Sécurité Technologique Canada

Mots de passe: Renforcer la sécurité organisationnelle

Télécharger au format PDF

Les mots de passe sont un élément important de la sécurité au travail, tant pour les survivantes que nous soutenons que dans nos vies personnelles, car ils protègent nos données et nos informations. La plupart des incidents de piratage sont dus à des mots de passe faibles ou volés. Vous trouverez ci-dessous quelques conseils pour optimiser vos mots de passe au sein de votre organisation.

Soutenir les survivantes: Prioriser la sécurité

Il est important de reconnaître que très souvent, les mots de passe ne sont pas suffisamment complexes et que la création de nouveaux mots de passe peut comporter des risques. Une personne qui surveille régulièrement vos appareils et vos comptes peut savoir qu’un mot de passe a été modifié et peut même être en mesure de le changer. De plus, les survivantes peuvent être contraintes ou forcées de révéler leurs mots de passe et les comportements violents peuvent s’intensifier. Dans certaines situations, des preuves peuvent être perdues à cause de modifications. 

Il n’y a pas une seule «bonne» réponse à un incident, mais diverses stratégies en fonction de la situation. Ce qui fonctionne pour quelqu’un peut ne pas s’appliquer dans un autre cas. Privilégiez toujours la sécurité et faites confiance à votre instinct — ainsi qu’à celui de la survivante. En plus des conseils contenus dans ce document, les mesures de sécurité suivantes peuvent s’avérer utiles:  

  • Utilisez un appareil plus sécuritaire et si quelqu’un pense que son téléphone ou ses comptes sont surveillés, suggérez-lui d’utiliser un autre appareil (ordinateur de la bibliothèque, téléphone d’un ami, etc.) et un compte auquel l’auteur n’a pas accès (ni maintenant, ni par le passé).  
  • Pour des conseils aux survivantes sur les mots de passe, voir Mots de passe: Des moyens simples pour renforcer votre sécurité. 

Conseils sur les mots de passe pour la sécurité organisationnelle

Les conseils suivants peuvent aider les organisations à prendre des décisions éclairées concernant les politiques et pratiques en matière de mots de passe du personnel. Il peut s’agir de mots de passe pour les courriels, les téléphones et les bases de données.  

Qu’est-ce qu’un mot de passe fort?  

Concentrez-vous sur la longueur. Les meilleurs mots de passe comportent un minimum de 12 à 15 caractères et contiennent des lettres, des chiffres et des symboles. Les lettres minuscules seules conviennent tout aussi bien que les chiffres et les symboles, à condition que le mot de passe soit suffisamment long.  

Créez une phrase courte et facile à retenir, comme MaVoitureEstRouge. N’utilisez pas de phrases que les autres pourraient deviner ou déduire. Si vous voulez, ou si un site web l’exige, vous pouvez ajouter des chiffres et des symboles: M@V01tur3E$tR0ug3.   

Changez de style. Créez un nouveau mot de passe pour les comptes qui contiennent des informations délicates ou identifiantes. Si une personne utilise le même mot de passe pour la plupart de ses comptes, une fois celui-ci déchiffré, tous les comptes deviennent vulnérables. Si votre compte n’a pas été compromis et que vous avez créé un mot de passe fort en suivant les conseils ci-dessus, il n’est pas nécessaire de le changer fréquemment. 

Différentes façons de conserver les mots de passe  

Gestionnaires de mots de passe  

Les gestionnaires de mots de passe sont sécuritaires et se souviennent des mots de passe pour vous éviter de le faire! La plupart des gens évitent d’utiliser des mots de passe différents pour des comptes différents parce qu’il est trop difficile de se souvenir de chacun et qu’il n’est pas sécuritaire de les écrire. Heureusement, les gestionnaires de mots de passe — qui gèrent et protègent les mots de passe — peuvent vous aider. Ces outils peuvent également créer des mots de passe très difficiles à déchiffrer. Tous les mots de passe sont conservés dans un coffre-fort crypté, nécessitant un mot de passe principal. Le mot de passe principal doit être le plus long et unique possible, et il ne doit pas être se trouver dans le gestionnaire de mots de passe.   

Il y a deux choses importantes à prendre en compte avant de choisir un gestionnaire de mots de passe:   

  • L’entreprise a-t-elle la possibilité de consulter vos mots de passe?   
  • L’entreprise est-elle en mesure de voir ou de conserver votre mot de passe principal?  

Les options sont plus sécuritaires si la réponse à ces deux questions est non.  

Clés ou mots de passe?  

Au lieu ou en plus d’un mot de passe principal, certains gestionnaires de mots de passe — et certains sites web — offrent la possibilité d’utiliser une clé d’authentification sans mot de passe, souvent appelée (selon l’entreprise) une Clé d’authentification ou Clé secrète. Une clé est un élément d’information stocké dans l’appareil lui-même qui indique à un site web ou à une appli que cet appareil est autorisé à accéder à des informations protégées. Il n’est pas téléchargé sur Internet, de sorte que si les données du gestionnaire de mots de passe sont volées ou si quelqu’un obtient votre mot de passe par un autre moyen, il lui sera toujours impossible de lire vos informations. Une clé sans mot de passe peut donc s’avérer utile si vous contrôlez vos propres appareils. Les clés d’accès, un type de clé sans mot de passe s’appliquant à certaines situations, sont abordées plus en détail dans la section Authentification multifactorielle.  

Gestionnaires de mots de passe pour autres comptes  

Certains navigateurs (comme Firefox) et comptes utilisés à d’autres fins (comme Google) offrent la possibilité d’utiliser des gestionnaires de mots de passe intégrés. Mais une personne qui parviendrait à entrer dans votre compte pourrait aisément voler vos mots de passe, car votre niveau de sécurité équivaut à celui des mots de passe de vos comptes Google, Microsoft, Firefox, ou de n’importe quelle autre option intégrée que vous utilisez. C’est pourquoi il est généralement plus sûr d’utiliser un gestionnaire de mots de passe distinct ne faisant pas partie de votre navigateur, tel que 1Password ou LastPass.  

Mesures de sécurité du mot de passe 

Authentification à deux ou plusieurs facteurs  

L’authentification à deux ou plusieurs facteurs signifie qu’au lieu de saisir un simple mot de passe pour se connecter à un compte, la personne devra également saisir un code supplémentaire. Cette option se trouve dans les paramètres du compte ou les paramètres de sécurité du service en ligne.   

Il existe deux catégories distinctes d’authentification multifactorielle/à deux facteurs: «quelque chose que j’ai» ou «quelque chose que je suis»  

Actuellement, la plupart des services utilisent la version «quelque chose que j’ai». Voici comment cela fonctionne. Après avoir saisi votre mot de passe, l’entreprise envoie immédiatement un code court à un élément que vous possédez: un courriel, un SMS, un appel vocal, ou une appli installée sur votre appareil. Vous introduisez ensuite ce code sur le site, et voilà! — vous pouvez accéder à votre compte. Cette étape confirme que vous êtes bien la personne que vous prétendez être, car vous avez vérifié que vous possédez bien le courriel, le téléphone, etc., que vous avez précédemment connecté au compte.   

Authentification du matériel  

Si l’on craint que les appareils soient surveillés ou compromis, ou même que des codes soient envoyés aux appareils appartenant au personnel, une autre option consiste à utiliser un authentificateur matériel, tel que YubiKey — un petit objet qui peut se connecter à un appareil pour prouver qu’il s’agit bien de vous. Vous pouvez répondre à un questionnaire afin de déterminer le type de produit qui vous conviendrait le mieux.   

C’est une méthode de sécurisation des comptes et des appareils performante qui ne nécessite pas l’utilisation d’informations déjà présentes sur vos appareils. Cependant, il se peut que vous craigniez la perte de cet appareil, surtout si votre équipe en dépend. 

Authentification biométrique  

De plus en plus de plateformes offrent la possibilité d’utiliser la forme d’authentification «quelque chose que je suis» — une empreinte digitale ou votre visage, par exemple. Traditionnellement, ces méthodes d’authentification sont considérées comme «plus sécuritaires» que «quelque chose que j’ai». Si votre politique autorise le personnel à utiliser cette méthode sur des appareils partagés, il faut prévoir un plan au cas où cette personne quitte l’organisation. 

Clés d’accès   

La clé d’accès sans mot de passe est brièvement abordée dans la section sur les gestionnaires de mots de passe ci-dessus. Les clés d’accès sont un projet commun de Google, Apple et Microsoft visant à réduire la nécessité d’utiliser des mots de passe, et ils répondent à certaines normes de conception. Les clés d’accès sont stockées sur les appareils — vous n’avez pas à vous en souvenir et les opérateurs de sites web ou d’applis ne les voient jamais. Les clés d’accès sont utilisées en combinaison avec la méthode de sécurité de l’appareil (par exemple, des données biométriques comme FaceID ou TouchID, un mot de passe, un NIP) pour se connecter aux applis, sites web et autres services qui les prennent en charge.  

Les clés d’accès sont à considérer si l’on veut renforcer la confidentialité et la sécurité, y compris celle des survivantes. Toutefois, si un auteur de violence a accès à l’un de vos appareils et s’y connecte (connaît le mot de passe de votre ordinateur, peut vous contraindre à ouvrir l’appareil à l’aide de votre empreinte, etc.), cette option n’est peut-être pas la bonne. En permettant l’accès non seulement à cet appareil, mais aussi à d’autres de la même marque (par exemple, d’autres appareils Apple), les dégâts pourraient être amplifiés. Cela pourrait également vous compliquer la vie si le personnel doit être sur place pour accéder à des fichiers, étant donné la nature partagée des appareils de l’organisation.  

Authentification unique   

De nombreux sites web offrent la possibilité d’utiliser les identifiants de médias sociaux ou des courriels pour se connecter à leur site ou créer un compte (par exemple, en utilisant votre compte Facebook ou Google pour créer un compte ou vous connecter à LinkedIn, TikTok, un site d’achat, etc.) C’est ce qu’on appelle l’authentification unique, et elle comporte certains risques.   

Malgré l’aspect plutôt pratique de n’avoir qu’un compte, et donc, un seul nom d’utilisateur et mot de passe, cette méthode comporte plusieurs failles. En choisissant l’authentification unique, vous autorisez Facebook, Google, etc., à accéder à davantage d’informations sur vous. Vous partagez également les informations de votre compte de médias sociaux avec le nouveau site ou service.   

En outre, si le compte de médias sociaux ou de courriel est compromis, cela signifie que les autres comptes utilisant ces identifiants de connexion sont également compromis.   

Comment quelqu’un peut-il découvrir les mots de passe de votre organisation et quand faut-il les changer

Les mots de passe de votre organisation peuvent vous échapper de différentes manières:  

  • Ils peuvent être divulgués lors de fuites de données, lorsque l’on copie ou vole des informations, telles que la base de données d’un site web (noms d’utilisateur, mots de passe, etc.). Le personnel peut découvrir qu’un courriel ou numéro de téléphone est compromis en consultant HaveIBeenPwned et changer les mots de passe au besoin.  
  • Un membre de la famille peut les avoir acquis, soit par partage consensuel, par surveillance non consensuelle, ou en les devinant (s’il s’agit d’un mot de passe facile). Le personnel peut être la cible de pirates employant des ruses pour obtenir vos mots de passe. L’une des tactiques les plus courantes pour obtenir ces informations consiste à se faire passer pour une personne représentant une cliente de votre organisation. Un autre moyen consiste à envoyer un courriel prétendant provenir d’un site web, d’un service, d’un ami ou d’une collègue comprenant un lien vers un site à suivre (hameçonnage). Lorsque vous cliquez sur ce lien, vous êtes dirigé vers un faux site web qui vous demande des informations privées, ou encore, le lien contient un virus qui infecte automatiquement votre ordinateur. Les attaques par rançongiciel sont de plus en plus fréquentes. Dans un tel cas, un pirate informatique va refuser de restituer les fichiers d’une organisation à moins qu’une somme d’argent ne soit versée. 

Pour soutenir le développement de politiques sécuritaires, HFC a rédigé le document Use of Technology Policy Template Guide for Women’s Shelters and Transition Houses (PDF, en anglais).

La violence fondée sur le genre facilitée par la technologie (VFGFT) fait partie d’un continuum de violence qui peut se produire à la fois en ligne et en personne. Si vous ou l’une de vos connaissances faites face à la VFGFT, vous n’êtes pas seule. Vous pouvez consulter hebergementfemmes.ca pour trouver une maison d’hébergement près de chez vous afin de discuter de vos options et de créer un plan de sécurité. Vous n’avez pas besoin de résider dans une maison d’hébergement pour accéder à un soutien et à des services gratuits et confidentiels. 

Adapté pour le Canada avec la permission du Safety Net Project de NNEDV, d’après leur ressource Passwords: Increasing Your Security 

Contrôle de sécurité!

Si vous pensez que quelqu’un surveille vos appareils, visitez ce site web depuis un ordinateur, une tablette ou un téléphone non surveillé.

QUITTEZ MAINTENANT ce site web et supprimez-le de l’historique de votre navigateur.

Pour en savoir plus, consultez nos conseils rapides sur la sécurité technologique

Quitter le site