L’introduction frauduleuse dans les systèmes d’information trouve le plus souvent son origine dans l’accessibilité des mots de passe dont la robustesse constitue un enjeu majeur de cyber-sécurité.

Si les recommandations de la CNIL n’ont pas de caractère obligatoire, les entreprises hackés pourront désormais se voir reproché de ne pas avoir mis en place en leur sein un protocole exigeant sur la composition du mot de passe.
Les entreprises sont dès lors fortement encouragées à revoir leur protocole à l’aune de cette délibération et à modifier leurs chartes informatiques afin d’élever leur seuil de sécurité.

Déjà le 28 décembre 2021, la CNIL avait sanctionner l’opérateur Free Mobile à hauteur de 300 000 euros au motif que la transmission à ses clients d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès au message qui le contient, ce qui induit un certain nombre de risques pour la protection des données à caractère personnel et pour la vie privée des personnes.

Quelle politique de gestion des mots de passe est recommandée ?

L’organisme utilisant une authentification par mot de passe doit définir une politique de gestion de ceux-ci, dont les personnes concernées sont informées, ainsi qu’une revue régulière sur sa mise en œuvre.

Création et authentification du mot de passe

La CNIL identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire à un degré de hasard dans la composition du mot de passe à respecter.

Mesures de sécurité mises en œuvre lors de l’authentification Entropie (en bits) Exemples de mesures sur le mot de passe pour respecter le niveau d’entropie

Cas n°1 Mot de passe seul 80 *Minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial)
*Minimum de 14 caractères (avec majuscule, minuscule, chiffre)

Cas n°2 Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification (ex : mesures de temporisation, blocage, limitation) 50 *Minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial)
*Minimum de 16 chiffres

Cas n°3 Matériel détenu par la personne (cartes à puce, certificat électronique, etc.) avec dispositif de blocage après 3 échecs d’authentification 13 *Minimum de 4 chiffres décimaux

A noter que la CNIL ne recommande plus d’utiliser une information complémentaire (telles que le nom des parents, de l’animal de compagnie, etc.) pour sécuriser un mot de passe.

Conservation et modification des mots de passe

Le mot de passe ne doit jamais être stocké en clair (il doit être préalablement transformé à l’aide d’une fonction cryptographique non réversible et sûre). Il est recommandé de ne plus exiger la modification périodique des mots de passe aux utilisateurs mais uniquement pour les comptes d’administration.

Que faire en cas d’atteinte à la sécurité sur les mots de passe ?

Le responsable de traitement doit informer sans délai la personne concernée et lui permettre de renouveler son mot de passe immédiatement. En cas de suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier, et lui recommander de veiller à changer ses mots de passe sur les autres éventuels services où il aurait pu l’utiliser.

La biométrie est-elle une réponse à la vulnérabilité des mots de passe ?
Souvent présenté comme une alternative efficace à l’usage des mots de passe, le traitement de donnée biométrique peut être utilisé pour une finalité d’identification. Cet usage n’est pas sans risque : il porte sur des données qui – à la différence de données classiques – correspondent à une réalité biologique ou comportementale unique, propre à la personne (empreinte digitale, démarche...) qui perdure dans le temps et dont elle ne peut s’affranchir. Un accès non autorisé à de telles données peut avoir des conséquences irréversibles pour la victime qui, à la différence d’un mot de passe, ne pourra pas modifier ses caractéristiques biométriques, et devra donc vivre toute sa vie avec cette compromission susceptible d’entraîner des usurpations d’identité à répétition.

Les mots de passe robustes apparaissent dès lors comme la seule solution viable pour limiter les introductions frauduleuses dans les systèmes d’informations. Reste aux entreprises d’en mesure l’enjeu afin d’assurer la sécurité de leurs systèmes.