A propos de la Délibération n° 2017-012 du 19 janvier 2017 de la CNIL portant adoption d’une recommandation relative aux mots de passe
La CNIL a toujours été peu convaincue de l’efficacité du contrôle des accès par le seul mot de passe, préférant les certificats électroniques d’authentification ou l’authentification à double facteur.
Elle vient néanmoins d’émettre une recommandation relative aux mots de passe que tous les responsables de traitement de données à caractère personnel et leur sous-traitant devront suivre dans le cadre de leur obligation de sécurité et de confidentialité des données qu’ils traitent.
En effet, la CNIL considère que les lignes directrices qu’elle fixe dans sa recommandation constituent un référentiel technique apportant un niveau de sécurité minimal en matière de gestion des mots de passe destiné à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect des obligations qui leur incombent dans l’état de l’art (articles 34 et 35 de la Loi Informatique et Libertés).
Bien que certains traitements puissent exiger des mesures plus rigoureuses pour préserver la sécurité des données (gestion des mots de passe des administrateurs informatiques, traitement de données sensibles…), la CNIL fixe les règles minimales à respecter.
1/ Le responsable doit fixer les règles
Il appartient au responsable de traitement de fixer les règles en matière de création de mots de passe pour l’authentification à un compte en déterminant les tailles minimales et maximales, la complexité des mots de passe et en informant les utilisateurs sur ces règles tout en prenant soin de ne jamais communiquer le mot de passe en clair, notamment par courrier électronique.
Les mots de passe doivent être renouvelés selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé, l’utilisateur devant pouvoir modifier son mot de passe quand il le souhaite. La procédure de renouvellement de mots de passe est détaillée dans la délibération de la CNIL.
2/ Les bonnes pratiques en matière de gestion des mots de passe
La CNIL distingue quatre situations avec des degrés d’exigence différents résumés dans le tableau infra.
Quel que soit le cas, l’authentification utilise un algorithme public réputé fort et qui ne fait pas l’objet d’une vulnérabilité connue. Lorsque l’authentification se fait à distance, un certificat d’authentification de serveur doit être mis en place et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue avec une sécurisation des clés privées.
Les mots de passe ne doivent jamais être stockés en clair. Ils doivent être transformés au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé qui doit lui-même être généré au moyen d’un générateur de nombres pseudo aléatoires cryptographiquement sûr stocké séparément de l’élément de vérification du mot de passe.
| Mesures d’authentification | Taille minimale | Composition (catégories de caractères) | Autres Obligations |
| Cas n°1Mot de passe seul | 12 caractères | 4 : Majuscules, Minuscules, Chiffres et caractères spéciaux (cumulatif | Information de l’utilisateur sur l’importance du mot de passe qui détermine la robustesse de l’authentification et conseil sur la création de son mot de passe |
| Cas n°2Mot de passe + autre restriction d’accès | 8 caractères | 3 (majuscules, minuscules, chiffres et/ou caractères spéciaux) | Les autres restrictions d’accès peuvent prendre 3 formes :
|
| Cas n°3Mot de passe + autre restriction d’accès (cf. détail cas 2) + information complémentaire | 5 caractères | Libre | Information complémentaire :
|
| Cas n°4Mot de passe + matériel détenu en propre par l’utilisateur (cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverrouillable par mot de passe (token)) | 4 chiffres | 4 chiffres |
|
3/ Notification des violations à l’utilisateur
L’utilisateur doit être notifié de toute violation de son mot de passe ou de données liées au renouvellement, dans un délai maximal de 72 heures à compter de la constatation de la violation. Dans ce cas, l’utilisateur doit changer son mot de passe dès sa prochaine connexion et être invité à changer son mot de passe dès lors qu’il l’utiliserait pour d’autres services.
Tous les responsables de traitement de données à caractère personnel et leurs sous-traitants doivent appliquer ces recommandations qui, si elles ne sont pas contraignantes, s’imposent au titre de leur obligation de sécurité et de confidentialité des données qu’ils traitent.
Ces mesures de sécurité minimales trouveront leur place dans les politiques de sécurité du système d’information (PSSI) et d’études d’impact.
Pour en savoir, contactez le Cabinet HAAS ici.
