Mots de passe : la CNIL lance une consultation publique

Publié par le dans , | Consulté 226 Fois

La CNIL – Commission Nationale Informatique et Libertés – a lancé une consultation le 21 octobre 2021 au sujet d’une nouvelle recommandation relative aux mots de passe. En effet, la précédente recommandation de 2017 n’était plus à jour notamment au regard de l’état des connaissances informatiques relatives à la sécurité des données personnelles des utilisateurs. Après 4 ans d’utilisation de la recommandation précédente, la CNIL considère qu’elle dispose d’un recul suffisant sur les conseils prodigués aux entreprises pour leur conformité au RGPD (Règlement général à la protection des données personnelles).

Le mot de passe, définition et risques

Un mot de passe, selon la définition de la CNIL, est un « facteur de connaissance, c’est-à-dire tout ensemble d’informations révocable connu uniquement de la personne concernée et permettant ou contribuant à l’authentification de celle-ci ». C’est l’outil d’authentification le plus répandu, car celui-ci peut être mis en œuvre sans coût ou matériel particulier pour les responsables de traitement, tout en étant relativement simple pour les utilisateurs. C’est pourquoi en moyenne, une personne gère 25 comptes de services différents au travers de mots de passe.

Cette omniprésence du mot de passe entraine toutefois des cumuls de mots de passe et donc des risques de piratage, notamment quand ces mots de passe sont réutilisés pour plusieurs services. Si le mot de passe est découvert, tous les services utilisant celui-ci sont compromis.

Les risques liés aux mots de passe sont donc variés, allant de la création de ce mot de passe, à son utilisation pour l’authentification, à la conservation et jusqu’à son renouvellement. Le schéma ci-dessous, qui est produit par la CNIL, résume ces risques.

De manière notable, les utilisateurs sous-estiment la faiblesse de leurs mots de passe, car l’appréhension des risques peut être compliquée pour la majorité des utilisateurs. Néanmoins, les concepteurs techniques des sites de services ont également une part de responsabilité dans la création de mots de passe faibles. En effet, les efforts sont concentrés sur l’objectif de sécurité, sans prendre en compte l’aspect humain du mot de passe qui est la mémoire. En conséquence, même lorsque les sites requièrent un mot de passe de 12 caractères, avec des majuscules, minuscules, chiffres et ponctuations, les utilisateurs se tournent vers des mots de passe qu’ils sont susceptibles de retenir facilement. Pour contrer ce biais dans la création des mots de passe, la CNIL incite donc les politiques de mots de passe à orienter les utilisateurs vers des pratiques plus sûres, par exemple en empêchant l’utilisation de certains mots trop communs.

Le mot de passe comme outil d’authentification peut poser des risques lorsque celui-ci n’est pas chiffré lors de sa transmission au serveur, ou lorsque le mécanisme d’authentification en lui-même est faillible. Par ailleurs, ce mot de passe ne doit pas être stocké dans un serveur distant sans avoir été transformé de manière irréversible par une fonction cryptographique. La conception du site internet en elle-même doit donc être sécurisée, sinon le mot de passe perd son utilité.

Concernant la conservation du mot de passe, la CNIL rappelle que celui-ci ne doit pas être communiqué en clair à l’utilisateur par mail par exemple. Il est toutefois possible de communiquer un mot de passe temporaire ou à usage unique en clair. C’est par exemple le cas de certaines applications bancaires qui envoient un code temporaire par courrier au client, que celui-ci va modifier par la suite.

Enfin, des risques existent lors du renouvellement du mot de passe. En effet, certaines modalités de renouvellement sont faibles, comme les questions secrètes en cas d’oubli de mots de passe. Une information relative à l’école primaire de l’utilisateur ou au nom de jeune fille de sa mère peut éventuellement être trouvée sur les réseaux sociaux de l’utilisateur par exemple.

Le mot de passe comme outil protégeant les données personnelles des utilisateurs

L’article 32 du RGPD impose aux responsables de traitement de mettre en place des mesures pour assurer un niveau suffisant de sécurité, adapté aux risques particuliers du traitement. Les mots de passe sont donc un aspect essentiel de la sécurité des données des utilisateurs. Il est donc important de se prémunir contre les risques qui leur sont associés.

La CNIL considère qu’au-delà de 12 caractères, le mot de passe peut résister aux attaques courantes. Un tel mot de passe peut donc être utilisé seul. Pour un mot de passe plus court et donc plus faible, il faut des mesures complémentaires d’authentification, comme des restrictions d’accès ou la collecte d’autres données.
Prenons l’exemple des codes de carte bancaire. Ceux-ci ne possèdent que 4 chiffres, ce qui pourrait sembler risqué. Or, ce type particulier de mot de passe s’accompagne nécessairement de la détention de la carte bancaire, ce qui est en soi une mesure complémentaire. De plus, une mesure additionnelle de blocage au bout de 3 tentatives échouées est généralement mise en place. D’ailleurs, la question des moyens de paiement et leur protection est importante pour la CNIL, qui a émis un livre blanc sur ce sujet.

Cette remise à niveau de la recommandation de 2017 s’inscrit dans un contexte accru de menaces pour les données personnelles. En effet, beaucoup de violations de données ont eu lieu récemment, notamment en raison de la pandémie de Covid-19. La CNIL observe alors que 60% des notifications reçues depuis le début de l’année 2021 sont liées au piratage.

Pour rappel, lorsqu’un responsable de traitement est confronté à une violation de données, il doit avant tout notifier la personne concernée dans un délai de 72 heures, mais également la CNIL en cas de risque pour la vie privée des personnes concernées. Un changement de mot de passe doit ensuite être imposé à l’utilisateur, en précisant à celui-ci que si ce mot de passe était partagé par plusieurs services, il faut modifier tous les accès concernés.
Une réaction rapide concernant des mots de passe pouvant être compromis est donc nécessaire. En effet, un rapport Verizon de 2021 dévoile que 81% des violations sont causées par des mots de passe compromis, faibles ou réutilisés.

En raison des risques assez importants liés aux mots de passe, la CNIL mentionne d’autres moyens d’identification qu’elle considère comme plus sûrs : l’authentification à double facteur ou les certificats électroniques.

Les nouveautés introduites par la recommandation

La volonté qui émane de cette  nouvelle recommandation est de donner un socle minimal de mesures de sécurité que les responsables de traitement doivent mettre en place concernant les mots de passe, en concordance avec l’article 32 du RGPD.

Une des premières modifications apportées par cette recommandation concerne la définition d’une règle permettant que les mots de passe soient plus forts. En effet, la CNIL souhaite s’attacher non seulement à la longueur du mot de passe, mais à son degré d’imprédictibilité, que l’on appelle estropie. Une estropie idéale au sens de la CNIL est un mot de passe généré aléatoirement.
Ensuite, le projet abandonne l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques. Ce renouvellement est toutefois conservé pour les comptes administrateurs.
Par ailleurs, la CNIL propose une liste de mots de passe connus et donc à proscrire. L’utilisateur devra être informé dans la politique de mots de passe qu’un terme faisant partie de cette liste n’est pas accepté pour des raisons de sécurité.
Enfin, la recommandation s’attache aux règles de création et de renouvellement de mots de passe au travers de la définition de bonnes pratiques, déjà évoquées plus haut.

Les acteurs concernés par le texte ont donc jusqu’au 3 décembre pour participer à la consultation. La nouvelle recommandation définitive sera publiée au début de l’année 2022. Malgré les exigences de cette recommandation, la CNIL considère que le niveau de sécurité instauré est insuffisant, et doit dès lors être complété par le guide de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) relatif à l’authentification multi-facteur et aux mots de passe.

Sources :

  • Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe
  • Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • Projet de recommandation, « Mots de passe (et autres secrets non partagés) », CNIL, 21 octobre 2021
  • LEMOSQUET (C.), «La CNIL s’empare de la question de la protection des données et des moyens de paiement avec son nouveau livre blanc “Quand la confiance paie”», note d’actualité IREDIC, 2021
  • « Recommandations relatives à l’authentification multifacteur et aux mots de passe », ANSSI, modifié le 8 octobre 2021
  • « Mots de passe : ouverture d’une consultation publique sur la nouvelle recommandation de la CNIL », CNIL, 21 octobre 2021
  • « Authentification par mot de passe : les mesures de sécurité élémentaires », CNIL, 21 novembre 2018
  • « Notifier une violation de données personnelles », CNIL, 24 mai 2018
  • Rodolphe BREARD, Amandine JAMBERT et Iane VALLANZASCA, « De “azerty” à “pa$$word”, une revue des pratiques de gestion des mots de passe », Laboratoire d’innovation numérique de la CNIL, 22 juillet 2021
  • Data Breach Investigations Report, Verizon DBIR, 2021