« J'ai perdu mon mot de passe »
Les retours de vacances ... la nostalgie pour beaucoup d'entre nous en regardant s'éloigner la station balnéaire qui nous a accueilli cet été ... mais surtout la hantise des services informatiques que l'on interpelle dès le premier jour de la reprise en soupirant : « j'ai perdu mon mot de passe ! ».
Rassurons tout de suite l'utilisateur, personne ne va l'obliger à retourner fouiller chaque recoin de la plage à l'aide d'un détecteur de mots de passe [DET], le mot de passe prétendument perdu étant toujours bien présent, soigneusement stocké dans un espace numérique ultra sécurisé par son entreprise.
Mais au fait, de quel mot de passe s'agit-il ? Celui associé à l'identifiant de connexion de votre poste bureautique, à votre compte de messagerie électronique, à votre identifiant de connexion Internet (votre entreprise vous ayant offert une solution de filtrage d'accès sécurisé), à votre espace de partage documentaire ou bien encore celui associé au logiciel de gestion des commandes ?
Une chose est sûre, ce n'est ni le code d'entrée de l'immeuble qui abrite l'entreprise, ni celui de la carte bancaire « Corporate », ni code PIN du téléphone professionnel, car tout ceux-là sont facilement mémorisables, ils ne contiennent que des chiffres.
« C'est grave docteur ? »
- « Ne vous inquiétez pas, il s'agit simplement d'une incapacité à accéder à une information stockée dans votre mémoire long terme [MLT], due à interférence rétroactive ou proactive »
- « D'accord et que me proposez-vous ? »
Deux solutions s'offrent à présent à notre valeureux responsable informatique :
- rentrer plus en détail sur les mécanismes de traitement des informations par le cerveau, au risque de voir ses explications finir tout bonnement dans la mémoire court terme [MCT] de notre utilisateur
- expliquer calmement à son interlocuteur qu'il existe sans doute une procédure simple de réinitialisation de son mot de passe
- la réinitialisation du mot de passé par l'administrateur système, accompagnée d'une communication orale du nouveau mot de passe (« toto1234 »), ce dernier devant être modifié lors de la prochaine connexion
- la vérification de la réponse à une ou plusieurs questions secrètes définies ou choisies par l'utilisateur (« quelle est mon plat préféré ? ») avant présentation à l'utilisateur d'une boite de dialogue l'invitant à saisir un nouveau mot de passe
- l'envoi sur messagerie électronique d'un nouveau mot de passe généré automatiquement par le système de réinitialisation de mot de passe
- l'envoi sur messagerie électronique d'un lien redirigeant l'utilisateur vers une page « à usage unique » de saisie d'un nouveau mot de passe
« Cliquez fort, c'est du carbone »
Bien heureusement, le spécialiste sécurité de l'entreprise, lecteur assidu de ce blog, a opté pour la bonne solution.
Hé oui ! La voici la raison qui a poussé le service informatique à profiter de l'absence de leurs collègues cet été pour déployer sur chaque poste de l'entreprise le tout nouveau gestionnaire de mot de passe qui intègre le fameux bouton « Je ne peux pas ouvrir ma session ». Un nouveau lien a également fait son apparition sur l'application métier : « j'ai perdu mon mot de passe ».
La politique de gestion des mots de passe mise en œuvre l'année dernière avait bouleversé de nombreux utilisateurs et le résultat fut parfois loin des attentes du spécialiste sécurité pour qui la prolifération des petites feuilles de papier autoadhésives sous les claviers était devenue un véritable cauchemar.
Il avait donc fallu se rendre à l'évidence et définit une stratégie efficace mais non contraignante :
- renforcer la politique de gestion des mots de passe
- accompagner l'utilisateur dans le changement
- ne pas laisser l'utilisateur être tenté par des gestionnaires de mots de passe, parfois non exempts de vulnérabilités [VUL]
- proposer un processus et un outillage de réinitialisation en « self-service »
« La prochaine fois, je ferai attention »
Enfin soulagé par cet heureux dénouement, notre utilisateur peut enfin savourer les joies des retrouvailles avec son fond d'écran préféré, ses courriers électroniques, documents en tout genre et autres formulaires de saisie.
A présent, nous ne pouvons qu'inviter notre utilisateur à maintenir en pleine forme son principal outil de travail [CER] ... et inviter nos lecteurs à partager leurs conseils en matière de mémorisation de mots de passe !
Notes
[DET] - Si vous recevez en fin d'été une publicité pour ce type de matériel, nous vous invitons à lire attentivement les articles de notre blog sur les fraudes pratiquées sur Internet.
[MLT] - http://fr.wikipedia.org/wiki/Memoire_a_long_terme
[MCT] - http://fr.wikipedia.org/wiki/Memoire_a_court_terme
[DIF] - Une vieille légende raconte que certains administrateurs renverraient parfois (à leurs utilisateurs médusés devant tant de sécurité) les nouveaux identifiants et mot de passe de messagerie électronique par courrier électronique.
[MDP] - http://www.securite-informatique.gouv.fr/autoformations/motdepasse/
[HOW] - http://www.wikihow.com/Create-a-Password-You-Can-Remember
[VUL] - http://www.google.com/#q=password+manager+vulnerability
[CER] - http://www.lefigaro.fr/sciences-technologies/2010/02/26/01030-20100226ARTFIG00585-cinq-regles-d-or-pour-un-cerveau-tonique-.php
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens