Délibération CNIL n° 2017-012 du 19 janvier 2017

Le moyen d’authentification actuellement le plus répandu dans le cadre du contrôle d’accès à une ressource numérique est celui associant un identifiant à un mot de passe.  Par délibération n° 2017-012 du 19 janvier 2017, la CNIL a formulé un référentiel technique apportant un niveau de sécurité minimal, cohérent avec les bonnes pratiques de sécurité en usage.

La recommandation CNIL concerne les modalités relatives à la création du mot de passe, à la gestion du compte associé, à l’authentification, à la conservation, au changement et au renouvellement du mot de passe, et à la notification de violations de données à la personne.

Obligation de diligence du responsable de traitement

En application de l’article 34 de la loi du 6 janvier 1978 modifiée, le responsable d’un traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

De même, l’article 35 de la loi du 6 janvier 1978 modifiée prévoit que les sous-traitants et les personnes agissant sous l’autorité du responsable du traitement ou du sous-traitant doivent présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34, ce qui ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Création du mot de passe et blocage de compte

La taille minimale, maximale et la complexité d’un mot de passe (usage de minuscules, majuscule, caractères spéciaux …) doivent être imposées par le responsable de traitement. Le mot de passe ne doit pas être communiqué à l’utilisateur en clair, notamment par courrier électronique.

Si l’authentification repose uniquement sur un identifiant et un mot de passe, la CNIL  considère que i) la taille du mot de passe doit être au minimum de 12 caractères ; ii)  le mot de passe doit comprendre des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Si l’authentification prévoit une restriction de l’accès au compte (blocage du compte suite à plusieurs tentatives), la CNIL recommande que la taille du mot de passe doit être au minimum de 8 caractères, comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux). Le responsable s’il opte pour une temporisation d’accès au compte après plusieurs échecs, cette durée doit augmenter exponentiellement dans le temps : durée supérieure à 1 minute après 5 tentatives échouées, et permette de réaliser au maximum 25 tentatives par 24 heures. Alternativement, il est possible de prévoir un «  captcha » et/ou un blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 10.

Si l’authentification comprend une information complémentaire, la taille du mot de passe doit être au minimum de 5 caractères et l’authentification doit faire intervenir une information complémentaire ;  une restriction de l’accès au compte doit être mise en œuvre, pouvant prendre la forme d’une ou plusieurs des modalités suivantes : i) une temporisation d’accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps ;  un mécanisme de « captcha ») ; un blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 5.

Pour les supports mobiles (mot de passe et matériel détenu par la personne), la taille du mot de passe doit être au minimum de 4 chiffres ; et i) l’authentification ne peut concerner qu’un dispositif matériel détenu en propre par la personne, à savoir uniquement les cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverrouillable par mot de passe (token) ; et ii) un blocage du dispositif doit être mis en œuvre après un nombre d’authentifications échouées consécutives au plus égal à 3.

Modalités de l’authentification

La fonction d’authentification doit utiliser un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue. Lorsque l’authentification n’a pas lieu en local, une mesure de contrôle de l’identité du serveur d’authentification doit être mise en œuvre au moyen d’un certificat d’authentification de serveur.

Conservation et renouvellement du mot de passe

Le mot de passe ne doit pas être stocké en clair (transformé au moyen d’une fonction cryptographique non réversible et sûr avec clé générée au moyen d’un générateur de nombres pseudo aléatoires cryptographiquement sûr).

Le responsable de traitement doit veiller à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé. La personne concernée doit pouvoir procéder elle-même au changement de son mot de passe.

Demande de mot de passe

Lorsque le renouvellement du mot de passe nécessite l’intervention d’un administrateur, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur à la première connexion de la personne ; la personne doit être redirigée vers une interface lui permettant de saisir un nouveau mot de passe ; le mot de passe ne doit pas être transmis en clair à la personne.

Notification de violation

Les nombreuses affaires de piratages de comptes d’abonnés (LinkedIn …) ont conduit la CNIL à imposer au responsable de traitement de notifier la personne concernée quand une violation de son mot de passe a été détectée, dans un délai n’excédant pas 72 heures depuis la constatation de la violation. Le changement du mot de passe doit alors être imposé à la personne concernée.