Campagne de changement de mots de passe

⚠️ Un lourd bilan lors de la fermeture administrative 

Un peu plus de 100 comptes informatiques de l'Université Lyon 1 ont été utilisés par des pirates cet été principalement pour envoyer des messages frauduleux (spam publicitaire, phishing).
La compromission initiale de ces comptes est inconnue et peut dater de plusieurs mois voire années !
Généralement l'utilisateur piégé a cliqué sur un lien frauduleux et entré ses identifiants sur un faux site Lyon 1 ou a installé un logiciel contenant une charge virale (souvent dans des logiciels piratés) qui ont aspiré ses identifiants.

Les équipes informatiques étaient mobilisées malgré la fermeture administrative et ont pu agir pour bloquer les comptes compromis. Malheureusement, souvent le mal avait déjà été fait et des centaines de messages indésirables ont pu être émis par les comptes piratés avant leur vérouillage.

Il a été constaté que les mots de passe des comptes compromis sont souvent anciens et/ou faibles (présents dans des dictionnaires de mots de passe connus).
C'est pourquoi une action préventive de changement de tous les mots de passe va être initiée.
 

⚠️ Campagne de changement de mots de passe 

Cette campagne va consister en l'envoi d'emails pour inciter les utilisateurs à renouveller leur mot de passe.
Il y aura 4 phases selon le cas de figure :

1. Les comptes dont le mot de passe est jugé faible (présent dans un dictionnaire de mots de passe connus, par exemple "azerty1234")

2. Les comptes dont le mot de passe date de plus de 24 mois

3. Les comptes dont le mot de passe date de plus de 18 mois

4. Les comptes dont le mot de passe date de plus de 12 mois

Chaque phase sera traitée par plusieurs vagues d'envois successives d'emails afin d'inciter fortement au changement de mot de passe.
Ceux qui n'auront pas réinitialisé leur mot de passe après la dernière vague d'envoi verront leur compte informatique Lyon 1 automatiquement vérouillé.
 

❔ Comment changer son mot de passe

Vous devez utiliser le service en ligne sésame (vous avez un accès rapide dans le menu déroulant "Outils" en haut à gauche de toutes les pages de l'intranet)
Retrouvez ici nos conseils pour choisir et gérer vos mots de passe : https://go.univ-lyon1.fr/mdp
 

❔ Comment va se dérouler cette campagne

Si vous êtes concerné, vous allez recevoir un email en provenance de noreply@univ-lyon1.fr avec pour sujet [RSSI] Campagne de changement de mots de passe
Voici le message qui sera envoyé :

✅ Nouvelle politique de gestion des mots de passe

Une fois la campagne de changements de mot de passe actuelle terminée, il sera obligatoire de changer annuellement son mot de passe pour tous les utilisateurs Lyon 1.
Vous serez avertis lors de la connexion sur votre poste de travail ou sur un service web (via le CAS) que votre mot de passe est sur le point d'expirer.
 

❔ L'authentification forte

L'authentification forte (renforcée, multifacteurs, code à usage unique...) est une technique de sécurisation très performante pour vous protéger.
Cependant, ce n'est pas techniquement trivial à mettre en oeuvre et présente des défis organisationnels importants (équiper tous les utilisateurs d'un périphérique de confiance, former tout le monde, procédures en cas de perte de périphérique d'authentification, etc.).
C'est la prochaine étape qui est en phase d'études.