Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.
Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès.
Toutefois, cette méthode d’authentification présente un niveau de sécurité faible.
Ces dernières années, de nombreuses attaques informatiques ont entraîné la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.
Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :
- la simplicité du mot de passe ;
- l’écoute sur le réseau afin de collecter les mots de passe transmis ;
- la conservation en clair du mot de passe ;
- la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).
Les principaux risques identifiés au cours du cycle de vie d’un mot de passe
Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute).
On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.
PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS
Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.
1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification :
Ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux.
Des mesures complémentaires à la saisie d’un mot de passe (restrictions d’accès, collecte d’autres données, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.
Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation
Dans tous les cas,
le mot de passe ne doit pas être communiqué à l’utilisateur en clair par courrier électronique.
Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.
Sécurisation de l’authentification
Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :
- elle utilise un algorithme public réputé fort ;
- sa mise en œuvre logicielle est exempte de vulnérabilité connue.
Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.
La conservation des mots de passe
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
Le renouvellement du mot de passe
Renouvellement périodique
Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.
La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.
Renouvellement sur demande
À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.
Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.
Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface depuis une URL temporaire dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.
Un code d’accès temporaire peut également être utilisé dès lors qu’il dispose des mêmes caractéristiques que l’URL temporaire, à savoir disposer une validité de 24 h et ne permettre qu’un seul renouvellement.
Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :
- ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ;
- afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.
Que faire en cas de risque de compromission du mot de passe ?
Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,
- Le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ;
- Il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
- Il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.
Source: CNIL
1 Commentaires
Salut curtispc,
1. Malheureusement, les phrases secrètes ne peuvent pas être utilisées sur tous les services à cause des limitations qu’imposent les éditeurs de ces services. Par contre, si tu utilises des programmes de chiffrement de données comme VeraCrypt ou un gestionnaire de mots de passe, tu peux utiliser ces phrases secrètes qui sont indispensables.
2. C’est ici que les gestionnaires de mots de passe sont utiles ! En créant un coffre-fort avec LastPass, Dashlane ou KeePass verrouillé par la seule phrase secrète que tu devras retenir, tu vas pouvoir stocker toutes autres les phrases secrètes que tu utilises sur les sites qui les autorisent. Ainsi, tu n’auras besoin de retenir que la phrase secrète qui te permet d’accéder à ton coffre-fort ?