La gestion des mots de passe : un problème de sécurité trop récurrent

Quand on examine les dernières sanctions de la Cnil en termes de sécurité, on constate que le problème des mots de passe revient régulièrement.

  • Sanction du 11-01-2024 contre un site de paiement en ligne pour des mots de passe jugés trop faibles et conservés en clair ;
  • Sanction du 19-10-2023 contre une chaîne de télévision pour stockage pas assez sécurisé des mots de passe des employés ;
  • Sanction de 17-05-2023 contre un site web consacré au bien-être des personnes pour conservation des mots de passe dans un format insuffisamment sécurisé ;
  • Sanction du 30-11-2022 contre un Fournisseur d’Accès à Internet pour avoir stocké en clair les mots de passe dans les bases de données et pour un mot de passe trop simple pour ses clients. (huit caractères avec possibilité de n’utiliser que le même type de caractère) ;
  • Sanction du 24-11-2022 contre un fournisseur d’énergie pour un chiffrement des mots de passe pas assez solide ;
  • Sanction du 10-11-2022 contre une société américaine éditant un logiciel de messagerie instantanée pour la possibilité laissée aux clients de créer un mot de passe de 6 caractères.

Et l’on retrouve des problèmes de mots de passe dès les premières sanctions de la Cnil en 2020 !

De la même façon, les sociétés de cybersécurité qui analysent les violations de données ont constaté que les mots de passe les plus utilisés en 2023 étaient les suivants :

  • dans le monde des mots de passe comme : « password », « 123456 », « 123456789 », « guest », « qwerty », « 12345678 », « 111111 », « 12345 », « col123456 » et « 123123 » ;
  • et pour la France « 123456 », « 123456789 », « azerty », « 1234561 », « azertyuiop », « avf2013 », « loulou », « 000000 », « password » et « doudou » (1).

Quelle est la résistance des mots de passe ?

La gestion des mots de passe : un problème de sécurité trop récurrent

L’Etat, par l’intermédiaire de FranceNum.gouv.fr, a publié une infographie en 2023 illustrant le temps nécessaire à un pirate informatique de casser un mot de passe. Celui-ci est fonction, à la fois, du nombre et du type de caractères utilisés (2).

Les habituels mots de passe de 8 caractères, composés de lettres, majuscule et minuscule et caractères spéciaux, sont cassés en 5 minutes par un pirate informatique avec les ordinateurs d’aujourd’hui.

Google lui-même a choisi d’améliorer son navigateur Chrome en visant la sécurité des mots de passe.

Il a en effet annoncé fin 2023 la mise en place d’une alerte aux internautes. Elle est activée dans le cas où un mot de passe enregistré dans son navigateur aurait été compromis (3).

Alors quelles sont les règles applicables pour un bon mot de passe en 2024 ?

La gestion des mots de passe : un problème de sécurité trop récurrent

La Cnil a en octobre 2022 (4) mis à jour son référentiel en matière de gestion et d’entropie des mots de passe.

Elle a édité pour cela une nouvelle délibération portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés (5).

Elle donne des exemples précis de ce qu’elle considère comme un bon mot de passe :

Cas n°1 : mot de passe seul

La gestion des mots de passe : un problème de sécurité trop récurrent

  • Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles ;
  • Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.

Cas n°2 : mot de passe et restriction d'accès au compte

La gestion des mots de passe : un problème de sécurité trop récurrent

  • Exemple 1 : la taille du mot de passe doit être au minimum de 8 caractères et comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux),

La Cnil précise ce que pourrait être une restriction d’accès au compte :

  • une temporisation de l’accès au compte après plusieurs échecs, dont la durée augmente exponentiellement en fonction du nombre de tentatives dans un laps de temps déterminé ; cette durée soit supérieure à une minute après cinq tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures ;
  • un mécanisme déterminant un nombre maximal de tentatives autorisées dans un délai donné (par exemple, 10 essais par heure) ;

Cas n°2 : mot de passe et restriction d'accès au compte

La gestion des mots de passe : un problème de sécurité trop récurrent

  • un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (par exemple : mise en œuvre de « captcha ») ; 
  • un blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 10, assorti d’un mécanisme de déblocage proportionnel aux risques que les personnes fassent l’objet d’une usurpation d’identité.

Elle ne vise pas là, les processus d’authentification à multiples facteurs (MFA). La mise en œuvre de ce type de dispositif n’empêche pas l’application de la politique de mot de passe simples.

La Cnil ajoute des précisions en matière de conservation des mots de passe en base de données (chiffrement obligatoire minimum via SHA 256).

Dans le monde professionnel

La gestion des mots de passe : un problème de sécurité trop récurrent

  • Il est courant pour les DSI d’imposer une politique de mot de passe solide via l’identification unique ou « Sso ».

    Cette pratique permet aux collaborateurs de ne s’identifier qu’une seule fois avec un unique mot de passe. Celui-ci viendra connecter, via l’active directory, toutes les applications nécessaires à l’exercice de leur fonction.

    Les directeurs de la sécurité informatique prévoient également des dispositifs d’authentification à multiples facteurs dits « MFA » pour l’accès à des données particulièrement sensibles (données de santé, comptes administrateur…).

    Les DSI ont également la charge d’écrire la politique de mot de passe applicable dans les documents de gouvernance de la sécurité (PSSI, chartes informatiques…).

    Ces documents sont utiles à examiner lors d’un audit de sécurité pour s’assurer de la conformité des mots de passe.

    Les DSI pourront également rappeler dans ces documents les bonnes pratiques à respecter en termes de mot de passe. Il s’agit, par exemple, de :

Dans le monde professionnel

La gestion des mots de passe : un problème de sécurité trop récurrent

 

    • ne pas réutiliser le même mot de passe sur plusieurs sites ;
    • ne pas enregistrer son mot de passe dans les navigateurs ;
    • ne pas partager son mot de passe même avec ses assistants ;
    • ne pas indiquer ses mots de passe sur un support papier ;
    • se méfier des coffres forts de mots de passe accessibles gratuitement sur internet (6)
    • et privilégier les outils potentiellement proposés par leurs soins.

Par ailleurs, les DSI doivent vérifier que l’accès aux plateformes Saas proposés par un sous-traitant est bien concerné par le Sso.

Dans la négative, les DSI devront s’assurer que les mots de passe, nécessaires pour accéder à ces plateformes, sont performants. Ils doivent respecter la politique de robustesse décrite par la Cnil ci-dessus.

Quel avenir pour les mots de passe ?

La gestion des mots de passe : un problème de sécurité trop récurrent

Il semble probable que les mots de passe, en tant que tels, seront peu à peu abandonnés. Cela a déjà été fait pour les accès aux smartphones.

La préférence va à des dispositifs de plus en plus performants de vérification de l’identité. Ils utiliseront alors des données biométriques comme :

  • images du visage,
  • empreintes digitales,
  • iris de l’œil…

qui sont des dispositifs très intrusifs pour la vie privée.

Ce choix entre une simple authentification par un mot de passe souvent insuffisant sécurisé et l’utilisation de dispositifs biométriques peut soulever des dilemmes pour les entreprises entre le RSSI et le DPO :

    • l’un privilégiera la sécurité de son système d’information,
    • l’autre examinera si les données personnelles des collaborateurs sont convenablement traitées.

Anthony Sitbon

Avocat, Directeur du Département sécurité

Pour en apprendre davantage

À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...

Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit...

Retour en haut