Mots de passe : les conseils de la Cnil

Informatique

Imprimer cet article

Mots de passe : les conseils de la Cnil

Le mot de passe, en raison de sa simplicité et de son faible coût de mise en place, reste l’outil d’identification le plus utilisé, notamment sur Internet. Or, constate la Commission nationale de l’informatique et des libertés (Cnil), ce système offre un niveau de sécurité faible s’il n’est pas administré par les entreprises de manière rigoureuse. Une recommandation fixant les mesures minimales à établir en matière de mots de passe vient dès lors d’être adoptée par la Commission. Des conseils simples et pertinents qui ne peuvent qu’intéresser tout gestionnaire de base de données.

Des mots de passe complexes

Imposer l’adoption d’un mot de passe long et composé de différents types de signes est une règle de sécurité essentielle.

La simplicité du mot de passe reste la principale vulnérabilité de ce mode d’identification. Pour réduire ce risque, la Cnil précise que les gestionnaires des bases de données doivent exiger que le mot de passe créé par leurs utilisateurs soit suffisamment complexe pour être difficile à casser.

Plusieurs hypothèses sont envisagées par la Cnil. La première est celle d’un système dont l’accès est protégé par un mot de passe seul. Dans cette situation, ce dernier doit être composé au minimum de 12 signes et contenir des majuscules et des minuscules, des chiffres et des caractères spéciaux. Pour limiter les risques de voir les utilisateurs composer des mots de passe trop simples et donc mettre en danger la base de données, la Commission invite les entreprises à leur livrer des conseils de conception. Un générateur de mots de passe, baptisé « Phrase2passe », est en outre proposé en libre accès sur le site de la Cnil . Disponible sous la forme d’une extension logicielle en JavaScript, il peut être intégré au sein des sites des entreprises qui le souhaitent.

Mots de passe et mesures complémentaires

Limiter le nombre de tentatives de connexion ou mettre en place un captcha permet de renforcer la sécurité d’un accès par mot de passe.

Imposer la création d’un mot de passe de 12 signes n’est pas la seule option que les entreprises peuvent retenir lorsqu’elles envisagent de sécuriser l’accès à leur base de données. Ainsi, la Cnil évoque des solutions composites, c’est-à-dire associant à un mot de passe un autre système d’identification. Avec cette approche, le mot de passe que l’utilisateur devra concevoir et retenir sera plus court et plus simple. Plus la mesure de protection complémentaire retenue sera solide, moins le mot de passe exigé sera complexe. De 12 signes minimum, il pourra ainsi passer à une simple série de 4 chiffres.

La Cnil cite différents types de mesures de sécurité complémentaires :

- le blocage ou la temporisation de l’accès après plusieurs échecs de connexion ;

- la mise en place d’un « captcha » pour contrer les attaques via un « robot » ;

- l’association au mot de passe d’un identifiant spécifique (lui-même composé de plus de 7 signes) ;

- l’identification de l’utilisateur via son adresse IP ou son adresse Mac ;

- l’identification de l’utilisateur via un matériel détenu en propre (carte SIM, carte bancaire…).

Dans tous les cas

Lors de leur transmission ou de leur stockage, les mots de passe doivent toujours être chiffrés.

La Cnil précise également que la procédure d’authentification et les conditions de conservation des mots de passe doivent être sécurisées. Elle rappelle ainsi qu’il est nécessaire que la transmission des mots de passe soit chiffrée. Et qu’en outre, une fois stockés, ces derniers soient sécurisés. Concrètement, cela signifie, d’une part, qu’ils doivent être stockés dans un espace distinct de celui qui accueille les éléments de vérification desdits mots de passe (réponses aux questions posées pour retrouver un mot de passe oublié, par exemple), et d’autre part, qu’ils doivent, là aussi, être chiffrés. La Commission précise, par ailleurs, qu’en aucun cas un mot de passe ne doit être communiqué en clair à l’utilisateur par l’entreprise gestionnaire de la base de données.

Quant au renouvellement du mot de passe, il doit, rappelle notamment la Cnil, intervenir selon « une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé ». De l’aveu de nombreux spécialistes de la sécurité, imposer un rythme trop élevé de changement de mot de passe est contre-productif. Le plus souvent, cela conduit les utilisateurs à ne modifier qu’à la marge leurs anciens mots de passe et ainsi à faire baisser le niveau de sécurité attendu. Changer de mot de passe une fois par an est déjà considéré comme un effort par beaucoup d’utilisateurs.

Et pour les utilisateurs ?

Concevoir des mots de passe forts et parvenir à les retenir est loin d’être simple.

Pour concevoir des mots de passe, la commission rappelle :

- qu’ils doivent être complexes (12 signes minimum et composés de différents types de signes : majuscules, minuscules, caractères spéciaux, signes de ponctuation…). Un générateur de mots de passe basé sur l’utilisation de la première lettre de chaque mot utilisé dans une phrase est, d’ailleurs, mis à disposition sur ledit site ;

- qu’ils doivent être impossibles à deviner (n’avoir aucun sens, ne contenir aucune information personnelle comme une date de naissance ou encore le prénom d’un enfant) ;

- que le même mot de passe ne doit pas servir à sécuriser plusieurs comptes afin d’éviter des « piratages en cascade » ;

- qu’il ne faut pas les noter en clair sur un Post-it ou dans un fichier enregistré sur un ordinateur ou un smartphone.

Pour ne pas les oublier, la Cnil conseille :

- d’adopter, une fois encore, la méthode de la première lettre de chaque mot. Cette dernière permettant de se souvenir d’une phase simple qui donne un mot de passe complexe. « Il était une fois l’Amérique et les 12 salopards sont mes films préférés. » donnant : « Iéufl’Ael12ssmfp. » ;

- de ne pas hésiter à utiliser un gestionnaire de mots de passe (coffre-fort virtuel permettant de mémoriser des milliers de mots de passe pour le compte d’un utilisateur). Une liste de gestionnaires de mots de passe est d’ailleurs proposée par la Cnil.

Article du 03/03/2017 - © Copyright Les Echos Publishing - 2017