Optimex Data revient sur les dernières recommandations de la CNIL en matière de mots de passe.
Mots de passe et CNIL 2022
Suite à une montée en puissance des cyberattaques, la CNIL est revenue, ce 17 octobre 2022, sur ses recommandations concernant les mots de passe. Plusieurs changements notables sont à prévoir. Pour débuter, en termes de « gouvernance », la CNIL recommande de rédiger une politique de gestion des mots de passe. Celle-ci devra être rédigée par les acteurs en charge de la sécurité et des moyens informatiques de l’organisme – RSSI, DSI, DPO… Cela nécessitera également une revue régulière des habilitations et de l’application de cette politique. Les personnes devront être informées des règles de cette politique et être sensibilisées aux menaces et aux risques de compromission des mots de passe.
Dans ses nouvelles recommandations, la CNIL revient sur les modalités d’authentification par mot de passe.
1. Lorsque l’authentification s’effectue via une connexion réseau, la CNIL recommande :
- La mise en place de mesure de contrôle de l’identité du serveur d’authentification ;
- Le chiffrement du canal de communication entre le serveur authentifié et le client ;
- La mise en place de mesures de sécurité renforcées pour garantir la confidentialité des clés privées ;
- La disparition des mots de passe en clair ou en forme hachée sur les adresses de ressources distantes.
2. Lorsque l’authentification s’effectue sur une page web, la CNIL recommande les points suivants :
- Ne pas rendre visibles, dans les champs de saisie, les caractères saisis ;
- En cas d’échec de l’authentification, le message d’information affiché devra indiquer l’échec sans fournir d’indication susceptible d’aider un attaquant ;
- En cas de mise en place de mots de passe par défaut, il conviendra de fournir que des mots de passe à usage temporaire et/ou d’imposer leur modification à la première connexion.
- S’assurer que les mots de passe utilisés sont d’un niveau de sécurité suffisant, imposant une taille et une complexité minimale.
La CNIL précise que tous les mécanismes ayant pour objet ou effet d’interdire aux utilisateurs de coller un mot de passe dans les champs de saisie ne doivent pas être mis en œuvre. Sauf envoi par voie postale, les mots de passe ne doivent pas être communiqués à l’utilisateur en clair, y compris en courrier électronique.
En cas d’envoi par voie postale, l’usage de mesures complémentaires visant à détecter l’interception (ex. enveloppes dont l’intérieur est noirci ou cases à gratter) ou à en empêcher l’usage doivent être mis en place. Dans le cadre de l’envoi de liens de création ou de renouvellement de mot de passe, une durée d’expiration courte (au plus tard 24h) doit être mise en place. Lorsqu’un mot de passe est refusé lors de la création, un message d’information comprenant un rappel des règles en termes de mots de passe doit être affiché à l’utilisateur.
Dans ses recommandations, la CNIL précise qu’il ne s’agit plus de vérifier le respect d’une politique de mot de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.
Les trois cas d’authentification par mot de passe, et quelques exemples
Cas n°1 : mot de passe seul
Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.
Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
Exemple 3 : les phrases de passe fondées sur des mots de la langue française doivent être composées d’au minimum 7 mots.
Cas n°2 : mot de passe
Restriction d’accès au compte :
- Temporisation de l’accès au compte après plusieurs échecs
- Mécanisme déterminant un nombre maximal de tentatives autorisées – 10 essais par heures par exemple
- Mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives – Captcha par exemple
- Blocage du compte
Exemple 1 : la taille du mot de passe doit être au minimum de 8 caractères et comporter 3 des 4 catégories de caractères : majuscules, minuscules, chiffres et caractères spéciaux, les caractères spéciaux devant être pris dans un ensemble d’au moins 11 caractères ;
Exemple 2 : les phrases de passe fondées sur des mots de la langue française doivent être composées d’au minimum 5 mots ;
Exemple 3 : les mots de passe doivent être composés d’au minimum 16 chiffres
Cas n°3 : Code de déverrouillage
Un blocage du dispositif doit être mis en œuvre après un nombre d’authentification échouées consécutives au plus égal à 3.
Exemple : la taille du code personnel doit être au minimum de 4 chiffres décimaux.
Concernant les modalités de conservation des mots de passe, ces derniers ne doivent jamais être stockés en clair.
Concernant les modalités de renouvellement des mots de passe, trois situations sont évoquées par la CNIL :
- Situation 1 – le renouvellement périodique: les responsables de traitement ne doivent plus imposer la modification périodique des mots de passe à l’ensemble des utilisateurs. Une procédure de modification périodique reste nécessaire pour les comptes à privilège.
- Situation 2 – le renouvellement sur demande de l’utilisateur: si le renouvellement nécessite l’envoi d’une information (ex. lien web, mot de passe temporaire par courriel ou téléphone), celui-ci doit s’effectuer via un canal préalablement validé (adresse courriel, moyen d’identification électronique de secours). La personne doit avoir accès à une interface lui permettant de saisir un nouveau mot de passe. La validité de la session de cette interface ne doit pas excéder 24h et les liens de renouvellements doivent être à usage unique.
- Situation 3 : le renouvellement en cas de compromission: la personne doit être informée sans délai afin de lui permettre de renouveler son mot de passe immédiatement. Le responsable doit imposer à la personne de le modifier lors de sa prochaine connexion et pour tous les services utilisant ce même mot de passe.
Pour aller plus loin : une nouvelle recommandation pour maîtriser sa sécurité, Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017, tableau de correspondance avec les recommandations de l’ANSSI, calculer la force d’un mot de passe – ANSSI, Questions-réponses sur les nouvelles recommandations – point 12.