Les bonnes pratiques en matière d’authentification par mots de passe

25 novembre 2022

9 min

La CNIL vient de publier une nouvelle recommandation sur les mots de passe, l’occasion de revenir sur les manquements fréquemment retenus à ce sujet dans ses sanctions et les apports de cette recommandation.

 

 

Introduction :

 

D’après la dernière étude d’IBM Security, une violation de données représente un coût total moyen de 4,35 millions de dollars et 19% d’entre elles sont liées au vol ou à la compromission des identifiants. De son côté, la CNIL indique, dans les chiffres 2021 de la cybersécurité issue de son rapport d’activité, que près des deux tiers (59%) des notifications de violations de données qu’elle a reçues au cours de l’année 2021 étaient liées à un piratage informatique. Elle estime d’ailleurs qu’un grand nombre de ces violations de données auraient pu être évitées en adoptant des bonnes pratiques en matière de mot de passe.

 

En s’appuyant sur ces chiffres, un premier constat apparaît : sécuriser l’authentification servirait donc tout autant l’intérêt économique des entreprises que l’intérêt des particuliers en protégeant leur vie privée.

 

Cette sécurisation de l’authentification est d’autant plus importante qu’elle est imposée par le Règlement 2016/679 du 27 avril 2016 (ci-après « RGPD ») qui d’une part, prévoit, au sein de l’article 5(1)f, le principe de sécurité et de confidentialité des traitements de données à caractère personnel et, d’autre part, impose, au titre de l’article 32, à tout responsable du traitement et tout sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. Sur ce sujet, la Commission nationale de l’informatique et des libertés (ci-après « CNIL ») collabore étroitement depuis plusieurs années avec l’Agence nationale de la sécurité des systèmes d’information (ci-après « ANSSI ») pour fournir aux entreprises des recommandations sur les précautions élémentaires à mettre en place, notamment en matière d’authentification par mot de passe.

 

Les pratiques des entreprises en matière de mots de passe font par ailleurs l’objet d’une attention particulière de la CNIL qui, depuis la publication de sa première recommandation relative aux mots de passe du 19 janvier 2017, a prononcé pas moins de 20 sanctions (sur un total de 58 sanctions prononcées sur la même période, soit 33% des sanctions) se rapportant en tout ou partie à des manquements relatifs à l’authentification par mot de passe.

 

Six manquements récurrents relatifs aux mots de passe ressortent de l’étude de ces délibérations de sanctions prises par la CNIL : l’absence de robustesse des mots de passe ; la transmission en clair des mots de passe, la conservation en clair des mots de passe, le partage d’identifiants, l’absence de processus d’authentification (voir par exemple Délibération SAN-2018-003 du 21 juin 2018) et l’absence de verrouillage des postes de travail (voir par exemple Délibération SAN-2018-009 du 6 septembre 2018).

 

La publication, le 17 octobre dernier, de la nouvelle recommandation de la CNIL sur les mots de passe, est ainsi l’occasion de se focaliser sur les six points-clés en la matière, en précisant ce qui est attendu des entreprises, tout en prenant le soin de revenir sur l’évolution de la position de la CNIL par rapport à ses précédentes recommandations ainsi que ses délibérations de sanction rendues sur le sujet.

 

Point-clé n°1 – La gouvernance

 

La nouvelle recommandation dédie une section entière à la Gouvernance qui se matérialise pour la CNIL par la rédaction d’une politique de gestion des mots de passe.

 

La CNIL consacre en réalité une position qui ne figurait pas en tant que telle dans la recommandation de 2017, mais qu’elle avait exprimée à maintes reprises, notamment dans ses référentiels et ses délibérations de sanction. Dans la délibération SAN-2017-009 du 15 juin 2017, la CNIL avait par exemple rappelé qu’elle avait précédemment enjoint à l’organisme de « prendre toute mesure nécessaire pour garantir la sécurité […], notamment en veillant à définir une politique de mots de passe robuste ».

 

Par ailleurs, dans la checklist du guide de sécurité publié en janvier 2018, la CNIL prévoyait déjà que l’un des critères d’évaluation du niveau de sécurité consistait à vérifier l’adoption d’une politique de mot de passe : « Adoptez une politique de mot de passe utilisateur conforme à nos recommandations ».

 

L’apport de la nouvelle recommandation est plutôt à rechercher du côté des précisions relatives au contenu de la politique de gestion des mots de passe et aux actions concernant son déploiement et son maintien dans le temps. Celle-ci doit désormais être rédigée par le personnel chargé de la sécurité et des moyens informatiques de l’entreprise pour, à terme, être validée par le responsable de traitement et doit reprendre les différents points de la nouvelle recommandation (dont la trame est similaire à ce que prévoient les recommandations de l’ANSSI au point 4)

 

Afin de s’assurer de l’effectivité de la politique en matière de mots de passe dans le temps, la CNIL recommande de prévoir une revue régulière, sur une base annuelle, des habilitations et de sa bonne mise en œuvre.

 

Enfin, pour que cette Politique soit effective, le responsable de traitement est tenu :

 

  • D’informer toutes les personnes concernées de cette politique : celle-ci peut par exemple figurer au sein d’une charte informatique à destination des salariés, ou dans une « privacy policy » à l’attention de clients créant un espace personnel sur le site Internet du responsable de traitement ;
  • De sensibiliser, voire de former les personnes concernées aux menaces et risques de compromission, ainsi qu’aux bonnes mesures à prendre en temps ordinaire (notamment proposer un gestionnaire de mots de passe) ou en cas de compromission. Bien que la nouvelle recommandation ne fasse aucune distinction s’agissant des personnes concernées, il est raisonnable de considérer que seuls les collaborateurs du responsable de traitement doivent être formés.

 

Point-clé n°2 – La robustesse

 

La robustesse des mots de passe est l’exigence sur laquelle la CNIL a rendu le plus de décisions de sanction depuis 2017. En effet, en cinq ans, pas moins de quinze délibérations de sanctions publiques (sur les 20 sanctions rendues au sujet des mots de passe) font état de manquements à la robustesse et à la complexité des mots de passe. Elle figure ainsi, en toute logique, au centre de la nouvelle recommandation de la CNIL.

 

La composition du mot de passe

 

Avant même la publication de recommandations sur les mots de passe, la CNIL sanctionnait déjà les responsables de traitement en raison de l’absence de robustesse de leur processus d’authentification, par exemple pour « un mot de passe de quatre caractères et aucune interruption du service […] en cas de saisies successives de mots de passe erronés» (Décision 88-78 du 5 juillet 1988), ou encore pour un « mot de passe de 6 caractères ou ne comportant que 2 règles de complexité » (Décision 2016-007 du 26 janvier 2016).

 

Au fil des années, elle est devenue de plus en plus exigeante sur le sujet, jusqu’à adopter la recommandation de 2017, au sein de laquelle elle est venue préciser la robustesse attendue des mots de passe en s’appuyant sur 4 cas de figure auxquels elle associait une longueur et une complexité minimale :

 

  • Cas n°1 : mot de passe seul ;
  • Cas n°2 : mot de passe et restriction d'accès au compte ;
  • Cas n°3 : mot de passe et information complémentaire ;
  • Cas n°4 : mot de passe et matériel détenu par la personne ;

 

Il est d’ailleurs intéressant de noter que les exigences exprimées dans les deux premiers cas ont été citées quasi-systématiquement in extenso dans les délibérations de sanction à compter de la Délibération SAN-2018-009 du 6 septembre 2018, selon les termes suivants : « la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte [CAS N°1] au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou alors [CAS N°2] comporte au moins huit caractères - contenant trois de ces quatre catégories de caractères - s’il est accompagné d’une mesure complémentaire […] ».

 

Ces règles relatives à la robustesse des mots de passe ont jusqu’à maintenant été interprétées de manière stricte par la CNIL dans ses décisions de sanction (voir en ce sens notamment Délibération SAN-2018-009 du 6 septembre 2018 ; Délibération SAN-2020-003 du 28 juillet 2020 ; Délibération SAN-2020-018 du 8 décembre 2020 ; Délibération SAN-2021-008 du 14 juin 2021 ; Délibération SAN-2022-018 du 8 septembre 2022). Ainsi, à titre d’exemple, dans la sanction prise à l’encontre d’Accor, nous apprenons que cette dernière avait mis en place les mesures suivantes : l’accès au logiciel Adobe Campaign n’était possible que depuis un terminal connecté au réseau Accor, au moyen d’un mot de passe, composé de huit caractères et deux critères de complexité (sept lettres majuscules et un caractère spécial). La société estimait ainsi rentrer dans le cas de figure n°2. Pour se conformer à la recommandation de 2017, il ne manquait donc à Accor qu’un seul critère de complexité (Délibération SAN-2022-017 du 3 août 2022), ce qui n’a pas empêché la CNIL de considérer que cette Politique de mot de passe était trop faible et pouvait conduire à un risque de compromission des données.

 

Globalement, la nouvelle recommandation reprend, dans l’esprit, la précédente, en envisageant la robustesse exigée des mots de passe au moyen de plusieurs cas de figure. Elle y apporte toutefois deux modifications notables :

 

  • La suppression du cas n°3, qui était considéré par les praticiens et l’ANSSI comme n’offrant pas un niveau de sécurité satisfaisant ;
  • Le passage d’une exigence fondée sur un nombre défini de caractères et de critères de complexité, à une exigence fondée sur l’entropie (c’est-à-dire la quantité de hasard contenue dans un système. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité, et donc à sa capacité de résistance à une attaque par force brute).
    Selon la CNIL et l’ANSSI, l’entropie est mesurée en nombre de « bits », c’est-à-dire en nombre de chiffres binaires (valant soit « 0 », soit « 1 ») permettant d’exprimer la quantité de hasard. Pour clarifier son propos, la CNIL utilise l’exemple de la carte bancaire et du PIN associé que nous reproduisons ici. Le code de carte bancaire comporte quatre chiffres décimaux pris au hasard, de 0 à 9, ce qui donne dix mille combinaisons possibles de 0000 à 9999 (10 à la puissance 4, noté 104). Pour obtenir un nombre de combinaisons binaires équivalent, il faut utiliser 13 bits, car 2 à la puissance 13 (ou 213) vaut 8 192, qui est du même ordre de grandeur que 104. On dira donc qu’un code de quatre chiffres décimaux aléatoires possède une entropie d’environ 13 bits.
    Afin d’éviter de procéder à ce calcul, l’ANSSI met à disposition un outil permettant de calculer automatiquement l’entropie du mot de passe envisagé à partir d’un nombre prédéfini de caractères possibles et de critères requis (malheureusement, les possibilités de ce calculateur sont toutefois limitées aux seuls cas prévus dans le menu déroulant de l’ANSSI).

 

Par voie de conséquence, les exigences relatives à la robustesse des mots passe sont désormais exprimées en bits :

 

  • Dans le cas n°1 (mot de passe seul), le mot de passe doit assurer une entropie de 80 bits. La CNIL précise ainsi que sa précédente exigence en la matière (c’est-à-dire douze caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux) remplit cette exigence, au même titre que les mots de passe de 14 caractères comprenant des majuscules, des minuscules et des chiffres (sans caractère spécial) ou encore que des phrases de passe d’au minimum 7 mots de la langue française ;
  • Dans le cas n°2 (mot de passe et restriction d’accès au compte), une entropie de 50 bits est exigée. De la même manière, l’exigence prévue dans la recommandation de 2017 (c’est-à-dire huit caractères et 3 critères de complexité, dont les éventuels caractères spéciaux doivent être choisis dans une liste d’au moins 11 caractères spéciaux) répond à l’exigence d’une entropie de 50 bits, de même que les phrases de passe d’au minimum 5 mots de la langue française ou encore un mot de passe de 16 chiffres. Les mesures de restriction d’accès au compte énumérées dans la recommandation restent sensiblement les mêmes, à l’exception d’un ajout, celui d’un mécanisme déterminant un nombre maximal de tentatives autorisées dans un délai donné (par exemple, 10 essais par heure) ;
  • Dans le cas n°3 (code de déverrouillage associé à un matériel détenu par la personne en propre), l’entropie doit être de 13 bits, ce qui correspond bien à un mot de passe de 4 chiffres décimaux, qui demeure le standard en la matière. Aucune précision notable n’est apportée sur ce sujet ; le blocage du dispositif devant toujours être mis en œuvre après 3 tentatives d’authentification échouées.

 

Ainsi, en appliquant une logique fondée sur l’entropie, des mots de passe composés de manière très différentes atteindront le même niveau d’entropie. Le passage à une telle logique offre donc plus de souplesse aux responsables du traitement dans le choix de la composition des mots de passe.

 

Toutefois, la CNIL précise qu’afin de calculer l’entropie et d’en déduire une Politique de mots de passe conforme, le responsable du traitement devra adopter une approche réaliste dans le décompte qu’il fera des caractères pouvant être utilisés dans la création du mot de passe. Il convient ainsi notamment de ne prendre en compte que les caractères spéciaux disponibles sur les claviers habituellement accessibles et utilisés par les utilisateurs sur les deux environnements (mobiles et ordinateurs).

 

Par ailleurs, la CNIL en profite pour formuler des recommandations qui ont déjà donné lieu au prononcé de sanctions. Ainsi, elle énonce qu’il convient de recommander aux utilisateurs de ne pas utiliser d’informations personnelles dans la composition de leurs mots de passe (date de naissance, prénoms des enfants, etc.). Assez naturellement, à l’inverse, le responsable de traitement ne doit pas imposer aux utilisateurs d’adopter un mot de passe reprenant  des informations personnelles (la CNIL a ainsi sanctionné un responsable de traitement qui imposait en guise de mot de passe la seule date de naissance dans un format de huit caractères : Délibération SAN-2019-007 du 18 juillet 2019).

 

La longueur maximale du mot de passe est également un sujet abordé par la nouvelle recommandation. Ainsi, sauf dans le cadre du Cas n°3 de la nouvelle recommandation, il convient de fixer une taille maximale pour les champs des mots de passe. « Celle-ci doit être suffisamment grande pour permettre l'utilisation de phrases comme mots de passe, tout en évitant les attaques par déni de service résultant du traitement d’un mot de passe abusivement long ». La CNIL précise ainsi que leur longueur maximale ne devrait pas être inférieure à 50 caractères.

 

Les autres modalités accompagnant la création du mot de passe robuste

 

La CNIL choisit également d’encadrer strictement les cas de figure dans lesquels le responsable de traitement, et non la personne concernée, génère le mot de passe. Elle précise alors que celui-ci doit nécessairement être temporaire et/ou imposer une modification à la première connexion.

 

Par ailleurs, la nouvelle recommandation précise que dans « la mesure du possible, le responsable de traitement doit conseiller et guider l’utilisateur dans la création de son mot de passe ». Ceci passe par la fourniture d’information aux personnes concernées en amont et lors de la création du mot de passe. Il s’agit bien évidemment d’informations relatives aux éléments de la politique que la personne concernée doit respecter et notamment :

 

  • Les tailles minimales et maximales des mots de passe ;
  • Dans l’hypothèse d’un refus concernant le mot de passe choisi par l’utilisateur, celui-ci devrait recevoir une information lui rappelant la politique et les raisons du refus ;
  • Le fait que les mots de passe les plus courants ne sont pas acceptés. La CNIL propose ainsi aux responsables du traitement d’adopter une liste des mots de passe connus comme étant couramment utilisés afin de les refuser automatiquement ; 
  • Le fait d’adopter des outils ou indicateurs pour permettre aux utilisateurs d’évaluer, au moment de la création d’un nouveau mot de passe, la robustesse de ce dernier (bonne pratique que l’on retrouve sur de plus en plus de sites).

 

Point-clé n°3 – La transmission du mot de passe

 

L’interdiction de la transmission en clair du mot de passe par le responsable de traitement

 

Sans surprise, la CNIL maintient sa position antérieure, exprimée notamment dans sa recommandation de 2017 et quatre de ses décisions de sanction, en considérant que la transmission en clair du mot de passe « ne permet pas d’assurer la sécurité des données, dès lors que l’envoi d’un courriel non chiffré peut conduire à son interception par toute personne écoutant le réseau et à la prise de connaissance des informations qu’il contient. » (Délibération SAN-2019-007 du 18 juillet 2019).

 

La nouvelle recommandation prévoit deux exceptions à ce principe d’interdiction de la transmission en clair des mots de passe : la transmission des mots de passe par voie postale et la transmission par courriel de mots de passe temporaires ou à usage unique.

 

S’agissant de transmission par voie postale, la CNIL précise que des mesures complémentaires destinées à empêcher l’interception devraient être mises en œuvre, telles que le fait d’adopter un intérieur de lettre noirci pour éviter la lecture par transparence (à l’image de ce qui est fait très souvent pour la transmission des codes de cartes bancaires), la mise en place de cases à gratter, le renouvellement forcé lors de la première utilisation, etc.

 

S’agissant des mots de passe temporaires ou à usage unique, la CNIL consacre sa position exprimée dans des délibérations de sanction antérieures, à savoir qu’il est possible de transmettre en clair des mots de passe par courriel, sous réserve que ce soient des mots de passe temporaires ou à usage unique. Cette position était déjà la sienne par exemple dans la Délibération SAN-2017-002 du 13 avril 2017 pour les mots de passe à usage unique ou encore dans les décisions prononcées à l’encontre de Free Délibération SAN-2021-021 du 28 décembre 2021 et Infogreffe (Délibération SAN-2022-018 du 8 septembre 2022) pour les mots de passe temporaires.

 

Le caractère temporaire mériterait toutefois d’être éclairci puisque la CNIL ne précise pas de durée maximum pour la validité des mots de passe temporaires dans sa recommandation. La CNIL considérant toutefois que les liens de création ou renouvellement de mot de passe doivent « disposer d’une durée d’expiration courte et définie, dans la plupart des cas de quelques heures et d’au plus de 24 heures », une analogie, nous semble ici pouvoir être raisonnablement effectuée.

 

Les mesures sécurisant le processus d’authentification

 

À nouveau, la CNIL reprend sensiblement des préconisations qu’elle avait déjà exprimées dans sa précédente recommandation de 2017, à savoir que lorsque l’authentification s’effectue sur Internet, il est recommandé à l’acteur de contrôler l’identité du serveur d’authentification par le client au moyen d’un certificat d’authentification de serveur et de chiffrer à l’aide d’une fonction de chiffrement sûre le canal de communication entre le serveur authentifié et le client ; ce qui peut notamment se matérialiser par l’utilisation d’un protocole IPsec ou un protocole TLS configuré conformément aux recommandations de l’ANSSI en la matière.

 

La CNIL en profite également pour y ajouter des précisions afin de renforcer les mesures de sécurité devant être mises en œuvre par les entreprises :

 

  • La page web d’authentification ne devra pas contenir un code faisant des appels externes (il s’agit notamment des publicités, hyperliens vers des contenus tiers, etc.) ; 
  • Les mots de passe définis par défaut (et non par l’utilisateur) devront être temporaires et/ou imposer à l’utilisateur de le modifier à la première connexion ; 
  • Les caractères saisis dans le champ du mot de passe ne devront pas être visibles par défaut (ils devraient rester invisibles ou être représentés par un caractère neutre tel qu’un point ou une étoile) et 
  • En cas d’échec de l’authentification, le message d’information affiché devra se contenter d’indiquer l’échec sans fournir d’information susceptible d’aider un attaquant potentiel à déchiffrer le mot de passe.

 

Enfin, la CNIL recommande de ne pas interdire les copier-coller sur les champs d’identifiants et mots de passe afin d’encourager l’utilisation des gestionnaires de mot de passe.

 

Point-clé n°4 – Les modalités de conservation du mot de passe

 

Des manquements relatifs aux modalités de conservation des mots de passe ont été relevés à sept reprises dans les délibérations de sanction publiques rendues ces cinq dernières années. En effet, de mauvaises modalités de conservation des mots de passe exposent les responsables du traitement et les personnes concernées à des risques de sécurité similaires à ceux rencontrés lors d’une transmission en clair du mot de passe.

 

À ce titre, la CNIL reprend, dans sa nouvelle recommandation, sa doctrine bien établie en la matière :

 

  • Le principe d’interdiction de la conservation en clair du mot de passe ;
  • Les précautions techniques à prendre pour assurer l’intégrité, la confidentialité et l’authenticité du mot de passe.

 

Assez logiquement, ces recommandations s’appliquent également à la conservation des questions et réponses secrètes (Délibération SAN-2022-018 du 8 septembre 2022).

 

Le principe d’interdiction de la conservation en clair du mot de passe

 

La CNIL considère, aussi bien dans la recommandation de 2017 que dans la nouvelle recommandation de 2022, que « le mot de passe ne doit jamais être stocké en clair », que ce soit dans une base de données spécifique ou même dans un code source (Délibération SAN-2018-008 du 24 juillet 2018 ; Délibération SAN-2018-011 du 19 décembre 2018 et Délibération SAN-2021-008 du 14 juin 2021).

 

S’il n’est toutefois pas possible de conserver le mot de passe sous forme hashée, pour des raisons techniques, la CNIL conseille toujours d’adopter une approche prudente et restrictive. Pour illustration, la CNIL n’a pas été convaincue par l’argumentation d’une entreprise justifiant l’absence de conservation du mot de passe sous forme hashée par la nécessité de l’inscrire en clair dans le code source pour que le compte associé puisse se connecter, en lui rappelant qui lui appartenait de chercher une autre solution afin de ne pas rendre le mot de passe accessible « par exemple, en le stockant au sein de son réseau interne et en s’assurant qu’il était injecté en temps réel dans le code source, uniquement lors des phases de test puis supprimé une fois le test achevé ». (Délibération SAN-2018-008 du 24 juillet 2018).

 

Les précautions à prendre pour assurer l’intégrité, la confidentialité et l’authenticité du mot de passe à conserver

 

Afin de ne pas conserver le mot de passe en clair, les deux recommandations de 2017 et 2022 précisent que le mot de passe doit être préalablement transformé au moyen d’une fonction cryptographique spécialisée, non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant un « sel ».

 

S’agissant des fonctions de hachage, il convient de veiller à ce qu’elles ne soient pas obsolètes (c’est le cas de la fonction de hachage MD5 Délibération SAN-2021-008 du 14 juin 2021, ou encore de la SHA-1 (Délibération SAN-2021-20 du 28 décembre 2021). Les fonctions de hachage font par ailleurs l’objet d’un communiqué complet et de sections dans le Guide de sécurité de la CNIL.

 

S’agissant du sel, la nouvelle recommandation ajoute une définition du sel en indiquant qu’il s’agit d’une « donnée supplémentaire ajoutée systématiquement aux données devant être hachées (ici, les mots de passe) afin d’empêcher que deux informations identiques donnent la même valeur hachée sur deux systèmes informatiques différents ». Elle indique, par ailleurs, les caractéristiques dont le sel devrait disposer : généré aléatoirement pour chaque utilisateur, longueur de 128 bits, mise à jour régulière des éléments le composant en fonction des risques.

 

Alors que la CNIL considérait que « le stockage du sel dans un espace distinct de celui où sont stockés les mots de passe (et non dans un même fichier) constitue une précaution élémentaire de nature à assurer la sécurité et la confidentialité des données » (Délibération SAN-2017-002 du 13 avril 2017), elle indique pourtant et de manière plutôt surprenante, dans sa nouvelle recommandation, que le sel doit être conservé dans la même base de données que les mots de passe.

 

Enfin, la CNIL conseille la mise en œuvre d’un protocole de type PAKE (« Password Authenticated Key Exchange) qui garantit que le mot de passe soit vérifié sans être transmis en clair au serveur pour vérification.

 

Point-clé n°5 – Les modalités de renouvellement et de modification

 

La CNIL s’aligne sur les recommandations de l’ANSSI en la matière, en abandonnant sa précédente position sur le sujet au titre de laquelle elle recommandait aux responsables du traitement d’imposer aux utilisateurs un renouvellement régulier du mot de passe.

 

Elle conserve toutefois cette exigence de renouvellements réguliers des mots de passe pour les comptes d’administration, selon une fréquence à définir en fonction des risques.

 

La nouvelle recommandation contient, par ailleurs, plusieurs apports sur le sujet du renouvellement et de la modification du mot de passe, en précisant notamment les modalités permettant de sécuriser ce type de process, à savoir :

 

  • ne pas envoyer le nouveau mot de passe sur un canal de communication récemment modifié ;
  • notifier à l’utilisateur toute modification du canal de communication sur l’ensemble des canaux de communication validés, y compris celui ayant fait l’objet d’une modification.

 

Lorsque le renouvellement est demandé par l’utilisateur, l’autorité de contrôle impose désormais de suivre la procédure suivante :

 

  • Si un lien ou un mot de passe temporaire est communiqué, il doit l’être par le biais d’un canal préalablement confirmé auprès du responsable du traitement (tel que courriel ou n° de téléphone utilisé pour créer le compte concerné ou un moyen de secours renseigné par l’utilisateur). 
  • Lorsque la réinitialisation déclenche une information sur un canal préalablement validé, l’utilisateur devra être informé du fait qu’une demande de validation sera envoyée, sans que ne lui soit confirmée l’existence ou la validité du canal ;
  • La personne concernée doit avoir accès à une interface dont la validité de la session ne devrait pas dépasser 24 heures. Le lien de renouvellement doit être à usage unique et révoquer les liens précédents.

 

Enfin, si le renouvellement implique que le titulaire du compte doive justifier d’un ou plusieurs éléments :

 

  • ces éléments ne doivent pas être des informations disponibles publiquement ;
  • ces éléments ne doivent pas être conservés dans le même espace de stockage, sauf chiffrement approprié (dans la Délibération SAN-2022-018 du 8 septembre 2022, la CNIL avait déjà estimé que le fait de stocker les questions et réponses secrètes utilisés lors de la procédure de réinitialisation des mots de passe par les utilisateurs de manière non-chiffrée constituait un manquement à l’obligation de sécurité) ;
  • la personne doit être avertie de toute tentative de modification de ces éléments.

 

Point-clé n°6 - L’interdiction du partage des identifiants

 

Si ce point n’est pas traité par la recommandation de 2022, la position de la CNIL sur le sujet n’en reste pas moins bien établie, en témoignent les trois délibérations de sanction publiques rendues à ce sujet.

 

Dans son guide de la sécurité des données personnelles publié en janvier 2018, et plus particulièrement la fiche « Authentifier les utilisateurs », la CNIL rappelle qu’il faut « définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. »

 

Elle y prévoit une exception, encadrée de la manière suivante : « dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, [il convient d’] exiger une validation de la hiérarchie et [de] mettre en œuvre des moyens pour les tracer. »

 

Un tel manquement à la sécurité des traitements a déjà été relevé concernant l’accès à une messagerie professionnelle (Délibération SAN-2019-006 du 13 juin 2019), ou encore l’accès à une base de données (Délibération SAN-2021-008 du 14 juin 2021).

 

Dans le dernier cas, la CNIL soulignait que l’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données. En effet, l’absence de traçabilité des accès ne permet pas d’identifier un accès frauduleux ou l’auteur d’une éventuelle détérioration ou d’une suppression des données à caractère personnel.

 

Sur ce sujet de la traçabilité, il est intéressant de noter que la CNIL consacre une section de sa recommandation à la journalisation, ce qui constitue une nouveauté par rapport à la version de 2017. Cette section très succincte reprend toutefois la position de la CNIL sur le sujet, établie notamment par le biais de la recommandation relative à la journalisation et la sanction Slimpay Délibération SAN-2021-020 du 28 décembre 2021.

 

Conclusion :

 

La nouvelle recommandation de la CNIL en matière de mot de passe s’inscrit donc dans la continuité de sa doctrine établie. Elle y adopte toutefois une approche plus pragmatique mais également plus technique, en ligne avec celle retenue par l’ANSSI, en abandonnant l’exigence de renouvellement des mots de passe utilisateur et en changeant de paradigme en matière de robustesse, préférant une logique d’entropie exprimée en bits, à sa précédente position exprimée en longueur et critères de complexité des mots de passe. Elle se veut également plus précise sur un certain nombre de sujets (transmission, conservation et modification des mots de passe ; gouvernance, journalisation).

 

La force contraignante de cette nouvelle recommandation continue toutefois d’interroger. Malgré le champ lexical plutôt contraignant de la recommandation, la CNIL précise toutefois que ces dispositions « n’ont pas un caractère normatif […] » et que « les acteurs peuvent mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation s’ils sont en capacité de montrer qu’elles garantissent un niveau de sécurité au moins équivalent. »

 

En théorie, une telle position laisse donc la possibilité aux responsables du traitement d’adopter une politique de gestion des mots de passe différente de celle exprimée dans ce document, sous réserve que de telles pratiques puissent être considérées comme conformes à l’article 32 du RGPD.

 

En pratique, la CNIL a jusqu’à présent sanctionné tout responsable de traitement qui ne respectait pas scrupuleusement ses recommandations, que ce soit en matière de robustesse des mots de passe, de conservation et/ou de transmission de ceux-ci. Ainsi, si les sociétés Free (Délibération SAN-2021-021 du 28 décembre 2021) et Infogreffe (Délibération SAN-2022-018 du 8 septembre 2022) ont fait valoir, dans leurs observations en réponse produites dans le cadre de la procédure de sanction, que les recommandations de la CNIL n’avaient pas de caractère impératif, ni de force contraignante, elles n’ont toutefois pas réussi à obtenir gain de cause sur ce fondement. Dans ces deux délibérations de sanction, la CNIL justifie les sanctions intervenues par l’existence d’un manquement aux obligations de l’article 32 du RGPD et non par le non-respect de sa recommandation en matière de mot de passe et rappelle que les guides et recommandations de la CNIL et de l’ANSSI en la matière « exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art. ». En d’autres termes, les recommandations de la CNIL en matière de mots de passe constitueraient un socle minimum, dont il ne semble possible de s’éloigner qu’en renforçant les mesures de sécurité qui y sont décrites et non l’inverse.

 

LIRE AUSSI >> DGA et Data Act : développement d’un marché unique de la donnée
Picture of Algo Avocats
Algo Avocats

Par Sandra Tubert, Avocate Associée et Antoine Tong, Elève-avocat.

Accueil  ›   Actualités juridiques  ›  Les bonnes pratiques en matière d’authentification par mots de passe

Chaque mois, retrouvez l’essentiel de l’actualité juridique analysée par les meilleurs experts !