Sécurité des mots de passe : de nouvelles recommandations de la CNIL
Face à la multiplication des attaques informatiques ayant compromis nombre de bases de données de mots de passe, la CNIL a adopté, le 19 janvier 2017, une recommandation relative à la sécurisation de ces mots de passe.
L’association d’un identifiant à un mot de passe secret est le moyen d’authentification le plus répandu dans le cadre du contrôle d’accès à une ressource numérique, bien qu’elle n’offre pas un niveau de sécurité équivalent à celui de l’authentification à double facteur ou des certificats électroniques. Or, les internautes ont tendance à utiliser le même mot de passe pour se connecter à divers services, ce qui rend encore plus cruciale la question de la sécurité de ces mots de passe.
En effet, la loi Informatique et Libertés impose au responsable de traitement de prendre toutes mesures utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher qu’elles ne soient déformées ou endommagées ou que des tiers non autorisés y aient accès. La CNIL a donc établi un référentiel technique définissant un niveau de sécurité minimal en matière de gestion des mots de passe, qu’elle propose aux professionnels.
Ce référentiel vaut pour tout traitement de données personnelles mis en œuvre par des personnes publiques ou privées ayant recours à l’authentification par mot de passe, à l’exception de ceux soumis à des prescriptions techniques particulières. Cependant, il ne constitue qu’un standard minimal, des mesures plus rigoureuses devant être mises en œuvre lorsque le traitement lui-même ou les données traitées présentent des risques spécifiques.
Création du mot de passe
La CNIL considère que la taille minimale et la complexité d’un mot de passe doivent être imposées par le responsable de traitement. Celui-ci devra donc contraindre l’utilisateur dans le choix d’un mot de passe de taille et de complexité suffisante.
Elle distingue quatre situations imposant des exigences différentes en termes de taille et de complexité du mot de passe. A titre d’exemple, lorsque la robustesse de l’authentification repose exclusivement sur la qualité intrinsèque du mot de passe, celui-ci doit comporter au minimum 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux. Nombre de sites Internet marchands utilisés quotidiennement ne se conforment pas, à ce jour, à ces exigences contraignantes du point de vue du consommateur.
A l’inverse, lorsque les possibilités d’accès aux comptes sont restreintes par des mesures techniques complémentaires (temporisation ou blocage d’accès après des échecs d’identification), les exigences de sécurité du mot de passe lui-même sont atténuées : taille minimale abaissée à 8 caractères et catégories de caractères imposées (majuscules, minuscules, chiffres et caractères spéciaux) réduites à 3.
Renouvellement du mot de passe
Le renouvellement du mot de passe doit être systématique en cas de compromission de celui-ci. Mais même en dehors de toute atteinte, ce renouvellement s’impose selon une périodicité « pertinente et raisonnable », dépendant notamment de la complexité requise du mot de passe et des risques du traitement.
En cas d’oubli du mot de passe, lorsque le renouvellement intervient de manière automatique, la personne concernée devra être dirigée vers une interface à usage unique lui permettant de saisir un nouveau code dans un délai maximal de 24 heures. Lorsque le renouvellement fait intervenir d’autres éléments (numéro de téléphone, adresse postale, etc.) ces derniers nécessairement cryptés ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe. Pour éviter les risques d’usurpation, la personne doit être immédiatement informée de tout changement.
Notification de violation à la personne concernée
Anticipant l’entrée en vigueur du Règlement Général sur la Protection des Données du 27 avril 2016, la CNIL recommande au responsable de traitement de notifier, dans les 72 heures, à la personne concernée toute violation détectée de son mot de passe ou de données liées au renouvellement (p. ex. : adresse électronique), en l’invitant à changer de mot de passe dès la prochaine connexion et à modifier son code d’accès sur tout autre service où il aurait été utilisé.
Chaque responsable de traitement devra réaliser un audit de ses politiques de gestion des accès, afin de s’assurer de leur conformité aux recommandations de la CNIL.
Auteur
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.