La CNIL a fait publier une nouvelle recommandation au journal officiel en fin de semaine dernière qui précise les dispositions de la loi du 6 janvier 1978 modifiée sur l'informatique, les fichiers et libertés.
Des recommandations qui s'adressent aussi bien aux professionnels qu'aux particuliers. Rappelons qu'en 2016 dans le monde, 123456 reste le mot de passe le plus souvent utilisé, suivi de sa variante à neuf chiffres, "qwerty" occupant la troisième place (petit rappel dans un tableau disponible ici).
Encore une fois, la liste dressée est affligeante, d'autant que comme la CNIL le précise "le mot de passe offre un faible niveau de sécurité s'il n'est pas associé à d'autres mesures de sécurité." Le bilan se veut inquiétant pour la Commission qui dresse ainsi un ensemble de recommandations "en se basant sur les pratiques d'authentification en vigueur sur les principales plateformes en ligne."
Quatre points essentiels se trouvent au coeur de ces recommandations, quatre étapes pendant lesquelles la gestion du mot de passe présente des risques : la création, l'authentification, la conservation et le renouvellement.
La création du mot de passe présente le premier risque : il faut choisir un mot de passe complexe, le plus long possible, qui mélange minuscules, majuscules, chiffres et caractères spéciaux. La plateforme qui accueille la création de mots de passe doit s'assurer de la sécurisation de l'espace de création et le chiffrement du mot de passe et du login lors de sa création.
L'authentification nécessite de s'assurer que l'on renseigne ses identifiants auprès du bon service en évitant les tentatives de phishing. Là encore, la plateforme doit s'assurer de l'absence de failles permettant d'intercepter les données.
La conservation du mot de passe est également mise en cause : est-il chiffré sur les plateformes? Les serveurs de stockage sont-ils sécurisés, quel algorithme est utilisé pour son chiffrement ?
Enfin le renouvellement du mot de passe est également un point essentiel : il est recommandé de changer régulièrement de mot de passe, à condition toutefois que les processus proposés sur les plateformes se montrent fiables. En outre, il faut là encore éviter le phishing, utiliser une boite mail sécurisé pour confirmer le changement de mot de passe...
La CNIL dresse des recommandations plus spécifiques pour les utilisateurs en fonction du niveau de sécurité des plateformes. La longueur du mot de passe recommandé passe ainsi de 12 à 4 seulement selon les protocoles de sécurités adaptés par les plateformes d'authentification (identification à deux facteurs, blocage passé un nombre d'essais, nécessité de disposer d'un matériel physique unique).
La Commission boucle ses recommandations en rappelant qu'elle propose un générateur de mot de passe robuste pour les utilisateurs en manque d'inspiration.
