Mode de conservation, longueur des mots de passe et protections associées. La CNIL vient de fournir toutes les clés pour protéger correctement les mots de passe des utilisateurs d'outils informatiques. Une liste d'éléments semble-t-il simples, mais que tous ne respectent pas encore aujourd'hui.
À la veille de la Journée de protection de la vie privée, la CNIL propose son « kit mots de passe ». Il contient un générateur de mots de passe forts, un poster avec des règles générales (PDF) et plusieurs fiches pratiques pour bien les gérer. La cible, bien entendu, est le commun des mortels. Mais la commission a un cadeau pour d'autres acteurs en cette journée.
Des lignes directrices pour les professionnels
Une délibération de la CNIL a été publiée au Journal officiel. Elle s'adresse aux entreprises et organismes qui gèrent des données utilisateurs, le plus souvent protégées par des mots de passe. Comme les 42 mesures de sécurité de l'ANSSI, ces lignes directrices donnent les indications minimales pour gérer correctement ces informations. Les recommandations sont générales et offrent une marge d'amélioration (très) large.
La commission constate, sans grande surprise, que les mots de passe sont toujours le moyen privilégié pour protéger un accès... et que les utilisateurs ont tendance à utiliser un code unique pour plusieurs services. Elle s'inquiète également que la multiplication des attaques et les fuites régulières de bases de données aident les pirates à connaître les habitudes des internautes. Il y a donc du travail.
Quelle longueur pour un mot de passe ?
Pour le gardien des données personnelles, la complexité du mot de passe dépend directement des protections associées. Quand le compte n'est protégé que par ce moyen, il doit contenir au moins 12 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Quand une restriction d'accès est ajoutée, le mot de passe ne doit plus être au minimum que de 8 caractères, avec au moins trois des quatre types de caractères en question. Qu'est-ce qu'une de ces restrictions ? Il s'agit par exemple d'une temporisation après des échecs (plus d'une minute après cinq essais et 24 heures après 25 essais), d'une protection contre les soumissions automatisées (comme une attaque par force brute), comme un captcha, ou d'un blocage du compte après au maximum dix essais infructueux.
La longueur minimale passe à cinq caractères quand le mot de passe est accompagné d'une information complémentaire, fournie par le service. Cette information doit, elle-même, être composée d'au moins sept caractères et connue uniquement de lui et de l'utilisateur (comme un identifiant unique au service). Elle peut être accompagnée ou remplacée par un élément propre au terminal privé, à savoir une « adresse IP, adresse MAC, user agent, etc », révocable à tout moment. Cela peut être combiné à une restriction d'accès (temporisation, protection contre la force brute et blocage du compte après cinq essais).
Enfin, quand le mot de passe est combiné à un dispositif matériel, sa longueur peut passer à quatre caractères... ce qui peut s'apparenter à un code PIN. Le matériel en question ? Une carte SIM, une carte à puce ou un dispositif avec « certificat électronique déverrouillable par mot de passe ».
En clair, une clef U2F peut convenir, tout comme des outils plus spécialisés comme nous avons pu le voir avec les Yubikey afin de protéger l'accès à une machine sous macOS ou Windows. La contrepartie est que le dispositif doit être bloqué après trois mauvais essais.
Le chiffrement : algorithme public et séparation du stockage
En matière d'authentification et de chiffrement, les recommandations de base sont d'utiliser un algorithme public sans vulnérabilité connue, avec un certificat d'authentification du serveur si elle n'est pas exécutée en local, via un canal chiffré. La CNIL recommande également que les clés privées soient protégées. Rien de fou, donc.
Le mot de passe ne doit pas être stocké en clair, mais transformé avec un moyen non réversible et sûr, « intégrant l'utilisation d'un sel ou d'une clé ». Cette dernière ne doit pas être hébergée dans le même espace que le moyen de vérification du mot de passe.
Pour les organisations qui renouvellent périodiquement les mots de passe, la commission recommande qu'il le soit dans « un délai raisonnable », qui dépend notamment de sa criticité. En cas d'oubli, quand un administrateur doit intervenir, le mot de passe doit être ensuite changé par l'utilisateur à la première connexion. Si l'opération est automatique, le nouveau secret ne doit pas être transmis en clair et la session permettant de le changer ne doit pas être valide plus de 24 heures. Quand l'envoi passe par un numéro de téléphone ou une adresse postale, l'utilisateur doit être prévenu par ailleurs, pour éviter les usurpations d'identité.
Enfin, en cas de violation du mot de passe, la CNIL demande à ce qu'elle soit signalée dans les 72 heures, avec obligation pour l'utilisateur de le changer. Le délai est calé sur celui de notification des autorités en cas de fuite massive de données, introduit dans les derniers textes européens sur la vie privée.
Avec des recommandations aussi claires, il sera donc difficile pour un service de contester ces principes simples, comme ne pas stocker ou transmettre ces données en clair. En octobre, Cdiscount avait été épinglé par la commission sur de nombreux points, dont des mots de passe clients trop courts et parfois stockés en clair.
Sa mise en garde publique devait servir d'électrochoc pour les autres acteurs avec des pratiques similaires, qui ont désormais une base concrète sur laquelle se reposer.
- Les lignes directrices de la CNIL
- Les conseils de la CNIL pour un bon mot de passe
- Authentification par mot de passe : les mesures de sécurité élémentaires
- Recommandations de sécurité minimales pour les entreprises et les particuliers
- Notre dossier sur la gestion des mots de passe
- Notre dossier sur le chiffrement et les clefs de sécurité
Commentaires (64)
#1
Pour le sous-titre j’hésite entre 
" /> et 
" />.
#2
Pour t’aider dans ton choix, souviens-toi de qui détient désormais les codes nucléaires
" />
#3
au moins 12 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Plus un mot de passe est long et plus il est probable qu’il soit facilement accessible quelque-part.
Généralement sur un post-it près de l’écran ou un fichier “motdepasse.txt” sur le bureau.
#SadButTrue
#4
J’ai deux mots de passe sympas : “ pas2mot2passe ” et “ jenesaispas ” avec “ 987 ” ou “ 321 ” à la fin.
" />
" />
Ne me remerciez pas si ça peux donner quelques idées à certains.
#5
#6
#7
Hollande.
" />
#8
il manque tout de même la recommandation la plus importante:
Et là, pas de réponse…
#9
J’avoue que 12 caractère c’est chaud.
Le miens fait 10 et j’ai mit du temps à le retenir…
#10
Faut associer deux mots et des chiffres, ça se retient facile.
#11
#12
#13
Même plus la peine de hacker un compte, il suffit de suivre le gonze sur Twitter, comme le porte-parole de la Maison Blanche (qui a publié son mot de passe dans 2 tweet
" />)
#14
Voici le mien facile à retenir: “J’ai1super_mot2passe” 😅
#15
valls49.3
fillon500000
#16
En version deux mots avec les chiffres au milieu : Bismuth50000000Kadhafi
#17
Arrêtez !!!
" /> Il va falloir que je change mon mot de passe après !!!
#18
perso je trouve qu’imposé des min, maj et chiffres c’est ridicule
car dans ce cas soit :
alors qu’une longueur minimum avec une seule variante (chiffre ou majuscule ou caractere special) suffirai
ne pas oublier que souvent l’espace est accepté
on peut donc facilement faire ce genre de mot de passe, tres simple a retenir
“Je suis né le 10.10.1980”
Majuscule a la premiere lettre car c’est une phrase ;)
un accent donc caractere special ^^
longueur 24
pas besoin de postit ou de noté quelque part ;)
ps: oui j’ai volontairement donné un exemple qui utilise maj, min, chiffre et special ;)
le seul soucis c’est l’epineuse question des mots de passe réutilisé ailleurs …
la, pas 50 solutions…
soit un keepass (les services en ligne pour retenir le pass c’est comme donné un double de toutes ses clé a un inconnu)
soit 2 ou 3 variantes du genre pour des sites sensible (email par ex) et les autres vairantes pour des sites dont en s’en fou un peu …
#19
ou d’utiliser 4 ou plus mot aléatoire .
ex : moutarde/cornemuse/balzac/orange
soit 33 caractère facilement mémorable
et surtout si vous ete responsable de site : n’oublier pas de bloquer apres n tentative, ou d’utiliser des double authentification cela resoud pas mal de pb
#20
Sérieusement
" /> ? Plus moyen de voir ça, les Tweets ont été supprimés je présume?
#21
on en parle du social engineering ?
" />
" />
J’ai l’impression que vous êtes tous fiers de balancer vos mdp en clair dans les commentaires pour savoir qui a le plus long
Vous saurez jamais que le mien c’est azerty1234 d’ailleurs
#22
Hélas non, que ca soit au début ou à la fin c’est la même chose, avec les bonnes règles pour John the ripper par exemple http://contest-2010.korelogic.com/rules.html : KoreLogicRulesAppendNumbers / KoreLogicRulesPrependNumNum). Et au milieu c’est à peine mieux, c’est ce qu’on test juste après si ça ne fonctionne pas. Le mieux reste la passphrase (non publique ou issue d’une oeuvre littéraire classique).
#23
Oui enfin comme il est précisé sur le site, le brute force ne peut plus vraiment s’appliquer étant donné le blocage au bout de quelques tentatives, et il est statistiquement impossible de trouver le bon mot de passe en quelques essais.
🚀
#24
Mince je voulais rajouter que les chats marchant sur les claviers étaient les meilleurs inventeurs de mots de passe sécurisés. Après bon je pense pas que je vais investir dans un chat pour être sûr… Sinon à l’œuvre ils sont doués.
😅😅😅😅
#25
#26
#27
Et dire que si les services web mettaient un verrouillage de compte au bout de n tentatives (temporaire avec avertissement par mail), on n’aurait pas forcément besoin de tout ça. Surtout que dans 99.9999999999999999999999999999% des cas l’utilisateur va choisir de sauvegarder avec le navigateur.
Exemple simple : gestion des comptes en ligne de banque, souvent un truc à 6 chiffres hué par les pseudo-geeks expert sécu du Web. Mais tu te goures 3 fois, accès bloqué.
Le site de la FDJ encore mieux, tu verrouilles ton compte, tu dois attendre un courrier avec tes nouveaux accès.
Et comme dit par d’autres, plus un mot de passe est complexe et différent par service, plus il sera écrit sur un post-it / carnet / .txt sur le bureau, etc.
Et ne me dites pas que vous n’avez jamais vu d’entreprise qui gérait ses mots de passe admin de ses applications via un fichier excel.
#28
#29
passwd de 24 char pour booter ma machine, une variante de 24 char pour deverouiller le disque data, aucun problème 
" />
#30
En même temps, c’est difficile de faire autrement. J’ai pour l’instant 5 mots de passe complexes, et si je n’ai pas trop de mal à mémoriser, il faut se souvenir de quel mot de passe on a besoin sur tel site. Comme dit plus haut, certains sites coupent très vite, et ça m’est déjà arrivé sur le site de ma banque.
#31
source
" />
Ils les a supprimé depuis, mais c’était déjà trop tard
#32
#33
Tout est possible. Après tu n’es pas obligé de bombarder 45 000 logins à la seconde.
" />
Un exemple simple : dans les logs de mon fail2ban, je vois des tentatives de connexion régulières, mais pas abondantes sur les différents accès qu’il surveille. Au contraire, faire un bruteforce trop rapide c’est un moyen de se faire repérer…
M’enfin, de toute façon le bruteforce ne sert à rien, vu que les 3⁄4 des éditeurs de services Web ont leur BDD en open bar sans aucune chiffrage.
#34
Euh si ça peut arriver.
Tu te trompes de fenêtre pour le copier/merder ou encore la fenêtre qui reprend le focus à ce moment-là…
#35
#36
#37
De là à le publier… À mes yeux ça reste improbable.
#38
Honnêtement, le copier/coller ou même la saisie accompagnée d’un “entrée” direct … Ca peut arriver à n’importe qui.
Je ne défend pas ce type, je sais pas qui c’est et m’en cogne, mais clairement ça peut arriver à tout le monde.
#39
#40
Ben dans ce sens-là, pour moi c’est plus du DDoS que du bruteforce dans le cas où le serveur tombe sous la demande. En l’état, si ton bruteforce fait tomber la bécane, j’aurais envie de dire qu’il ne sert à rien
" />
Si le bruteforce tente effectivement de casser/trouver le code en effectuant un très grand nombre de requêtes, perso je l’assimile aussi (peut-être à tort) aux attaques par dictionnaire qui tentent de deviner des mots de passe via les fameuses listes qui circulent un peu partout.
Dans le second cas, c’est là où le verrouillage de compte en cas de connexion erronée prend tout son sens… Ou des outils comme fail2ban aussi qui savent bien s’adapter.
#41
#42
Tu peux récupérer la base de données des mots de passes sans avoir les données stockées sur le compte.
Et donc faire une attaque par bruteforce sur la base en local pour ensuite te connecter sur les comptes avec des mots de passe faibles qui auront cédés en premier.
#43
#44
#45
Perso, j’ai une fonction dans mon .bashrc:
# Generate a random password
# \(1 = number of characters; defaults to 32
# \)2 = include special characters; 1 = yes, 0 = no; defaults to 1
function randpass() {
[ “\(2" == "0" ] && CHAR="[:alnum:]" || CHAR="[:graph:]"
cat /dev/urandom | tr -cd "\)CHAR” | head -c ${1:-32} | xclip -selection clipboard
}
(J’aime bien le petit xclip, c’est mon dernier ajout en terme d’utilisabilité. Pour tous les sites, un nouveau mdp que je génère avec un petit coup de randpass 64 0. Je le colle. Je n’ai pas besoin de le retenir, je ne l’ai jamais vu. Firefox le fait bien mieux que moi, avec un mdp maître généré en suivanthttps://xkcd.com/936/ en utilisant un service de typehttp://listofrandomwords.com/ pour générer la liste de mot. Je ne connais que quelques mots de passe, celui de ma lvm chiffré (>60 chars), mon mdp sudo (court pour le coup), mon mdp maître, la passphrase de ma clé GPG, et le mdp de ma boîte mail. Et ce n’est pas plus dur que d’apprendre les fables de la Fontaine à la communale :)
#46
pwgen -ys 64 5
" />
#47
Propre. Je ne connaissais pas.
J’avoue que je traîne cette fonction dans mon bash depuis de nombreuses années… En tous cas, j’aime beaucoup l’option:
-s génère des mots de passe complètement aléatoires, difficiles à mémoriser.
À défaut, ils génèrent des mdp non aléatoires? Je viens de jeter un coup d’œil aux sources. Elles sont assez propres mais je ne suis pas sûr que ça apporte qqch de supérieur à /dev/urandom.
#48
Par défaut c’est aléatoire, mais ça reste « lisible » (beaucoup de caractères simples), alors qu’avec l’option -s, ça rajoute beaucoup de caractères spéciaux et de majuscules.
Exemple sans : zai9eephaethi0Sei3auwii%gaixugh;
et avec : a^Dl=4vL=V!LMq/+|pJA=A-Z0zUV|~o
Après je l’utilise juste parce que c’est super pratique.
#49
Pense à
| xclip -selection clipboard, ça facilite vraiment la vie ;)#50
#51
#52
#53
#54
qu’en est-il des mots de passe à 6 chiffres à placer sur un clavier virtuel ?
et le tatouage numérique et sténographie dans une photo ?
#55
J’aimerais bien un retour sur ma technique perso pour élaborer des mots de passe convenables, car je ne la retrouve pas dans les différents articles qu’on peut trouver sur le sujet.
Par exemple pour nextimpact -> base%NEXT
Cette méthode à l’avantage de produire des mp faciles à retenir dès lors que la base est connue.
Pour ma part, je l’ai fabriquée en utilisant 2 mots de passe imposés, à l’époque du lycée pour ce connecter, à je ne sais plus quelle ENT
Par contre, la possibilité d’intuiter tes autres mp à partir d’un mot de passe connu est peut-être un problème…
#56
La CNIL reprends juste une partie des préco de l’ANSSI en matière de MDP finalement.
C’est ce qu’on trouve dans les RGS depuis 2010.
#57
Le pb est que si j’obtiens un ou deux de tes mdp sur des bases volées (genre yahoo, linkedin ou d’autres), je n’ai aucun pb à trouver ton mdp pour d’autres services. Donc, non, cette méthode n’est pas acceptable
" />
#58
Ok!
J’ai bien fait de passer à keepass ;-)
#59
#60
> je l’ai fabriquée en utilisant 2 mots de passe imposés, à l’époque du lycée
Pour peu que comme moi, le lycée ce soit plus de 10 ans, quelle est la probabilité que plusieurs de ses mdp soient dans la nature (ou que des hash en md5 ou autres le soient, ce qui revient au même). Je suis sûr que les mecs qui utilisent ces bdd sont capables de croiser les résultats pour attaquer d’autres services le plus efficacement possible. Et entre nous, je ne sais pas ce qu’est un «service important» mais on peut penser que yahoo et linkedin sont/ont été des services importants et ils ont quand même laissé filer des donnée. Donc je confirme, mdp aléatoires pour tous les services, keepass et autres sont là pour ça. Et quand tu l’as oublié, tu cliques sur «forgot password» et tu le changes…
#61
#62
#63
> Quand tu pars en voyage, est-ce que tu as toujours accès à ton gestionnaire de mot de passe ?
Non, je ne connais que le mdp (fort) de ma boîte mail principale. Et tous les services dont j’aurais besoin sont rattachés à cette boîte. Si je dois me reconnecter, je re-génère un mdp. Et j’avoue, je le fais tout le temps.
> Les hash md5 d’à peu près TOUS les mot de passes possibles sont déjà
disponibles (et bien plus encore, avec différents seeds, etc): ce sont
les rainbow-tables.
Une rapide analyse sur les ordres de grandeurs me fait dire que c’est très peu probable au delà de 20 caractères aléatoires ^^
> ton adresse mail principale (et encore)
Ce point là, je ne le comprends pas. Si j’ai accès à ta boîte mail personnelle, je peux a priori récupérer tous les comptes qui en dépendent (pour peu qu’il n’y ait pas de 2FA…). Pour moi, elle est même plus importante que le mdp keepass.
#64