Mots de passe : la CNIL trace ses lignes directrices pour une sécurité minimale

n9y25ah7 64
En bref
image dediée
Crédits : milindri/iStock
Securité
Guénaël Pépin

Mode de conservation, longueur des mots de passe et protections associées. La CNIL vient de fournir toutes les clés pour protéger correctement les mots de passe des utilisateurs d'outils informatiques. Une liste d'éléments semble-t-il simples, mais que tous ne respectent pas encore aujourd'hui.

À la veille de la Journée de protection de la vie privée, la CNIL propose son « kit mots de passe ». Il contient un générateur de mots de passe forts, un poster avec des règles générales (PDF) et plusieurs fiches pratiques pour bien les gérer. La cible, bien entendu, est le commun des mortels. Mais la commission a un cadeau pour d'autres acteurs en cette journée.

Des lignes directrices pour les professionnels

Une délibération de la CNIL a été publiée au Journal officiel. Elle s'adresse aux entreprises et organismes qui gèrent des données utilisateurs, le plus souvent protégées par des mots de passe. Comme les 42 mesures de sécurité de l'ANSSI, ces lignes directrices donnent les indications minimales pour gérer correctement ces informations. Les recommandations sont générales et offrent une marge d'amélioration (très) large.

La commission constate, sans grande surprise, que les mots de passe sont toujours le moyen privilégié pour protéger un accès... et que les utilisateurs ont tendance à utiliser un code unique pour plusieurs services. Elle s'inquiète également que la multiplication des attaques et les fuites régulières de bases de données aident les pirates à connaître les habitudes des internautes. Il y a donc du travail.

Quelle longueur pour un mot de passe ?

Pour le gardien des données personnelles, la complexité du mot de passe dépend directement des protections associées. Quand le compte n'est protégé que par ce moyen, il doit contenir au moins 12 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Quand une restriction d'accès est ajoutée, le mot de passe ne doit plus être au minimum que de 8 caractères, avec au moins trois des quatre types de caractères en question. Qu'est-ce qu'une de ces restrictions ? Il s'agit par exemple d'une temporisation après des échecs (plus d'une minute après cinq essais et 24 heures après 25 essais), d'une protection contre les soumissions automatisées (comme une attaque par force brute), comme un captcha, ou d'un blocage du compte après au maximum dix essais infructueux.

La longueur minimale passe à cinq caractères quand le mot de passe est accompagné d'une information complémentaire, fournie par le service. Cette information doit, elle-même, être composée d'au moins sept caractères et connue uniquement de lui et de l'utilisateur (comme un identifiant unique au service). Elle peut être accompagnée ou remplacée par un élément propre au terminal privé, à savoir une « adresse IP, adresse MAC, user agent, etc », révocable à tout moment. Cela peut être combiné à une restriction d'accès (temporisation, protection contre la force brute et blocage du compte après cinq essais).

Enfin, quand le mot de passe est combiné à un dispositif matériel, sa longueur peut passer à quatre caractères... ce qui peut s'apparenter à un code PIN. Le matériel en question ? Une carte SIM, une carte à puce ou un dispositif avec « certificat électronique déverrouillable par mot de passe ».

En clair, une clef U2F peut convenir, tout comme des outils plus spécialisés comme nous avons pu le voir avec les Yubikey afin de protéger l'accès à une machine sous macOS ou Windows. La contrepartie est que le dispositif doit être bloqué après trois mauvais essais.

Le chiffrement : algorithme public et séparation du stockage

En matière d'authentification et de chiffrement, les recommandations de base sont d'utiliser un algorithme public sans vulnérabilité connue, avec un certificat d'authentification du serveur si elle n'est pas exécutée en local, via un canal chiffré. La CNIL recommande également que les clés privées soient protégées. Rien de fou, donc.

Le mot de passe ne doit pas être stocké en clair, mais transformé avec un moyen non réversible et sûr, « intégrant l'utilisation d'un sel ou d'une clé ». Cette dernière ne doit pas être hébergée dans le même espace que le moyen de vérification du mot de passe.

Pour les organisations qui renouvellent périodiquement les mots de passe, la commission recommande qu'il le soit dans « un délai raisonnable », qui dépend notamment de sa criticité. En cas d'oubli, quand un administrateur doit intervenir, le mot de passe doit être ensuite changé par l'utilisateur à la première connexion. Si l'opération est automatique, le nouveau secret ne doit pas être transmis en clair et la session permettant de le changer ne doit pas être valide plus de 24 heures. Quand l'envoi passe par un numéro de téléphone ou une adresse postale, l'utilisateur doit être prévenu par ailleurs, pour éviter les usurpations d'identité.

Enfin, en cas de violation du mot de passe, la CNIL demande à ce qu'elle soit signalée dans les 72 heures, avec obligation pour l'utilisateur de le changer. Le délai est calé sur celui de notification des autorités en cas de fuite massive de données, introduit dans les derniers textes européens sur la vie privée.

Avec des recommandations aussi claires, il sera donc difficile pour un service de contester ces principes simples, comme ne pas stocker ou transmettre ces données en clair. En octobre, Cdiscount avait été épinglé par la commission sur de nombreux points, dont des mots de passe clients trop courts et parfois stockés en clair.

Sa mise en garde publique devait servir d'électrochoc pour les autres acteurs avec des pratiques similaires, qui ont désormais une base concrète sur laquelle se reposer.


chargement
Chargement des commentaires...