Avec une nouvelle recommandation sur les mots de passe [1], et pour tenir compte de l’augmentation importante des attaques informatiques et de l’évolution des connaissances des attaquants en la matière, la CNIL met à jour sa recommandation pour permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.
Cette recommandation n’est pas une norme, mais correspond à l’état de l’art auquel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du RGPD lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles.
Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation (p. ex. : l’authentification à double facteur ou les certificats électroniques, qui offrent davantage de sécurité que le mot de passe).
Les principales recommandations de la CNIL
Dans sa nouvelle recommandation, la CNIL prévoit que « tout responsable de traitement utilisant des mots de passe doit garantir un niveau minimal de sécurité reposant, d’une part, sur une longueur et une complexité suffisantes, équivalentes à une entropie de 80 bits sans mesure complémentaire », l’entropie étant entendue comme la quantité de hasard, « et, d’autre part, sur des règles de mise en œuvre et de gouvernance permettant de préserver la sécurité du mot de passe tout au long de son cycle de vie ».
La CNIL prévoit également que « la notion de « devinabilité » est une approche alternative pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi. La littérature sur le sujet recommande une résistance aux attaques minimale de 1014 essais.
Cependant, au moment de la publication de cette recommandation, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones ; la Commission ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation. Elle sera attentive aux nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles qu’elle pourra évaluer ».
La CNIL décrit trois possibilités d’exigences minimales pour une authentification par mot de passe. Le cas d’usage et le public ciblé doivent être pris en compte dans le choix des critères à imposer dans la politique de gestion des mots de passe.
Les trois cas d’authentification par mot de passe identifiés par la CNIL dans sa nouvelle recommandation sont :
Les mots de passe ne doivent jamais être stockés en clair par le responsable de traitement. Lorsqu’ils sont conservés, les mots de passe utiles à la vérification de l’authentification doivent être préalablement transformés au moyen d’une fonction cryptographique spécialisée, non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé.
Les responsables de traitement ne devraient plus imposer de modification périodique des mots de passe à l’ensemble de leurs utilisateurs. Une procédure de modification périodique reste cependant nécessaire pour les comptes à privilège (comptes d’administration).
La CNIL précise qu’une périodicité pertinente et raisonnable sera à définir en fonction des risques.
[1] Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017