En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

Pour tenir compte de ces évolutions et du piratage en hausse, par sa nouvelle recommandation sur la sécurité des mots de passe, la CNIL «invite» à appliquer le principe dit d’«entropie».

La notion d’entropie

Cette notion renvoie à l’usage de la quantité de hasard dans le choix des mots de passe. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute.

Le niveau minimal générique est de 80bits d’entropie pour un mot de passe sans mesure complémentaire, et de laisser à chacun le loisir de définir sa politique de mot de passe. Ainsi, les trois exemples suivants sontéquivalentsen termes d’entropie et répondent tous aux préconisations de la nouvelle recommandation:

Exemple 1: les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37caractères spéciaux possibles.

Exemple 2: les mots de passe doivent être composés d’au minimum 14caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.

Exemple 3: une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7mots.

Le tableau ci-dessous recense les 3 cas d’authentification par mot de passe identifiés par la CNIL dans sa nouvelle recommandation.

Le contrôle d’accès devra reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

EXEMPLE D’UTILISATIONENTROPIE MINIMUMMESURES COMPLÉMENTAIRESMot de passe seulFORUM, BLOG80Conseiller l’utilisateur sur un bon mot de passeAvec restriction d’accès (le plus répandu)SITES DE E-COMMERCE, COMPTE D’ENTREPRISE, WEBMAIL50Mécanisme de restriction d’accès au compte : (exemples) Temporisation d’accès au compte après plusieurs échecs ; Nombre maximal de tentatives autorisées dans un délai donné ; « Captcha » ; Blocage du compte après 10 échecs assorti d’un mécanisme de déblocage choisi en fonction des risques d’usurpation d’identité et d’attaque ciblé par déni de service.Avec matériel détenu par la personneCARTE BANCAIRE OU TÉLÉPHONE13Matériel détenu en propre par la personne (ex: carte SIM, carte bancaire, certificat) + Blocage au bout de 3 tentatives échouées

Exit le renouvellement périodique des mots de passe

Selon la nouvelle recommandation il n’est plus nécessaire de demander aux utilisateurs le renouvellement périodique des mots de passe. En effet, de plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace.

Autre changement, il n’est plus nécessaire qu’un mot de passe soit renforcé par une information complémentaire.

La conservation des mots de passe en mode crypté

Point déjà acquis: les mots de passene doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable,le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

Il existe aujourd’hui des fonctions spécialisées qui permettent de répondre à ce besoin, comme scrypt ou Argon2, cités par l’ANSSI.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne:

• le responsable de traitement doit notifier la CNIL dans un délai n’excédant pas 72 heures ;
• il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
• il doit lui recommander de veiller à changer ses mots de passe d’autres services, dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.

A savoir : les manquements relatifs aux politiques de mots de passe faisaient partie des manquements les plus souvent constatés en 2021.

 

---

Laisser un commentaire Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire *

Nom *

E-mail *

Site web

Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain commentaire.

• Bienvenue, je suis votre assistant juridique

Contrat de distribution commerciale : affaire Legrand Rédiger une clause de cession de droits en distinguant les types de supports La rupture abusive de relations commerciales

Rédaction en cours .... ...

×

• Prop. intellectuelle
• Numérique
• Audiovisuel
• RGDP
• Image
• Travail
• Contrats
• Entreprises
• Publicité
• Musique
• Presse
• Art / Culture
• Spectacles vivants
• Procédure
• Baux commerciaux

• Se connecter
• Créer un compte

Se souvenir de moi Mot de passe oublié ?

Se connecter

J'ai lu et accepté la politique RGDP

Créer un compte

Mot de passe perdu ? Veuillez saisir votre identifiant ou adresse e-mail. Vous recevrez un lien par e-mail pour créer un nouveau mot de passe.

Envoyer l’e-mail de réinitialisation

body::-webkit-scrollbar { width: 7px; } body::-webkit-scrollbar-track { border-radius: 10px; background: #f0f0f0; } body::-webkit-scrollbar-thumb { border-radius: 50px; background: #dfdbdb }

• ↓
• ACCÈS IMMÉDIAT
  .

  Nom / Prénom Tél (confidentialité garantie) Email pro Votre Métier

  J'ai lu la politique RGDP