A compter du 31 mars 2015, la sécurité des logiciels Eurécia est renforcée de manière très significative. Au programme :
- Sécurité accrue pour les mots de passe
- L'ensemble des urls est réécrit en https
- Limitation des tentatives de connexion
- Sécurisation supplémentaire des web services (API Eurécia).
Le service sera interrompu le mardi 31 mars de 19 h 00 à 20 h 00 (heure de Paris).
Une sécurité accrue pour les mots de passe.
S’ils doivent redéfinir un mot de passe, les utilisateurs devront respecter les règles suivantes :
- une longueur minimale de 8 caractères
- contenir au moins un chiffre, une lettre minuscule et une lettre majuscule
- le nouveau mot de passe devra être diffèrent des 3 derniers mots de passe.
Pour imposer un changement régulier des mots de passe à vos utilisateurs, suivez le guide.
Faudra-t-il se déconnecter d’Eurécia lors de la mise à jour ?
15 minutes avant la mise à jour, un message s’affichera sur la plateforme et préviendra les utilisateurs qu’Eurécia sera coupé pendant une heure environ, de 19 h à 20 h. Ils pourront alors enregistrer leur travail.
Les utilisateurs qui seraient encore en ligne au démarrage de la mise à jour seront automatiquement déconnectés.
Mes utilisateurs pourront-ils se connecter après la mise à jour du 31 mars avec leur mot de passe habituel ?
Oui, ils continueront à saisir leur mot de passe habituel. Ils ne seront pas bloqués et continueront à pouvoir utiliser Eurécia comme précédemment. Ils ne seront pas obligés de changer leur mot de passe.
Mes utilisateurs ont-ils reçu une communication de la part d’Eurécia ?
Aucune communication de la part d’Eurécia n’a été effectuée, nous vous laissons le soin de communiquer auprès d’eux en fonction de votre propre politique interne.
Mes utilisateurs verront-ils qu'il y a eu une mise à jour ?
Dans l’absolu, ils ne s’en rendront pas forcément compte. S'ils oublient leur mot de passe et qu'ils cliquent sur le lien "mot de passe oublié", alors le nouveau mot de passe devra respecter les nouveaux critères de sécurité.
Si votre société a mis en place un changement régulier des mots de passe de vos utilisateurs, alors l’utilisateur devra respecter les nouveaux critères de sécurité lors du prochain renouvellement.
Mes utilisateurs pourront-ils toujours modifier leur mot de passe ?
Oui, ils pourront mettre à jour leur mot de passe, en utilisant la fonctionnalité habituelle située sur la page d’accueil d’Eurécia, une fois connecté.
Comment l’utilisateur sait-il que son nouveau mot de passe respecte les nouveaux critères ?
Lors de la définition d’un nouveau mot de passe, un assistant s’affiche automatiquement pour que l’utilisateur voit l’évolution du niveau de sécurité de son mot de passe et le respect des critères.
L'ensemble des url est réécrite en https
La plateforme Eurécia sera disponible uniquement en https (SSL). Les requêtes saisies en http seront automatiquement redirigées de http vers https, de manière totalement transparente pour l'utilisateur.
L'enregistrement du mot de passe dans l'url de connexion (login en GET) ne sera plus possible. Les mots de passe pourront toujours être enregistrés dans la fonctionnalité du navigateur prévue à cet effet, pour une connexion rapide et sécurisée à la plateforme.
Le nombre de tentatives d'authentification à la plateforme Eurécia sera limité à 5. Au-delà, le compte de l'utilisateur sera bloqué pendant 15 minutes. Il pourra ensuite essayer de nouveau de s'authentifier ou changer son mot de passe s'il ne s'en souvient plus.
Cette évolution offrira notamment une protection contre les attaques de type brute force.
Sécurisation supplémentaire des web services (API Eurécia).
Le nombre de tentatives d'authentification aux Web Services d'Eurécia sera limité à 10. Au-delà, l'adresse IP utilisée sera bloquée pendant 60 minutes.
En dehors de l'authentification, le nombre d'appels aux Web Services d'Eurécia sera limité à 50 appels par minute. Au-delà, la requête ne sera pas traitée et un message d'erreur sera retourné.
