Délibération n° 2017-012 du 19 janvier 2017

La CNIL vient de publier des recommandations sur les mots de passe. Elle souhaite renforcer leur protection face à un certain nombre de risques. [1].

Exemples de risques liés à la gestion des mots de passe

La CNIL liste notamment : la simplicité du mot de passe ; l’écoute sur le réseau afin de collecter les mots de passe transmis ; la conservation en clair du mot de passe ; et la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

L’authentification par mot de passe : longueur, complexité, mesures complémentaires

La CNIL recommande le choix d’un mot de passe complexe d’au moins 12 caractères (composé de majuscules de minuscules, de chiffres et de caractères spéciaux).

Des mesures complémentaires (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe.

4 cas d’authentification par mot de passe sont identifiés par la CNIL dans ses recommandations.

Sécurisation de l’authentification

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre : elle utilise un algorithme public réputé fort ; et sa mise en œuvre logicielle est exempte de vulnérabilité connue.

La conservation des mots de passe

Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. (qui ne doit pas être stocké dans le même espace).

Le renouvellement du mot de passe

S’il nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée qui devra le changer lors de sa première connexion.

S’il intervient de manière automatique : l’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) : ces éléments ne doivent pas être conservés dans le même espace de stockage et être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort; la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Le responsable de traitement doit :
– notifier la personne concernée en cas de faille de sécurité, dans un délai n’excédant pas 72 heures ;
– imposer un changement de son mot de passe lors de la prochaine connexion ;
– recommander de veiller à changer ses mots de passe d’autres services.
Contact : stephanie.faber@squirepb.com

 


[1] https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires