« Weze-Xupe », « a^2+b**2=sqr(c) », « IXdKKaspdd ! » ou « dogs+F18 » ont longtemps représenté le nec plus ultra des mots de passe. En effet, au lieu d’être composés à partir de mots du dictionnaire, ils associent majuscules et minuscules, symboles et chiffres. Moins le mot de passe a de sens, plus il est sûr. Seul ce type de mot de passe résistait efficacement aux attaques par dictionnaire, tables arc-en-ciel ou autres. Le seul frein tenait à la puissance de calcul et au nombre de tentatives. Grâce à la loi de Moore, les pirates sont devenus, au fil du temps, de plus en plus puissants. Il est temps de s’adapter à nouveau.
Cela fait déjà un certain temps que le CERN n’exige plus que l’on modifie tous les ans nos mots de passe, ce qui nous facilite la vie et évite les changements absurdes, comme passer de « MonSuperMotDePasse2022 » à « MonSuperMotDePasse2023 » ; l’Organisation préfère à présent contrôler les mots de passe qui ont été rendus publics. Par ailleurs, avec la mise en place de l'authentification à deux facteurs (2FA), les comptes primaires et secondaires du CERN ont été dotés d’un niveau de protection supplémentaire, fort nécessaire. À l'heure actuelle, plus de 45 000 comptes du CERN sont protégés par l'authentification à deux facteurs ; cette protection s’étendra bientôt aux connexions à distance au cluster Linux interactif « LXPLUS » et lorsqu’on utilise les serveurs de terminaux Windows (CERNTS) connectés à internet.
L’heure est venue de franchir un nouveau pas. Laissons tomber les règles de complexité (lettres, symboles, chiffres) et optons plutôt pour des mots de passe longs, c'est-à-dire des « phrases secrètes », longues mais faciles à retenir, comme un poème ou un refrain, comme un lieu que vous aimez particulièrement ou un épisode de votre vie. Par exemple, « Fais de ta vie un rêve, et de ton rêve une réalité » (Saint-Exupéry), « In Xanadu did Kubla Khan a stately Pleasure Dome decree » (Frankie Goes to Hollywood), « CeciEstUnTrèsBonMotDePasse » (pour les personnes sûres d’elles-mêmes), « Un secret consiste à ne le répéter qu’à une seule personne à la fois » (pour les cinéphiles), « C'est quoi ce b*** ? » (pour les informaticiens), mais aussi « Heum Heum Heum Heum » (pour les indécis). Ou, si vous êtes plurilingue, utilisez une phrase secrète dans votre langue maternelle. Mieux encore : mélangez plusieurs langues, utilisez le franglais, le spanglish ou n’importe quelle autre combinaison (par exemple, « Le boss veut un feedback asap »). Plus la phrase est longue, plus elle est difficile à deviner, plus elle est difficile à déchiffrer. Du moins, pour l’instant.
L'objectif pour 2025 et 2026 est de remplacer progressivement tous les mots de passe actuels par des mots de passe de 15 caractères minimum (selon la norme NIST 800-63b). Rien ne changera pour tous ceux et celles dont les mots de passe répondent déjà à ce critère. Les autres seront invités, au fil du temps (et en fonction de la date de fin de leur contrat), à faire preuve de créativité et à rendre leurs mots de passe actuels plus longs mais plus simples, pour pouvoir les mémoriser plus facilement.
Et qu’en est-il des clés d’accès ? Pour les grandes entreprises technologiques, la clé d’accès, basée sur la technologie web dont elles sont propriétaires, remplace le mot de passe. Comme il s’agit la plupart du temps d'une authentification à facteur simple, ces entreprises préfèrent souvent que l’on utilise des clés résidentes - des clés qui vous entraînent dans leur écosphère et qui sont très souvent incompatibles les unes avec les autres. Aussi, à moins que cela ne change, on ne pourra pas utiliser de clés d’accès au CERN. Désolé...
__________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.