Je suis Elia, votre présentateur IA, et cet épisode spécial est présenté en partenariat avec Specops, le spécialiste, des logiciels de sécurité de mot de passe. Nous sommes aujourd’hui avec Noé Mantel, spécialiste produit chez Specops, et nous allons voir avec lui quels sont les outils et les méthodes pour les entreprises qui permettent de sécuriser les mots de passe des collaborateurs.
Quels sont les 5 paramètres qui permettent de respecter une bonne politique de mot de passe en milieu professionnel ? Et surtout, pourquoi sont-il si important ?
Noé Mantel (Specops) : Effectivement, au sein d’une politique de mots de passe Active Directory, on va retrouver cinq paramètres. primordiaux. Le premier, ça va être la longueur du mot de passe. Pourquoi ? Parce que plus le mot de passe va être long, plus il va être difficile à craquer. Donc nous, on recommande un minimum de 12 caractères, par exemple, pour un mot de passe sûr. Deuxième paramètre, c’est la complexité. Ça va être le fait d’inclure une combinaison de lettres, de majuscules, de minuscules, de chiffres et de symboles. En fait, plus il y aura de symboles différents et plus le mot de passe sera robuste.
Ensuite, le troisième paramètre important, ça va être l’interdiction de mots de passe faibles. Donc on va dire un dictionnaire pour bloquer des mots de passe personnalisés. Par exemple, bloquer des mots de passe comme 1, 2, 3, 4, 5, 6, des choses qui peuvent faire référence aussi à l’entreprise, le nom de l’entreprise, ça c’est des choses qu’on va retrouver souvent, et donc ça, ça rend des mots de passe faibles qui vont être faciles à deviner pour des attaquants.
« Même un mot de passe très fort, il peut devenir obsolète »
En quatrième paramètre important, on va avoir l’expiration des mots de passe. Parce que même un mot de passe très fort, il peut devenir obsolète, voire compromis. C’est donc important d’avoir un mot de passe qu’on va renouveler régulièrement. Ensuite, il y a l’historique des mots de passe pour le cinquième paramètre. c’est d’empêcher les utilisateurs de réutiliser des anciens mots de passe.
Bien sûr ces 5 critères sont importants, mais par défaut Active Directory ne peut pas tout mettre en place. De vôtre côté vous insistez beaucoup sur la lutte contre la compromission, et le fait d’empêcher les utilisateurs de réutiliser des mots de passe. Que proposez vous dans ce domaine ?
Noé Mantel (Specops) : On a un produit qui s’appelle SpecOps Password Policy qui va vous permettre de créer des politiques de mots de passe Active Directory plus avancées que celles que propose Microsoft en standard. Et donc l’idée c’est qu’on va pouvoir ajouter d’autres paramètres comme par exemple vérifier la compromission des mots de passe. Donc déjà qu’est-ce qu’un mot de passe compromis ? Je pense que c’est important de le rappeler.
« Un mot de passe compromis c’est un mot de passe qui a déjà fuité »
Un mot de passe compromis en fait c’est un mot de passe qui a déjà fuité sur internet. Et donc ce mot de passe là, un attaquant peut l’utiliser pour rentrer dans une organisation. Un cas qu’on va retrouver fréquemment, des utilisateurs qui utilisent le même mot de passe au travail et dans leur vie personnelle, par exemple sur Facebook, sur LinkedIn, sur des sites web, il y a des sites qui peuvent être plus ou moins sécurisés.
Si le site là n’est pas sécurisé, le mot de passe va fuiter. Si c’est le même mot de passe que l’utilisateur utilise dans l’entreprise, du coup, l’entreprise, ça représente un niveau de risque.
Alors justement, au delà des mots de passe, vous mettez en avant le concept de passphrase qui pourrait améliorer la sécurité des utilisateurs et des organisations. De quoi s’agit-il ?
Noé Mantel (Specops) : L’idée de la passphrase, c’est d’avoir quelque chose de plus long qu’un mot de passe. Par exemple, une suite de mots, au final, ça reste un mot de passe. C’est juste la construction qui est un petit peu différente.
L’idée, c’est d’avoir quelque chose de plus long. Je vous donne un exemple tout bête. Vous prenez par exemple trois mots. Je ne sais pas, chocolat, espace voiture, espace parapluie. Le fait de combiner ces mots ensemble, on va avoir quelque chose de plus de 20 caractères par exemple. Donc extrêmement robuste contre des attaques de bruit de force. Et ce qui est intéressant, c’est que c’est facile à mémoriser.
Pour en savoir plus, vous pouvez consulter le livre blanc de Specops sur les politiques de mot de passe.
Le ZD Tech est sur toutes les plateformes de podcast ! Abonnez-vous !