La Cnil formule une nouvelle recommandation pour la sécurité des mots de passe

  • recommandation-cnil-securite-mots-passe.jpg

    recommandation-cnil-securite-mots-passe-bonnes-pratiques
    Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, selon la Cnil. (rawpixel.com/Freepik)
  • De meilleures pratiques en termes de sécurisation de mots de passe permettraient d’éviter une grande partie des piratages. La Cnil met à jour sa recommandation de 2017 pour mieux tenir compte de l’évolution des connaissances dans cette méthode d’authentification.

    A l’échelle mondiale, 81 % des violations de données seraient liées à une problématique de mots de passe. En France, la Cnil explique que 60 % des notifications reçues concernent le piratage de ces derniers et qu’un grand nombre aurait pu être évité avec l’application de bonnes pratiques.

    Face à ce constat, la Commission fait évoluer sa recommandation formulée en 2017 et rappelle les quatre facteurs de risque liés aux mots de passe : la simplicité, l’authentification (mécanisme d’authentification faible, absence de chiffrement lors de la transmission…), la conservation en clair et la faiblesse des modalités de renouvellement en cas d’oubli. 

    Lire aussi : Vers la fin des mots de passe ?

    Ces menaces peuvent avoir plusieurs conséquences, à l’image d’attaques du moyen de mémorisation, l'hameçonnage, ou encore, une compromission du serveur et une interception du mot de passe lors de la transmission.

    Viser l'entropie des mots de passe

    Ainsi, pour renforcer le niveau de sécurité, la Cnil recommande de viser un degré de complexité du mot de passe, appelé entropie, plutôt que sa longueur. « L’entropie peut être définie dans ce contexte comme la quantité de hasard », précise la Cnil. « Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. » 

    Trois exemples équivalents sont à retenir pour la création de mot de passe : 

    • il doit être composé d’au minimum 12 caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux, 
    • il doit être composé d’au minimum 14 caractères avec des majuscules, des minuscules, sans caractères spéciaux obligatoires,
    • une phrase doit être utilisée et composée d’un minimum 7 mots.

    Exit donc, les traditionnels 123456, 123456789 et azerty qui restaient en 2021, les mots de passe les plus utilisés en France.

    Lire aussi : Les 3 meilleurs gestionnaires de mots de passe gratuits pour sécuriser vos données

    Par rapport à sa recommandation de 2017, la Cnil estime qu’il faut retirer le cas d’usage reposant sur une information secrète en contrepartie d’une baisse des exigences de sécurité au niveau du mot de passe. Elle conseille l’abandon de l’obligation de leur renouvellement pour les comptes “utilisateurs classiques” et réserver l’action aux administrateurs ou aux comptes disposant de droits étendus.

    Il faut également éviter l’établissement d’une liste d’exemples complexes mais connus de tous « compte tenu des nouveaux schémas d’attaque ». Enfin, la nouvelle recommandation de la Commission propose plusieurs “bonnes pratiques” afin d’assurer aux mots de passe un niveau constant de sécurité tout au long de leur cycle de vie.

    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.