Le 17 octobre dernier, la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL) est venue mettre à jour sa recommandation datant de 2017 qui était relative aux mots de passe et aux secrets partagés. Par cela, la CNIL a pour volonté de garantir un niveau de sécurité minimal, pour les utilisateurs et les organismes utilisant cette méthode d’authentification.
Par cette mise à jour visant à lutter contre la recrudescence des menaces en lignes, le gendarme des données personnelles tente de venir rectifier les erreurs humaines, et notamment les mots de passe trop simplistes.
L’Intérêt d’une actualisation face au développement de la cybercriminalité
Cette actualisation fait écho à une étude faite en 2021 par une entreprise de cybersécurité dénommée Verizon. Au sein de cette dernière, l’entreprise de cybersécurité avait révélé que 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Par cela, les cybercriminels arrivaient à pirater les accès par des attaques par force brute, des attaques de bourrage d’information d’authentification, ou encore via l’exploitation de données d’identification divulguées et utilisées ultérieurement.
À l’instar de l’année 2021, pour l’année 2022, la tendance de cyberattaque et le contexte des menaces accrues sur la sécurité des données subsistent.
L’objectif de la CNIL, face à cette menace constante de cyberattaques, était donc d’établir une recommandation forte et légitime. Pour cela, les professionnels de la vie privée, de la cybercriminalité ou encore le grand public ont pu apporter des contributions à la création de cette nouvelle recommandation.
Une consultation publique avait été ouverte en octobre 2021, et clôturée le 10 décembre 2021. Ainsi tous les acteurs professionnels et de ceux de la société civile, ont pu faire part de leurs observations. L’ensemble de ces participations a pu permettre à la CNIL de compléter de manière précise le projet de recommandation, et cela, sur divers aspects.
La volonté de proposer une recommandation correspondant à l’état de l’art
Bien que la rédaction de cette nouvelle recommandation soit le fruit d’un apport collectif, la structure de cette dernière peut être comparée aux recommandations émises par l’Agence Nationale des Système d’Information (ci-après ANSSI).
En octobre 2021, l’ANSSI avait sorti sur le même thème des recommandations relatives à l’authentification multi-facteurs et aux mots de passe. Ainsi, si l’on s’applique à faire une analyse comparative des deux recommandations, il est possible de relever qu’une vingtaine des recommandations de l’ANSSI ont été reprises au sein de la nouvelle recommandation de la CNIL.
Il est certain que la relation entre ce service français et cette autorité administrative indépendante repose sur une forte collaboration. Cependant, une certaine mouvance peut être relevée dans laquelle la CNIL s’adosse à la norme de l’ANSSI et lui accorde plus de reconnaissance et de poids. Cela fait écho à la décision de sanction par la CNIL contre GIE Infogreffe, d’un montant de 250.000 euros. Pour une première fois, la CNIL reprend les textes de l’ANSSI pour motiver sa décision.
En effet, bien que les recommandations de l’ANSSI n’aient aucunement un caractère impératif, ils permettent de compléter justement la recommandation de la CNIL, déjà elle-même complétée par les contributions des professionnels et de la société civile. Aussi bien, par cette volonté de piocher dans divers textes, et auprès de divers acteurs, le gendarme des données personnelles a pour objectif de proposer un texte correspondant à l’état de l’art.
Contexte, rappel et nouveautés de la recommandation
Pour rappel, la CNIL ne recommande pas l’usage des mots de passe, mais encourage la mise en œuvre d’une authentification à « double facteurs » ou des certificats électroniques. Selon la CNIL, ces derniers moyens d’authentification apportent plus de sécurité.
En effet, l’authentification multi-facteur (MFA) est une technologie de sécurité qui nécessite plusieurs méthodes d’authentification pour vérifier l’identité d’un utilisateur pour une connexion ou une autre transaction. Ainsi, dans ce cas de figure, le MFA ajoute une double couche de protection lors de l’accès sécurisé.
Aussi, l’authentification par certificats électroniques repose sur une sorte de carte d’identité numérique ayant pour raison d’être d’identifier une unité physique ou non-physique.
Cependant, l’authentification par mot de passe étant le moyen d’accès le plus répandu, et le moins coûteux, la CNIL vient à travers cette recommandation définir comment mettre en œuvre une authentification par mot de passe de manière efficace et protectrice.
Bien évidemment, la CNIL s’emploie à rappeler que les mots de passe sont des informations privées et ne doivent ni être communiqués à l’utilisateur en clair, ni être stockées en clair.
- Concernant les principaux changements
Bien sûr, le mot de passe ne doit pas être trop simpliste. Cependant, les critères de robustesse du message ne reposent plus sur le seuil de caractère, mais sur les niveaux d’entropie, donc de complexité. Autrement dit, le seuil de sécurité du mot de passe repose sur son caractère imprédictible.
Pour expérimenter si le mot de passe choisi, correspond au niveau nécessaire d’entropie, la CNIL met à disposition un outil afin de vérifier (Questions – réponses CNIL n°12 – Comment vérifier si ma politique de mots de passe suit les recommandations ?).
Par la même occasion, la CNIL supprime l’obligation de renouvellement des mots de passe à l’égard des comptes utilisateurs classiques. Cette obligation n’avait qu’un faible impact dans la lutte contre la cybercriminalité, et ne jouait pas un grand rôle dans l’intérêt de la sécurité. En effet, la plupart des participants n’utilisaient qu’une version très légèrement modifiée du mot de passe initial. La CNIL confit ainsi que « les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l’expérience utilisateur négative ».
Dans le cadre de la consultation publique menée sur le projet de recommandation, certains acteurs de la société civile, et des professionnels avaient critiqué le concept de cas d’usage. Le cas d’usage est un outil qui demande l’utilisation d’une information secrète pour faire baisser les exigences de sécurité sur le mot de passe. Ainsi, la CNIL abandonne cet outil dans sa recommandation de 2022.
La CNIL introduit aussi une liste de mots de passe dits complexes, mais d’ores et déjà connus. La diffusion de cette liste a pour but d’alerter les utilisateurs et d’éviter pour ces derniers de les utiliser afin de lutter contre des nouveaux schémas de cyberattaques.
Enfin, la recommandation prévoit un guide de bonne pratique concernant la création de mots de passe. Par exemple : le fait de recourir à l’utilisation d’un gestionnaire de mot de passe, éviter l’utilisation d’informations personnelles et autres…
Une recommandation pouvant entraîner des sanctions
La CNIL a la possibilité de contrôler les organismes et professionnels à la suite de plaintes à leur encontre. Mais ce contrôle peut aussi être effectué par sa propre initiative et si elle a la volonté de se saisir d’un cas particulier. Dans le cas de manquements graves établis à l’égard des principes et recommandations énumérées, la CNIL à la possibilité de prononcer des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 € à l’encontre des responsables de traitements.
La dureté de cette répression peut se comprendre, notamment lorsqu’on considère que les manquements constatés peuvent mener à une violation des données personnelles des personnes touchées. Les conséquences étant d’autant plus importantes.
Finalement, cette recommandation se veut complète afin d’être la plus protectrice possible. Particulièrement attendue par les professionnels du milieu des données personnelles et de la protection de la vie privée, elle semble trouver une certaine majorité dans les avis de chacun.
Il faut cependant revenir sur l’abandon de la mesure de renouvellement de mot de passe, qui dénote un peu. Bien que les utilisateurs ne prenaient pas le temps de modifier de manière effective le mot de passe précédent, si ce dernier avait été piraté et donc envoyé dans les listes de mots de passe du darknet, une modification même négligeable permet tout de même d’assurer une certaine protection.
Cependant, cette dernière ne mériterait-t-elle pas d’être complétée ? En effet, celle-ci pourrait poser des interrogations sur certains sujets. Notamment, celle des questions secrètes qui sont indirectement mentionnées dans les « secrets non partagés » de la recommandation, mais dont leur existence n’est pas étudiée en profondeur.
______________________
SOURCES :
- Europe Infos, La CNIL publie de nouvelles recommandations relatives aux mots de passe, Michel Labise, 25 octobre 2022 : https://www.europe-infos.fr/actualites/5081/cnil-recommandations-mots-de-passe/#Une_actualisation_simposait_selon_la_CNIL
- Délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017 : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000046432885?utm_content=160129489&utm_medium=social&utm_source=linkedin&hss_channel=lis-G_ETOrYY2G
- Délibération SAN-2022-018 du 8 septembre 2022, Décision condamnation INFOGREFFE, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all
- CNIL, Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité, 7 octobre 2022 : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
- ANSSI, Recommandations relatives à l’authentification multifacteurs et aux mots de passe, octobre 2021 : https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf