Accueil Cybersécurité Mots de passe : la CNIL met à jour sa recommandation, qui...

Mots de passe : la CNIL met à jour sa recommandation, qui date de 2017

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Certes les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, mais en pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. La Cnil a donc dédié de remettre à jour ses bonnes pratiques de base les concernant, en prenant en compte l’évolution des connaissances et des pratiques.

« Cette recommandation n’est pas une norme mais correspond à l’état de l’art auquel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles », indique la CNIL. « Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent », précise-t-elle.

Les évolutions principales de la recommandation

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

– Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
– Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
– L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
– L’introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
– Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

la CNIL rappelle que les manquements relatifs aux politiques de mots de passe faisaient partie des manquements les plus souvent constatés lors de ses contrôles en 2021. Des manquements qui pouvaient mener à des violations de données aux conséquences parfois importantes pour les personnes.

En ce qui concerne la suppression d’un des cas qui était recommandé en 2017 (mot de passe renforcé par une information complémentaire), notez que la CNIL dit qu’elle tiendra compte du délai nécessaire pour mettre en œuvre ces changements.