01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Les recommandations de la CNIL en matière de mots de passe

mot de passe cnil haas avocats

A propos de la Délibération n° 2017-012 du 19 janvier 2017 de la CNIL portant adoption d’une recommandation relative aux mots de passe

La CNIL a toujours été peu convaincue de l’efficacité du contrôle des accès par le seul mot de passe, préférant les certificats électroniques d’authentification ou l’authentification à double facteur.

Elle vient néanmoins d’émettre une recommandation relative aux mots de passe que tous les responsables de traitement de données à caractère personnel et leur sous-traitant devront suivre dans le cadre de leur obligation de sécurité et de confidentialité des données qu’ils traitent.

En effet, la CNIL considère que les lignes directrices qu’elle fixe dans sa recommandation constituent un référentiel technique apportant un niveau de sécurité minimal en matière de gestion des mots de passe destiné à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect des obligations qui leur incombent dans l’état de l’art (articles 34 et 35 de la Loi Informatique et Libertés).

Bien que certains traitements puissent exiger des mesures plus rigoureuses pour préserver la sécurité des données (gestion des mots de passe des administrateurs informatiques, traitement de données sensibles…), la CNIL fixe les règles minimales à respecter.

 

1/ Le responsable doit fixer les règles

Il appartient au responsable de traitement de fixer les règles en matière de création de mots de passe pour l’authentification à un compte en déterminant les tailles minimales et maximales, la complexité des mots de passe et en informant les utilisateurs sur ces règles tout en prenant soin de ne jamais communiquer le mot de passe en clair, notamment par courrier électronique.

Les mots de passe doivent être renouvelés selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé, l’utilisateur devant pouvoir modifier son mot de passe quand il le souhaite. La procédure de renouvellement de mots de passe est détaillée dans la délibération de la CNIL.

 

2/ Les bonnes pratiques en matière de gestion des mots de passe

La CNIL distingue quatre situations avec des degrés d’exigence différents résumés dans le tableau infra.

Quel que soit le cas, l’authentification utilise un algorithme public réputé fort et qui ne fait pas l’objet d’une vulnérabilité connue. Lorsque l’authentification se fait à distance, un certificat d’authentification de serveur doit être mis en place et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue avec une sécurisation des clés privées.

Les mots de passe ne doivent jamais être stockés en clair. Ils doivent être transformés au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé qui doit lui-même être généré au moyen d’un générateur de nombres pseudo aléatoires cryptographiquement sûr stocké séparément de l’élément de vérification du mot de passe.

Mesures d’authentificationTaille minimaleComposition (catégories de caractères)Autres Obligations
Cas n°1Mot de passe seul12 caractères 4 : Majuscules, Minuscules, Chiffres et caractères spéciaux (cumulatifInformation de l’utilisateur sur l’importance du mot de passe qui détermine la robustesse de l’authentification et conseil sur la création de son mot de passe
Cas n°2Mot de passe + autre restriction d’accès8 caractères 3 (majuscules, minuscules, chiffres et/ou caractères spéciaux)Les autres restrictions d’accès peuvent prendre 3 formes :

  • temporisation d’accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps (durée supérieure à 1 minute après 5 tentatives échouées, avec un maximum de 25 tentatives / 24 heures) ;
  • et/ou mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (exemple : captcha ) ;
  • et/ou blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 10.
Cas n°3Mot de passe + autre restriction d’accès (cf. détail cas 2) + information complémentaire5 caractères LibreInformation complémentaire :

  • un identifiant personnel d’une taille d’au moins 7 caractère connue uniquement du responsable de traitement et de l’utilisateur.
  • adresse IP, adresse MAC, user agent, etc. pour lequel l’utilisateur a préalablement validé qu’il s’agissait d’un terminal de confiance et qu’il peut à tout moment révoquer
Cas n°4Mot de passe + matériel détenu en propre par l’utilisateur (cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverrouillable par mot de passe (token))4 chiffres 4 chiffres 
  • blocage du dispositif après un nombre d’authentifications échouées consécutives au plus égal à 3

3/ Notification des violations à l’utilisateur

L’utilisateur doit être notifié de toute violation de son mot de passe ou de données liées au renouvellement, dans un délai maximal de 72 heures à compter de la constatation de la violation. Dans ce cas, l’utilisateur doit changer son mot de passe dès sa prochaine connexion et être invité à changer son mot de passe dès lors qu’il l’utiliserait pour d’autres services.

Tous les responsables de traitement de données à caractère personnel et leurs sous-traitants doivent appliquer ces recommandations qui, si elles ne sont pas contraignantes, s’imposent au titre de leur obligation de sécurité et de confidentialité des données qu’ils traitent.

 

Ces mesures de sécurité minimales trouveront leur place dans les politiques de sécurité du système d’information (PSSI) et d’études d’impact.

Pour en savoir, contactez le Cabinet HAAS ici.

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.