L'ANSSI a mis à jour son guide sur les recommandations relatives à l'authentification multifacteur et aux mots de passe. Une excellente nouvelle, car la version d'origine de ce guide datait de 2012 et n'était plus vraiment d'actualité.

Ce nouveau guide, entièrement réécrit vis-à-vis de la version originale, contient un ensemble de 42 recommandations, détaillées tout au long de ce guide. Un document qui va pouvoir servir de référence aux DSI et permettre de comparer sa propre configuration avec les recommandations de l'ANSSI. Ces recommandations s'appliquent également aux utilisateurs finaux puisque le document aborde des points qui nous concerne tous : comment définir un nouveau mot de passe, quelle méthode choisir pour l'authentification multifacteur, comment stocker ses mots de passe, etc.

L'authentification multifacteur est fortement recommandé, mais l'ANSSI déconseille d'utiliser le SMS comme moyen de réception d'un facteur d'authentification. Bien que très répandu et proposé sur la majorité des services, le SMS s'appuie sur des protocoles vulnérables et il y a une attaque d'ingénierie sociale bien connue à ce sujet : le SIM Swapping. Elle permet à l'attaquant de prendre le contrôle du numéro de téléphone de la victime en trompant directement l'opérateur (voir page 21 du guide).

Ce qui est aussi l'occasion de rappeler que les mots de passe doivent être stockés dans un gestionnaire de mots de passe comme KeePass, et non dans un fichier Excel protégé par un mot de passe.

Maintenant que je vous ai donné envie d'en savoir plus...

Pour télécharger ce guide, rendez-vous sur cette page : Guide ANSSI sur les mots de passe - 2021

Je vais prendre le temps de bien lire tout ce guide, et il est fort probable que je vous propose quelques articles en rapport avec ces recommandations.

Si vous désirez mettre en place une politique de sécurité de mots de passe Active Directory qui respecte les recommandations de l'ANSSI, mais aussi celles d'autres acteurs de la sécurité, je vous recommande la lecture de mon article au sujet de Specops Password Policy.

The post Nouveau guide ANSSI sur les mots de passe et l’authentification multifacteur first appeared on IT-Connect.