Lorsque un utilisateur veut accéder à un système d'information (Iprof, messagerie académique, etc.) il doit dans un premier temps effectuer une procédure d'identification et d'authentification.

L'identification est une phase qui consiste à établir l'identité de l'utilisateur. Elle permet répondre à la question : "Qui êtes vous ?". L'utilisateur utilise un identifiant (que l'on nomme "Compte d'accès", "Nom d'utilisateur" ou "Login" en anglais) qui l'identifie et qui lui est attribué individuellement. Cet identifiant est unique.

L'authentification est une phase qui permet à l'utilisateur d'apporter la preuve de son identité. Elle intervient après la phase dite d'identification. Elle permet de répondre à la question : "Êtes-vous réellement cette personne ?". L'utilisateur utilise un authentifiant ou "code secret" que lui seul connait.

Le code secret d'un utilisateur est une information personnelle qui ne doit en aucun cas être divulgués. Il est aussi communément nommé "mot de passe".

Le mot de passet ne permet pas de donner un droit d'accès, il permet uniquement d'assurer l'imputabilité dans l'usage de ces droits d'accès.

Lorsque deux personnes ou plus connaissent le mot de passe correspondant à une identité d'utilisateur, il s'agit d'une infraction à la sécurité. Sauf en cas de disposition spécifique pour assurer la continuité d'un service. Cette disposition est alors clairement définie dans la charte d'usage des personnels.

Les principaux risques liés au mot de passe sont sa divulgation et sa faiblesse.

La divulgation d'un mot de passe est causée soit par négligence des règles ("prêt" de ses identifiants et authentifiants à un collègue ou à sa hiérarchie) soit par un acte de malveillance (craquage de mot de passe, cheval de Troie, hameçonnage). Dans les deux cas, la responsabilité de l'utilisateur, propriétaire de l'identité usurpée, peut se voir engagée.

La faiblesse d'un mot de passe constitue une faille sérieuse. Les techniques utilisées pour "découvrir" les mots de passe (craquage, ingénierie sociale) sont toujours efficaces lorsque ces derniers sont trop simplistes ou lorsqu'ils se rapportent à des éléments de la vie privée ou publique de la personne (prénom d'un enfant, marque de sa voiture, etc.).

La sécurité de l'accès s'appuie sur la robustesse du mot de passe et sur notre capacité à le garder secret. Tous les utilisateurs doivent pour cela respecter les consignes suivantes :

Le mot de passe doit :

• être renouvelé régulièrement (au minimum tous les 18 mois),
• comporter au moins 12 caractères formant une combinaison de caractères spéciaux et de lettres alphanumériques. Il est possible que certaines applications imposent un mot de passe plus complexe (comme l'application « Base élèves 1^er degré »).

La politique académique des mots de passe

 

• Majuscules : ABCDEFGHIJKLMNOPQRSTUVWXYZ
• Minuscules : abcdefghijklmnopqrstuvwxyz
• Chiffres : 0123456789
• Spéciaux : ;:-_=\|//?^&!.@$£#*()%~<>{}[]

 

Pour être valable, votre mot de passe doit répondre aux critères suivants : 

• minuscules : 1 au moins 
• majuscules : 1 au moins
• chiffres : 1 au moins
• caracteres speciaux AUTORISES : 1 au moins
• longueur (en caracteres) : 12 au moins

• rester confidentiel et ne pas être accessible à proximité du poste de travail (post-it par exemple),
• être saisi par l'utilisateur lors de l'authentification et ne pas être pré-enregistré (comme cela est parfois proposé par les navigateurs internet).

Consignes aux utilisateurs

L'utilisateur doit :

• modifier son mot de passe en cas de doute sur sa confidentialité (après une attaque de type "Phishing" par exemple).
• signaler obligatoirement toutes difficultés ou risques éventuels liés à ces mots de passe à l'administrateur informatique ou directement au RSSI (mot clé "signaler").
• ne jamais communiquer ses mots de passe à quiconque; ni même aux administrateurs ou au RSSI.
• chercher à exploiter le même mot de passe par domaine restreint. Par exemple, éviter d'utiliser le même mot de passe pour se connecter à un forum quelconque ou à sa messagerie personnelle que celui utilisé pour accéder à la messagerie professionnel. Autrement dit, le mot de passe utilisé dans le cadre du système d'information de l'académie ne doit pas être utilisé par ailleurs. 

Le mot de passe est il suffisant pour apporter la preuve d’une identité  ?

Si une personne annonce mon identité par téléphone et que son interlocuteur lui demande sa date de naissance pour s’authentifier, l'est-il vraiment si c'est la seule information utilisée et qu'elle est aisément récupérable (réseaux sociaux, etc.) ?

L’authentification par simple mot de passe ne remplit pas les conditions de sécurité exigés.

Certains systèmes d’informations de l’Education Nationale imposent un mode d’authentification plus robuste appelé « Authentification forte ».

L'authentification basique

Utilisation de deux vecteurs :

• Qui je suis →  L'identifiant (login)

            et

• Ce que je sais → L'authentifiant (mot de passe)

L'authentification forte

Utilisation d'au moins trois vecteurs :

• Qui je suis →  L'identifiant (login)

            et

• Ce que je sais → L'authentifiant (mot de passe)

            et

• Ce que je possède → un certificat, un badge ou une carte à puce

            et/ou

• Ce que je suis → une empreinte biométrique

Portail de la sécurité informatique

Les mots de passe

Sécurité : Comment construire un mot de passe sûr et gérer la liste de ses codes d'accès       Source : CNIL.fr