Mots de passe : les recommandations de la Cnil



Résumé : Afin d’amener les professionnels à offrir un meilleur niveau de protection de leurs bases de données, la Cnil vient d’adopter une recommandation définissant les mesures minimales à mettre en œuvre en matière de mot de passe.

Le mot de passe, en raison de sa simplicité et de son faible coût de mise en place, reste l’outil d’identification le plus utilisé notamment sur Internet. Or, constate la Commission nationale informatique et libertés (Cnil), ce système offre un niveau de sécurité faible s’il n’est pas administré par les entreprises gestionnaires des bases de données de manière rigoureuse. Une recommandation fixant les mesures minimales à établir en matière de mot de passe vient dès lors d’être adoptée par la Commission, qui rappelle au passage que garantir la sécurité d’une base de données contenant des données à caractère personnel est une obligation légale.

De la création au renouvellement

La simplicité du mot de passe reste la principale vulnérabilité de ce mode d’identification. Pour réduire ce risque, la Cnil précise que les gestionnaires des bases de données doivent exiger que le mot de passe créé par leurs utilisateurs comprenne au moins 12 signes et soit composé de majuscules, de minuscules, de chiffres et de caractères spéciaux. La Commission invite, en outre, les entreprises à conseiller leurs utilisateurs pour les aider à créer un mot de passe à la fois simple à retenir et difficile à casser. Un générateur de mot de passe, baptisé Phrase2passe, est d’ailleurs proposé en libre accès sur le site de la Cnil (extension logicielle en javascript). Mais, exiger un mot de passe de 12 signes minimum n’est pas la seule possibilité offerte aux gestionnaires de base de données. Ces derniers peuvent mettre en place des mots de passe plus courts (de 8 à 4 signes) et moins complexes (composés de simples chiffres, par exemple) à la condition de leur associer des mesures de protection complémentaires. La Cnil cite notamment : le blocage ou la temporisation de l’accès après plusieurs échecs de connexion, la mise en place d’un « Capcha » pour contrer les attaques via un « robot », l’association au mot de passe d’un identifiant spécifique, l’identification de l’utilisateur via son adresse IP ou son adresse Mac.

En outre, la Cnil précise que la procédure d’authentification et les conditions de conservation des mots de passe doivent être sécurisées (chiffrement de la transmission du mot de passe, chiffrement des mots de passe stockés, stockage des mots de passe dans un espace différent de celui dans lequel se trouvent les éléments de vérification desdits mots de passe : réponses aux questions posées pour retrouver un mot de passe oublié, par exemple). Quant au renouvellement du mot de passe, il doit, rappelle notamment la Cnil, intervenir selon « une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé ».


Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

© Les Echos Publishing - 2017