La création des mots de passe

La Cnil rappelle l’importance de choisir un mot de passe contenant des caractères aléatoires, et non des mots familiers ou aisés à deviner.

Ainsi, le mot de passe doit avoir un niveau d’entropie suffisant, c’est-à-dire qu’il doit être assez imprévisible pour pouvoir résister à une attaque. Dans ce contexte, contrairement à la recommandation de 2017, la Cnil recommande désormais de définir une politique de mot de passe centrée sur sa complexité et non uniquement sur sa longueur.

Il est aussi recommandé au responsable de traitement de « conseiller et guider l’utilisateur dans la création de son mot de passe ». Par exemple, en cas de refus de mot de passe, l’utilisateur doit être informé de la raison du refus et un rappel de la politique de gestion des mots de passe doit lui être adressé.

L’authentification par mot de passe

Dans les cas où l’authentification par mot de passe s’effectue au moyen d’une connexion réseau, la Cnil recommande (point 24) :

• de contrôler l’identité du serveur d’authentification par un certificat d’authentification de serveur ;
• de chiffrer le canal de communication entre le serveur authentifié et le client ;
• de mettre en œuvre des mesures de sécurité renforcées pour garantir la confidentialité des clés privées ;
• ne pas faire apparaître les mots de passe dans les adresses des ressources distantes, ni en clair, ni sous forme hachée. 

Par ailleurs, la Commission propose trois possibilités d’exigences minimales (point 38) :

• S’authentifier par un mot de passe seul : la robustesse de l’authentification reposant uniquement sur le mot de passe, celui-ci doit être d’une complexité particulière. La Cnil donne pour exemple, une politique de mot de passe imposant au minimum « 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ».

• S’authentifier par mot de passe avec une restriction d’accès au compte : la politique de mot de passe peut être ici moins stricte puisque des mécanismes de restriction d’accès au compte renforcent la robustesse de l’authentification. Ceux-ci peuvent prendre plusieurs formes, par exemple prévoir un nombre maximal de tentatives d’authentification autorisées dans un délai donné.

• S’authentifier par un code de déverrouillage : cette méthode peut être choisie lorsque « l’authentification s’appuie sur un matériel détenu par la personne », c’est-à-dire « uniquement les cartes à puce et dispositifs contenant un certificat électronique ou une paire de clés déverrouillable par mot de passe, ou tout autre mécanisme technique apportant un même niveau de sécurité. ». Dans ce cas, le responsable de traitement doit prévoir un blocage du dispositif après au plus 3 échecs d’authentification.

La Cnil abroge ainsi le cas n°3 prévu dans la recommandation de 2017, qui permettait de s’authentifier par un mot de passe renforcé par une information complémentaire.

Enfin, pour « encourager l’utilisation des gestionnaires de mots de passe », la Cnil recommande de permettre aux utilisateurs de coller un mot de passe dans les champs de saisie, lors de la création du mot de passe et lors de l’authentification.

La conservation des mots de passe et la journalisation des activités

La Cnil recommande aux responsables de traitement de ne jamais stocker de mots de passe en clair ni dans le serveur, ni dans les journaux. S’ils sont conservés, ils doivent être chiffrés de manière sûre et non réversible. Selon la Commission, les protocoles de type PAKE (Password Authenticated Key Exchange) qui garantissent la vérification du mot de passe sans le transmettre en clair au serveur sont conformes aux exigences de sécurité.

Le renouvellement des mots de passe

• Renouvellement périodique

Contrairement à la recommandation de 2017, la Cnil propose désormais aux responsables de traitement de ne plus imposer de « modification périodique des mots de passe à l’ensemble des utilisateurs », mais uniquement aux comptes à privilèges (point 54). En revanche, les utilisateurs doivent toujours pouvoir modifier leur mot de passe de manière autonome.

• Renouvellement sur demande de l’utilisateur

Si le renouvellement du mot de passe nécessite l’envoi d’une information, celui-ci doit s’effectuer par le biais d’un canal préalablement validé, mais qui ne doit pas avoir été récemment modifié. Par exemple, si le renouvellement se fait par l’envoi d’un mot de passe temporaire, celui-ci doit se faire via une adresse mail ou un numéro de téléphone déterminé préalablement par l’utilisateur, par exemple lors de la création de son compte.

• Renouvellement en cas de compromission

En cas d’atteinte à la sécurité pouvant entrainer la compromission des mots de passe, le responsable de traitement doit informer les personnes concernées et leur permettre de modifier leur mot de passe immédiatement. De même, en cas de suspicion de violation de mot de passe, il doit « imposer à la personne concernée de le modifier lors de sa prochaine connexion ».

Que retenir ?

Dans cette recommandation, la Cnil propose un guide destiné à renforcer la sécurité des données à caractère personnel. Pour les traitements à risques, des mesures complémentaires devraient être adoptées.

Bien qu’elle soit dénuée de force contraignante, cette recommandation s’inscrit dans la logique de l’article 32 du RGPD relatif à la sécurité. Ainsi, il est recommandé de se conformer à cette nouvelle recommandation pour un niveau de sécurité optimal. Lors de ses contrôles, la Cnil fera preuve de tolérance et « tiendra compte du délai nécessaire pour mettre en œuvre les changements nécessaires. » (Point 66).

Mathias Avocats vous accompagne pour vous mettre en conformité à ces nouvelles recommandations.