Nouvelles et opinions de la communauté de sécurité informatique
19 August 2021
Avant de défroquer, j’étais médecin de famille dans un CLSC du centre-ville de Montréal. Tous les mois, le système me demandait de changer de mot de passe. Ce message était habituellement précédé de plusieurs autres messages m’avisant que le mot de passe allait devoir être changé dans x jours.
J’avais pris l’habitude d’ignorer ceux-ci.
C’est une loi de la nature, que le message final, comme la mise à jour de Windows, arrive tout le temps au pire moment.
Cela arrivait habituellement lorsque j’étais occupé et fatigué. Je venais possiblement de passer 24 heures à la salle d’accouchement de l’hôpital à attraper des bébés et j’avais 14 messages téléphoniques à retourner, quatre fax à envoyer, des rapports illisibles à déchiffrer et des gens qui m’attendaient dans la salle d’attente.
En arrivant au CLSC, l’administrateur du système m’avait donné un mot de passe « temporaire ». Je l’ai conservé, à toute fin pratique, pendant 5 ans.
C’était quelque chose comme « samhar01 ».
Il y avait une règle qui empêchait la réutilisation des derniers mots de passe. Mais j’ai rapidement réalisé qu’une fois rendu à samhar09, je pouvais recommencer à 01. C’était bien pratique.
Le problème c’est que je n’avais jamais considéré le risque que cela posait et personne ne m’en a parlé.
Récemment, une source anonyme a fait parvenir une photo au Hackfest. Cette personne est allée dans un CLSC de la région de Québec. À l’accueil se trouvait un ordinateur. Sur celui-ci, on voyait les mots de passe clairement affichés. Vraiment bien visible. Cela n’avait pas été gribouillé sur un post-it. Non. On s’était forcé pour faire du beau travail.
J’ai contacté le CISSS (Centre Intégré de Santé et de Services sociaux). Madame Maryse Rodrigue, du service des communications, a répondu que le CISSS « [ fait ] régulièrement des rappels aux employés à propos de la confidentialité des codes d’accès et mots de passe et qu’il existe une politique à ce propos. »
La porte-parole m’a également assuré qu’un suivi serait fait « pour rectifier la situation ».
L’objectif ici n’est pas de jeter la pierre à l’employé ou l’employée qui a collé son mot de passe sur l’ordinateur. C’est un comportement risqué. Malheureusement, l’expérience montre que plus certaines règles et pratiques deviennent contraignantes et plus les gens trouvent des façons de les contourner. De plus, la formation sur le « pourquoi » ce comportement est risqué fait souvent défaut.
J’ai demandé à Vincent Tremblay, un spécialiste en cybersécurité et membre organisateur du Hackfest, si les organisations devaient obliger leurs employés à changer souvent de mots de passe. Il m’a répondu que « les politiques de mots de passe sont un couteau à double tranchant. Trop compliqué ? Le monde va tout faire pour bypasser ça ou s’en balancer et on est de retour à la case zéro. Trop simple, mais on doit changer trop souvent ? On devra s’attendre à ce que le ticket #1 soit “J’ai oublié mon mot de passe et ça ne me laisse pas le changer”. »
Alors, qu’est-ce qu’on fait ?
La solution passe par la sensibilisation et l’éducation. L’authentification n’est pas là pour nous faire suer, mais pour protéger des données hautement sensibles et confidentielles. Comprendre le « pourquoi » est primordial. Car oui, si l’on n’en comprend pas l’importance, la sécurité est souvent perçue comme un obstacle.
En attendant le « passwordless authentication », on peut laisser tomber certaines pratiques désuètes et utiliser des phrases de passe en assouplissant les règles de complexité et de rotation rapide des mots de passe.
On doit surtout créer un environnement ou les employés et employées ont le temps nécessaire à consacrer aux bonnes pratiques en sécurité de l’information.
On peut aussi arrêter d’utiliser le fax, mais ça, c’est un sujet pour un autre jour.