Guide pratique sur la mise en œuvre des mots de passe sécurisés
Le 17 octobre 2022, la CNIL met à jour sa recommandation de 2017 concernant les mots de passe. Cette nouvelle recommandation vise à garantir un niveau de sécurité minimale aux organismes au regard de l’évolution du cyberespace.
Le terme « mot de passe » désigne tout facteur de connaissance, un ensemble d’informations révocable, connu uniquement de la personne concernée et permettant ou contribuant à l’authentification de celle-ci. Il inclut les « phrases de passe » et les codes de déverrouillage tout en excluant les clés et secrets cryptographiques.
Tout responsable de traitement utilisant des mots de passe doit garantir un niveau minimal de sécurité reposant sur une longueur et une complexité suffisante, qui revient à une entropie de 80 bits.
1. Quels sont les risques lorsque votre mot de passe n’est pas sécurisé ?
Les utilisateurs sous-estiment la faiblesse de leurs mots de passe. Ces derniers sont souvent composés à partir d’informations personnelles. Le mot de passe est alors faible et facile à deviner. Pour rappel, les manquements les plus souvent constatés lors des contrôles de la CNIL en 2021 sont relatifs aux politiques de mots de passe.
Selon une étude de Verizon sur les violations de données de 2021, 81% des notifications de violations de données mondiales sont liées à une problématique de mots de passe.
On identifie quatre facteurs de risque :
- La simplicité du mot de passe ;
- L’écoute sur le réseau afin de collecter les mots de passe transmis ;
- La conservation en clair du mot de passe ;
- La faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (exemple des questions secrètes).
2. Les bonnes pratiques à adopter
Un bon mot de passe doit être difficile à deviner : complexe et long. La nouvelle recommandation introduit le concept « d’entropie » du mot de passe afin de pouvoir comparer la robustesse de différentes politiques de mots de passe. On définit l’entropie comme la quantité de hasard. On parle d’un mot de passe imprédictible théoriquement et donc capable de résister à une cyberattaque.
La « devinabilité » du mot de passe est également une nouvelle approche pour déterminer la robustesse d’un mot de passe. Cela consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un cyberattaquant de retrouver un mot de passe donné. Ici, on ne vérifie pas comme dans l’entropie le respect d’une politique de mots de passe, mais la résistance du mot de passe choisi.
Concernant le renouvellement périodique des mots de passe, de nombreuses études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas réellement efficace. La nouvelle recommandation de la CNIL supprime l’un des cas recommandés en 2017 au sujet du mot de passe renforcé par une information complémentaire.
Les bonnes pratiques en cas de risque de compromission du mot de passe :
- Le responsable de traitement doit notifier la CNIL dans un délai ne dépassant pas 72 heures ;
- Le responsable de traitement doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
- Le responsable de traitement doit lui recommander de veiller à changer ses mots de passe d’autres services, dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.