Publicité

La Cnil formule une nouvelle recommandation pour la sécurité des mots de passe

  • recommandation-cnil-securite-mots-passe.jpg

    recommandation-cnil-securite-mots-passe-bonnes-pratiques
    Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, selon la Cnil. (rawpixel.com/Freepik)
  • De meilleures pratiques en termes de sécurisation de mots de passe permettraient d’éviter une grande partie des piratages. La Cnil met à jour sa recommandation de 2017 pour mieux tenir compte de l’évolution des connaissances dans cette méthode d’authentification.

    A l’échelle mondiale, 81 % des violations de données seraient liées à une problématique de mots de passe. En France, la Cnil explique que 60 % des notifications reçues concernent le piratage de ces derniers et qu’un grand nombre aurait pu être évité avec l’application de bonnes pratiques.

    Face à ce constat, la Commission fait évoluer sa recommandation formulée en 2017 et rappelle les quatre facteurs de risque liés aux mots de passe : la simplicité, l’authentification (mécanisme d’authentification faible, absence de chiffrement lors de la transmission…), la conservation en clair et la faiblesse des modalités de renouvellement en cas d’oubli. 

    Lire aussi : Vers la fin des mots de passe ?

    Ces menaces peuvent avoir plusieurs conséquences, à l’image d’attaques du moyen de mémorisation, l'hameçonnage, ou encore, une compromission du serveur et une interception du mot de passe lors de la transmission.

    Viser l'entropie des mots de passe

    Ainsi, pour renforcer le niveau de sécurité, la Cnil recommande de viser un degré de complexité du mot de passe, appelé entropie, plutôt que sa longueur. « L’entropie peut être définie dans ce contexte comme la quantité de hasard », précise la Cnil. « Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. » 

    Trois exemples équivalents sont à retenir pour la création de mot de passe : 

    • il doit être composé d’au minimum 12 caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux, 
    • il doit être composé d’au minimum 14 caractères avec des majuscules, des minuscules, sans caractères spéciaux obligatoires,
    • une phrase doit être utilisée et composée d’un minimum 7 mots.

    Exit donc, les traditionnels 123456, 123456789 et azerty qui restaient en 2021, les mots de passe les plus utilisés en France.

    Lire aussi : Les 3 meilleurs gestionnaires de mots de passe gratuits pour sécuriser vos données

    Par rapport à sa recommandation de 2017, la Cnil estime qu’il faut retirer le cas d’usage reposant sur une information secrète en contrepartie d’une baisse des exigences de sécurité au niveau du mot de passe. Elle conseille l’abandon de l’obligation de leur renouvellement pour les comptes “utilisateurs classiques” et réserver l’action aux administrateurs ou aux comptes disposant de droits étendus.

    Il faut également éviter l’établissement d’une liste d’exemples complexes mais connus de tous « compte tenu des nouveaux schémas d’attaque ». Enfin, la nouvelle recommandation de la Commission propose plusieurs “bonnes pratiques” afin d’assurer aux mots de passe un niveau constant de sécurité tout au long de leur cycle de vie.

    Ce sujet vous intéresse? Retrouvez-en davantage dans le magazine Archimag !

    Archimag-346-cybersécurité
    Rendant les organisations plus numériques que jamais, la pandémie profite aussi à la cybercriminalité. Les faits de cyberattaques augmentent de manière exponentielle, faisant prendre conscience de la vulnérabilité des systèmes d’information. Entreprises, administrations, collectivités territoriales, hôpitaux mesurent l’ampleur des risques. Les mises en garde sont à la fois européennes et étatiques et relèvent aussi de la gouvernance de l’information et des données. Mais qui sont les cyberattaquants ? Les hackers éthiques ? À chacun d’appliquer conseils et bonnes pratiques, et de s’équiper de solutions de protection.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    C'est le montant total des pénalités infligées aux entreprises en 2022 - et à l'échelle internationale - pour le non respect du RGPD.