Mots de passe : les nouvelles recommandations de la CNIL

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Mots de passe : les nouvelles recommandations de la CNIL

Publié le 20 octobre 2022 à 09:10 par Mathieu M.

Lire sur mobile

Chaque année, la CNIL y va de ses rapports et recommandations quant aux bonnes pratiques à adopter sur Internet.

La Commission nationale de l'informatique et des libertés (CNIL) a récemment publié de nouvelles directives quant à la sécurisation des mots de passe sur Internet. Des recommandations qui ciblent surtout les professionnels et les entreprises, qui font de plus en plus souvent l'objet de fuites ou de cyberattaques.

C'est donc "dans un contexte de multiplication des compromissions de bases de mots de passe" que la CNIL livre de nouveaux conseils, les précédentes recommandations datant de 2017. Il faut dire que depuis cette année, on a vu les attaques en ligne se multiplier et cibler non plus uniquement les gros groupes cotés en bourse, mais également les PME et artisans.

Intégration du concept d'entropie

La CNIL introduit désormais le concept d'entropie (niveau d'imprédictibilité) dans le processus de définition de mot de passe qui permettrait ainsi de renforcer la sécurisation des comptes. Il est donc recommandé d'éviter de choisir des mots de passe "simple à retenir" qui facilitent les attaques par dictionnaire.

Trois mesures principales sont avancées :

Exemple 1 : les mots de passe doivent être composés d'au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles.
Exemple 2 : les mots de passe doivent être composés d'au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.

Ne plus renouveller périodiquement ses mots de passe

Par ailleurs, la CNIL préconise l'arrêt du renouvellement périodique des mots de passe : Il apparait que les politiques d'expiration de mots de passe sont en effet prévisibles et qu'elles affaiblissent ainsi le niveau de sécurité effectif. Dans la plupart des cas, les utilisateurs ne réutilisent qu'une version modifiée de leur précédent mot de passe avec le risque de perdre des caractères différenciés. Le bénéfice est donc quasi nul, voire négatif.

Ne pas stocker les mots de passe en clair

La CNIL recommande également, "Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Il existe aujourd’hui des fonctions spécialisées qui permettent de répondre à ce besoin, comme scrypt ou Argon2, cités par l’ANSSI."

Rappel des sanctions auprès des professionnels

En cas de fuite de donnée, la CNIL rappelle également son rôle de gendarme : "La CNIL peut contrôler, sur la base d’une plainte reçue ou de sa propre initiative, tout responsable de traitement, que ce soit à distance, en ligne, sur pièces ou dans les locaux de l’organisme concerné. En cas de manquements graves aux principes de sécurité, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et prononcer des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €."