La Cnil précise sa doctrine en matière de mots de passe et distingue selon les mesures complémentaires mises en oeuvre.
Le mot de passe et l’identifiant : le couple roi de l’authentification des services numériques
Le couple mot de passe et identifiant est la solution la plus utilisée en matière d’authentification. Néanmoins, ce mode d’authentification n’est pas des plus sûrs. En effet, tout d’abord, les utilisateurs utilisent souvent le même mot de passe pour plusieurs services numériques, ce qui affecte sa robustesse.
Par ailleurs, la multiplication des attaques informatiques et la compromission de base de données clients contenant les mots de passe associés aux comptes des personnes concernées améliore la connaissance des fraudeurs en matière de mots de passe et rend ces derniers moins efficaces.
Pour ces principales raisons, la Cnil considère que d’autres moyens comme par exemple l’authentification à double facteur ou les certificats électroniques, présentent plus de garanties.
Néanmoins, et dans le respect du principe de réalisme économique, elle n’interdit pas l’utilisation des mots de passe mais renforce ses exigences tout en tenant compte des autres mesures prises.
La Cnil précise que sa recommandation (1) fixe les modalités techniques minimales relatives à une authentification basée sur des mots de passe et précise que les risques spécifiques qu’un traitement peut faire peser sur la vie privée des personnes peut exiger des mesures plus rigoureuses.
La Cnil effectue des recommandations en reprenant les principales étapes de gestion d’un mot de passe.
En ce qui concerne les règles de composition de mots de passe, la Cnil distingue quatre situations. Pour en faciliter la compréhension, ces quatre situations sont reprises sous forme de tableau.
Les modalités d’authentification
La Cnil précise les exigences relatives aux modalités techniques d’authentification. A cet égard, lorsqu’elle n’a pas lieu en local, elle impose une mesure de contrôle de l’identité du serveur d’authentification au moyen d’un certificat d’authentification et un canal de communication chiffré à l’aide d’une fonction de chiffrement sûre avec un algorithme public réputé fort.
La conservation des mots de passe
La Cnil rappelle que le mot de passe ne doit jamais être stocké en clair. A cet effet, il est recommandé d’utiliser un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue utilisant un sel ou une clé.
Le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé générée avec un générateur de nombres pseudo aléatoires cryptographiquement sûr.
Le sel ou la clé ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.
Le renouvellement des mots de passe
La Cnil précise également les modalités concernant le renouvellement des mots de passe. A cet égard, elle précise que :
- le renouvellement doit être systématique en cas de compromission ;
- il doit s’effectuer selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.
La personne concernée doit pouvoir procéder elle-même au changement du mot de passe.
Lorsqu’une intervention d’un administrateur est requise, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur à la première connexion de la personne. La Cnil insiste sur le fait que le mot de passe ne doit pas être transmis en clair et recommande que la personne soit redirigée vers une interface lui permettant de saisir un nouveau mot de passe, étant précisé que l’interface ne devrait pas être disponible plus de 24h et ne permettre qu’un renouvellement.
Lorsque plusieurs éléments comme le numéro de téléphone, l’adresse postale, sont utilisés pour le renouvellement, la Cnil recommande de ne pas les conserver dans le même espace de stockage que l’élément de vérification du mot de passe ou alors de les conserver sous une forme chiffrée à l’aide d’un algorithme public réputé fort.
Elle précise également que la personne concernée doit être immédiatement informée du changement de ces éléments pour prévenir tout tentative de fraude.
Les responsables de traitement doivent intégrer dès aujourd’hui ces recommandations dans leur politique de sécurité et de mots de passe car elles constituent dorénavant le référentiel à partir duquel la Cnil opérera ses contrôles.
Céline Avignon
Lexing Publicité et Marketing électronique
(1) Cnil, Délibération 2017-012 du 19-1-2017, Communiqué du 27-1-2017 et Conseils « pour un bon mot de passe »