurs

Les dictionnaires et autres logiciels utilisés par les cyberdélinquants permettent cependant de décrypter la plupart des mots de passe : ce n’est qu’une question de temps et de puissance de calcul. Aussi, l’Anssi recommande-t-elle notamment aux collectivités de s’orienter progressivement vers une authentification multifacteurs. Celle-ci combine des informations correspondant à «ce que je sais », comme un mot de passe, avec «ce que je possède », comme une carte à puce, une clef USB sécurisée ou un générateur de codes PIN (ou token). L’Anssi déconseille en revanche l’usage de la biométrie (empreinte, forme du visage), peu fiable et complexe à gérer. Plus coûteux, ces systèmes doivent être réservés à des applications critiques (état civil, finances, supervision informatique…) et être intégrés au cahier des charges présidant au choix des logiciels.

Téléservices : recourir à FranceConnect

Pour les téléservices mis à disposition par la collectivité – état civil, cantine, activités périscolaires, urbanisme… –, le mieux est d’utiliser le connecteur de l’État FranceConnect (https://franceconnect.gouv.fr). Celui-ci permet à l’usager de s’identifier sur plus d’un millier de sites en recourant à l’identité pivot de son choix. La DGFiP, l’assurance maladie ou les prestataires agréés par l’État proposent cette identité pivot. Créée après vérification de l’identité du demandeur, celle-ci peut être utilisée sur l’ensemble des sites raccordés à FranceConnect. Plus de 30 millions de comptes sont désormais actifs et la plupart des éditeurs des collectivités le proposent désormais dans leur offre.

En savoir + : www.ssi.gouv.fr (rubrique «Administration/Bonnes pratiques »).

Suivez Maires de France sur Twitter: @Maires_deFrance

Olivier Devillers

n°397 - JANVIER 2022