Dans le cadre du Cybermois organisé par l’Agence nationale de la sécurité des systèmes d’information – ANSSI, la CNIL a décidé de dépoussiérer sa recommandation en matière de mots de passe, restant à ce jour la méthode d’authentification la plus répandue.

En effet, sa volonté est de remettre au gout du jour cette notion pour tenir compte de l’évolution des connaissances et afin de renforcer la sécurité des organismes dans un contexte où les menaces sont omniprésentes.

En voici quelques exemples aux différents stades de la gestion des mots de passe :

1. 1. Création du mot de passe: Attaque du moyen de mémorisation. Ex : vol du papier où le mot de passe est écrit, vol du smartphone où il est enregistré…
   2. Authentification : Observation lors de la saisie, Interception lors de la transmission…
   3. Conservation : Attaque par un virus, intrusion informatique sur le serveur ;
   4. Renouvellement: Hameçonnage, piratage du compte courriel utilisé pour le renouvellement ;

Afin de pallier les différents risques en matière de sécurité, la CNIL traite dans sa nouvelle recommandation à la fois la question de la politique de gestion des mots de passe et les modalités d’utilisation des mots de passe en pratique.

Les apports majeurs de cette nouvelle version sont :

• La définition d’une nouvelle règle basée sur le degré d’imprédictibilité d’un mot de passe appelé l’entropie. Cela signifie que la règle ne serait plus la longueur minimale du mot de passe mais plutôt l’absence de prévisibilité de celui-ci ;
• La fin de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques – non applicable aux administrateurs ;
• La tenue d’une liste officielle de mots de passe complexes mais connus à ne pas utiliser ;
• De nouvelles règles en matière pour garantir la sécurité tout au long du cycle de vie des mots de passe. Ex : utilisation d’un gestionnaire de mot de passe, pas d’utilisation d’informations évidentes ;

La nouvelle recommandation de la CNIL est soumise à la consultation publique jusqu’au 3 décembre 2021. Ainsi, tous les acteurs concernés par la recommandation qu’ils sont professionnels ou non en matière de protection des données ou de sécurité informatique peuvent participer.

L’ensemble des participations sera analysé afin de publier la nouvelle recommandation définitive en début d’année 2022.

L’ANSSI s’est bien évidemment penchée sur ce sujet et s’est prononcée dans un communiqué de presse le 1^er octobre 2021 afin de définir  les bonnes pratiques à adopter.

1. Des mots de passe longs: complexes avec majuscules, minuscules, chiffres et caractère spéciaux. Il est également possible d’utiliser une phrase pour complexifier ;
2. Aucune information personnelle : celles-ci sont trop faciles d’accès par exemple sur les réseaux sociaux ;
3. Utilisation d’un mot de passe unique par compte : en particulier pour les comptes sensibles type adresses mails et usages professionnels ;
4. Modifier systématiquement les mots de passe par défaut ;
5. Ne jamais communiquer ses mots de passe ;

Ces bonnes pratiques doivent bien évidemment s’accompagner de mesures supplémentaires telles que des sauvegardes régulières et systématiques des contenus, la mise à jour continue des appareils, logiciels et applications utilisés et ne pas ouvrir les liens ou les pièces jointes provenant d’expéditeur inconnu.