Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)
Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.
 |
Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017) |
| Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.
Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.
Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :
Les principaux risques identifiés au cours du cycle de vie d’un mot de passe
Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.  PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURSPour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase. Les exigences de la CNIL
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux. Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul. Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation
Dans tous les cas, Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.
Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :
Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.
Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Le sel ou la clé doit être généré au moyen d’un générateur de nombre pseudo-aléatoires cryptographiquement sûr (il utilise un algorithme public réputé fort et sa mise en œuvre logicielle est exempte de vulnérabilité connue). Il ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.
Renouvellement périodiqueLe responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé. La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent. Renouvellement sur demandeÀ la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe. Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion. Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement. Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :
Que faire en cas de risque de compromission du mot de passe ?Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,
Faites-nous par de vos remarques
Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à jour.
Texte officiel
Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
|
Pour cet IT Tour 2016 à Nantes, le plateau d’intervenants était constitué (de gauche à droite) de Cédric Cartau (RSSI du CHU de Nantes), Malika El Abed (Directrice des projets informatiques et Libertés chez Nantes Métropole Habitat), David Léaurant (DSI Vet’Affaires), Yannick Michel (Directeur organisation et systèmes d’information – Groupe Confluent Nouvelles Cliniques Nantaises) et Denis Jacopini (Expert Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles).
