Mots de passe : les nouvelles lignes directrices de la CNIL

Mots de passe : les nouvelles lignes directrices de la CNIL

Mots de passe : les nouvelles lignes directrices de la CNIL 960 640 OPTIMEX DATA

Optimex Data revient sur les dernières recommandations de la CNIL en matière de mots de passe.

Mots de passe et CNIL 2022

Suite à une montée en puissance des cyberattaques, la CNIL est revenue, ce 17 octobre 2022, sur ses recommandations concernant les mots de passe. Plusieurs changements notables sont à prévoir. Pour débuter, en termes de « gouvernance », la CNIL recommande de rédiger une politique de gestion des mots de passe. Celle-ci devra être rédigée par les acteurs en charge de la sécurité et des moyens informatiques de l’organisme  – RSSI, DSI, DPO… Cela nécessitera également une revue régulière des habilitations et de l’application de cette politique. Les personnes devront être informées des règles de cette politique et être sensibilisées aux menaces et aux risques de compromission des mots de passe.

Dans ses nouvelles recommandations, la CNIL revient sur les modalités d’authentification par mot de passe.

1. Lorsque l’authentification s’effectue via une connexion réseau, la CNIL recommande :

  • La mise en place de mesure de contrôle de l’identité du serveur d’authentification ;
  • Le chiffrement du canal de communication entre le serveur authentifié et le client ;
  • La mise en place de mesures de sécurité renforcées pour garantir la confidentialité des clés privées ;
  • La disparition des mots de passe en clair ou en forme hachée sur les adresses de ressources distantes.

2. Lorsque l’authentification s’effectue sur une page web, la CNIL recommande les points suivants :

  • Ne pas rendre visibles, dans les champs de saisie, les caractères saisis ;
  • En cas d’échec de l’authentification, le message d’information affiché devra indiquer l’échec sans fournir d’indication susceptible d’aider un attaquant ;
  • En cas de mise en place de mots de passe par défaut, il conviendra de fournir que des mots de passe à usage temporaire et/ou d’imposer leur modification à la première connexion.
  • S’assurer que les mots de passe utilisés sont d’un niveau de sécurité suffisant, imposant une taille et une complexité minimale.

La CNIL précise que tous les mécanismes ayant pour objet ou effet d’interdire aux utilisateurs de coller un mot de passe dans les champs de saisie ne doivent pas être mis en œuvre. Sauf envoi par voie postale, les mots de passe ne doivent pas être communiqués à l’utilisateur en clair, y compris en courrier électronique.

En cas d’envoi par voie postale, l’usage de mesures complémentaires visant à détecter l’interception (ex. enveloppes dont l’intérieur est noirci ou cases à gratter) ou à en empêcher l’usage doivent être mis en place. Dans le cadre de l’envoi de liens de création ou de renouvellement de mot de passe, une durée d’expiration courte (au plus tard 24h) doit être mise en place. Lorsqu’un mot de passe est refusé lors de la création, un message d’information comprenant un rappel des règles en termes de mots de passe doit être affiché à l’utilisateur.

Dans ses recommandations, la CNIL précise qu’il ne s’agit plus de vérifier le respect d’une politique de mot de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.

Les trois cas d’authentification par mot de passe, et quelques exemples

  • Cas n°1 : mot de passe seul

    Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.

    Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.

    Exemple 3 : les phrases de passe fondées sur des mots de la langue française doivent être composées d’au minimum 7 mots.

  • Cas n°2 : mot de passe

    Restriction d’accès au compte :

    • Temporisation de l’accès au compte après plusieurs échecs
    • Mécanisme déterminant un nombre maximal de tentatives autorisées – 10 essais par heures par exemple
    • Mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives – Captcha par exemple
    • Blocage du compte

    Exemple 1 : la taille du mot de passe doit être au minimum de 8 caractères et comporter 3 des 4 catégories de caractères : majuscules, minuscules, chiffres et caractères spéciaux, les caractères spéciaux devant être pris dans un ensemble d’au moins 11 caractères ;

    Exemple 2 : les phrases de passe fondées sur des mots de la langue française doivent être composées d’au minimum 5 mots ;

    Exemple 3 : les mots de passe doivent être composés d’au minimum 16 chiffres

  • Cas n°3 : Code de déverrouillage

    Un blocage du dispositif doit être mis en œuvre après un nombre d’authentification échouées consécutives au plus égal à 3.

    Exemple : la taille du code personnel doit être au minimum de 4 chiffres décimaux.

Concernant les modalités de conservation des mots de passe, ces derniers ne doivent jamais être stockés en clair.

Concernant les modalités de renouvellement des mots de passe, trois situations sont évoquées par la CNIL :

  1. Situation 1 – le renouvellement périodique: les responsables de traitement ne doivent plus imposer la modification périodique des mots de passe à l’ensemble des utilisateurs. Une procédure de modification périodique reste nécessaire pour les comptes à privilège.
  2. Situation 2 – le renouvellement sur demande de l’utilisateur: si le renouvellement nécessite l’envoi d’une information (ex. lien web, mot de passe temporaire par courriel ou téléphone), celui-ci doit s’effectuer via un canal préalablement validé (adresse courriel, moyen d’identification électronique de secours). La personne doit avoir accès à une interface lui permettant de saisir un nouveau mot de passe. La validité de la session de cette interface ne doit pas excéder 24h et les liens de renouvellements doivent être à usage unique.
  3. Situation 3 : le renouvellement en cas de compromission: la personne doit être informée sans délai afin de lui permettre de renouveler son mot de passe immédiatement. Le responsable doit imposer à la personne de le modifier lors de sa prochaine connexion et pour tous les services utilisant ce même mot de passe.

Pour aller plus loin : une nouvelle recommandation pour maîtriser sa sécurité, Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n°2017-012 du 19 janvier 2017, tableau de correspondance avec les recommandations de l’ANSSI,  calculer la force d’un mot de passe – ANSSI, Questions-réponses sur les nouvelles recommandations – point 12.

Vous aimerez aussi...
Une illustration satirique représentant Spy.pet en train de siphonner des données d'utilisateurs de Discord, symbolisant la violation du RGPD.
Spy.pet : Quand vos échanges sur Discord deviennent une marchandise sans votre accord
Entreprises marocaines protégeant les données personnelles conformément au RGPD
La conformité au RGPD, une nécessité pour les professionnels marocains
European flags symbolizing the unification of RGPD regulations and data protection laws
Mise à Jour RGPD : nouvelles pratiques et sanctions
Focus sur les Ressources Humaines
17ème Université des DPO organisée par l’AFCDP

S’inscrire à notre newsletter.

    Votre nom *

    Votre Email *

    Veuillez saisir le code ci-dessous :

    captcha

    Les informations recueillies par le biais de ce formulaire sont enregistrées et transmises aux services concernés d’OPTIMEX DATA et nous permettent de vous envoyer notre lettre d’information concernant les services que nous proposons. La base légale du traitement est le consentement. Les données collectées sont conservées jusqu’à votre désinscription (lien de désinscription intégré à la Newsletter) dans nos fichiers informatiques. Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation au traitement et d’effacement. Pour en savoir plus sur l’utilisation de vos données et sur vos droits issus de la Loi Informatique et Libertés modifiée ainsi que du RGPD, veuillez consulter notre politique de protection des données ou nous contacter à privacy@optimex-data.fr.

    logo optimex data lite
    INSCRIPTION NEWSLETTER

    Nous Rencontrer

    Agence RGPD de Grenoble – Siège Social

    2 Rue de l’Industrie
    38760 VARCES-ALLIERES-ET-RISSET

    Agence RGPD de Lyon

    Agence RGPD de Sophia-Antipolis

    Nous Contacter

    Tel: +33(0)4 76 63 61 61
    Email: contact@optimex-data.fr

    Privacy

    Mentions Légales
    Protection des Données
    Politique de Cookies

    Nous Suivre

    Linkedin

    Facebook

    © 2021 Optimex Data. Tous droits réservés.

    Enter your
    text here

    logo optimex data

    Nos Clients

    Le Lab Optimex

    Rendez-Vous Découverte

    Inscription Formation

    Accès E-Learning

    Inscription Webinar

    Carrière

    Espace Client

    Ma Box

    @Optimex Data 2024 – Tous droits réservés

    OPTIMEX DATA, sécurité et conformité RGPD en toute sérénité !

    Call Now Button