Javascript is required
logo-dastralogo-dastra

Des nouvelles règles pour les mots de passe

Des nouvelles règles pour les mots de passe
Margaux Morel
Margaux Morel
18 octobre 2022·6 minutes de lecture

La CNIL a mis à jour le 17 octobre 2022 sa recommandation sur les mots de passe un an après l'ANSSI et 5 ans après sa première recommandation.

Une évolution nécessaire

Dans un contexte de multiplication des compromissions de bases de mots de passe, cette nouvelle recommandation permet ainsi aux organismes de garantir un niveau de sécurité adéquat. En effet, D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Par ailleurs, en France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

Quatre facteurs de risque sont ainsi identifiés par la CNIL :

  • la simplicité du mot de passe ;
  • l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  • la conservation en clair du mot de passe ;
  • la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Une obligation du RGPD

Un an après l'avoir annoncé, la CNIL actualise sa recommandation et redéfinit les mesures de sécurité de bases qui devraient constituer le socle minimal applicable à l’ensemble des organismes. En parallèle, il est important de souligner que d’autres mesures de sécurité peuvent être mises en œuvre comme l'authentification à double facteur ou les certificats électroniques, offrant, par ailleurs, davantage de sécurité que le mot de passe. En tout état de cause, les acteurs doivent être en capacité de démontrer que les mesures adoptées garantissent un niveau de sécurité au moins équivalent à celles prévues dans la recommandation.

La CNIL rappelle également que si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. En outre, si les simples éditeurs de logiciels ne sont pas directement responsables de traitement de données mis en oeuvre par leurs clients, les utilisateurs doivent se mettre en conformité. Ainsi, il doivent proposer des mesures permettant de répondre à ces obligations de sécurité et en particulier la possibilité de configurer les exigences relatives aux mots de passe.

En pratique, la CNIL propose des mesures concrètes liées aux mots de passe. Pour cela, elle rappelle qu’il n’existe pas de définition universelle mais qu’il doit être avant tout difficile à deviner. Pour cela, il est recommandé de prendre en compte sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (force brute).

Une refonte de la recommandation

L’une des premières recommandations actualisées vise le degré de complexité du mot de passe (l’entropie) afin d’ajuster la recommandation de 2017 qui définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe, jugée in fine peu flexible. Ce nouveau caractère d’entropie, qui peut être défini dans ce contexte comme la quantité de hasard, permet quant à lui de comparer la robustesse de différentes politiques de mots de passe. Ainsi, il devrait idéalement être généré aléatoirement. Par ailleurs, si la CNIL insiste sur la « devinabilité » des mots de passe, consistant à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné, elle souligne aussi l’absence d’outils à disposition des utilisateurs francophones à l’heure actuelle.

Ensuite, la CNIL recommande le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).

Également, la CNIL préconise l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus). En effet, forcer l’utilisateur à changer son mot de passe à une fréquence régulière, serait inefficace voire dommageable puisque celui-ci utiliserait une version légèrement modifiée de leur mot de passe précédent, abaissant ainsi le niveau de sécurité effectif. Cette position est également celle de l’ANSSI, telle qu’indiquée en 2021 dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe ».

L'obligation de notifier la CNIL en cas de compromission

Par ailleurs, il est rappelé qu’en cas de compromission du mot de passe, le responsable de traitement doit notifier la CNIL de la violation de données dans un délai n’excédant pas 72 heures. Il doit en outre imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion et lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.

Des sanctions réelles

Pour finir, il est important de souligner les risques engendrés pour l’organisme dans l’hypothèse où le niveau de sécurité des données serait inadéquat. Bien qu’il s’agisse d’une obligation de moyen, apprécié in concreto, si des manquements graves aux principes de sécurité sont constatées par la CNIL lors d’un contrôle, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et prononcer des sanctions jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €.

Le GIE Infogreffe a récemment été sanctionné par la CNIL à hauteur de 250 000 € d’amende pour mauvaise gestion des mots de passe des utilisateurs du site infogreffe.fr. La CNIL a rappelé dans cette décision de sanction qu’il n’est pas nécessaire qu’une violation de données ait été commise pour que le manquement soit sanctionné.


A propos de l'auteur
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.