Campagne de changement de mots de passe
L'été 2025 a été l'occasion pour les pirates d'exploiter des dizaines de comptes informatiques pour des activités frauduleuses. Une campagne générale de changement de mots de passe va être initiée en réponse à cet incident.
⚠️ Un lourd bilan lors de la fermeture administrative
La compromission initiale de ces comptes est inconnue et peut dater de plusieurs mois voire années !
Généralement l'utilisateur piégé a cliqué sur un lien frauduleux et entré ses identifiants sur un faux site Lyon 1 ou a installé un logiciel contenant une charge virale (souvent dans des logiciels piratés) qui ont aspiré ses identifiants.
Les équipes informatiques étaient mobilisées malgré la fermeture administrative et ont pu agir pour bloquer les comptes compromis. Malheureusement, souvent le mal avait déjà été fait et des centaines de messages indésirables ont pu être émis par les comptes piratés avant leur vérouillage.
Il a été constaté que les mots de passe des comptes compromis sont souvent anciens et/ou faibles (présents dans des dictionnaires de mots de passe connus).
C'est pourquoi une action préventive de changement de tous les mots de passe va être initiée.
⚠️ Campagne de changement de mots de passe
Cette campagne va consister en l'envoi d'emails pour inciter les utilisateurs à renouveller leur mot de passe.
Il y aura 4 phases selon le cas de figure :
-
Les comptes dont le mot de passe est jugé faible (présent dans un dictionnaire de mots de passe connus, par exemple "azerty1234")
-
Les comptes dont le mot de passe date de plus de 24 mois
-
Les comptes dont le mot de passe date de plus de 18 mois
-
Les comptes dont le mot de passe date de plus de 12 mois
Chaque phase sera traitée par plusieurs vagues d'envois successives d'emails afin d'inciter fortement au changement de mot de passe.
Ceux qui n'auront pas réinitialisé leur mot de passe après la dernière vague d'envoi verront leur compte informatique Lyon 1 automatiquement vérouillé.
❔ Comment changer son mot de passe
Vous devez utiliser le service en ligne sésame (vous avez un accès rapide dans le menu déroulant "Outils" en haut à gauche de toutes les pages de l'intranet)
Retrouvez ici nos conseils pour choisir et gérer vos mots de passe : https://go.univ-lyon1.fr/mdp
❔ Comment va se dérouler cette campagne
Si vous êtes concerné, vous allez recevoir un email en provenance de noreply@univ-lyon1.fr avec pour sujet [RSSI] Campagne de changement de mots de passe
Voici le message qui sera envoyé :
✅ Nouvelle politique de gestion des mots de passe
Une fois la campagne de changements de mot de passe actuelle terminée, il sera obligatoire de changer annuellement son mot de passe pour tous les utilisateurs Lyon 1.
Vous serez avertis lors de la connexion sur votre poste de travail ou sur un service web (via le CAS) que votre mot de passe est sur le point d'expirer.
❔ L'authentification forte
L'authentification forte (renforcée, multifacteurs, code à usage unique...) est une technique de sécurisation très performante pour vous protéger.
Cependant, ce n'est pas techniquement trivial à mettre en oeuvre et présente des défis organisationnels importants (équiper tous les utilisateurs d'un périphérique de confiance, former tout le monde, procédures en cas de perte de périphérique d'authentification, etc.).
C'est la prochaine étape qui est en phase d'études.
