Mots de passe : comment la CNIL cherche à limiter la casse
La CNIL adresse des recommandations aux professionnels amenés à gérer des mots de passe, non sans les inviter à utiliser d’autres méthodes d’authentification.
« La multiplication des attaques informatiques, qui a entraîné la compromission de bases de données entières […], a pour conséquence l’amélioration des connaissances des attaquants en matière de mots de passe ».
Ce constat, la CNIL l’établit dans une recommandation adoptée le 19 janvier dernier et dont le texte, publié ce vendredi au Journal officiel, précise les dispositions de la loi du 6 janvier 1978 modifiée.
Non sans rappeler considérer que « d’autres moyens offrent davantage de sécurité, comme par exemple [sic] l’authentification à double facteur ou les certificats électroniques », la commission entend, par la présente, définir des « lignes directrices » à destination des professionnels en matière de gestion des mots de passe*.
Ces « lignes directrices » incluent des modalités techniques et les modalités de leur mise en œuvre. Elles mettent en lumière l’importance des mesures qui viennent compléter le mot de passe, dont la taille et complexité pourront varier en conséquence.
Des chiffres et des lettres
En l’absence d’une quelconque mesure complémentaires, le mot de passe comprendra au moins 12 caractères et associera minuscules, majuscules, chiffres ainsi que caractères spéciaux.
Il pourra être réduit à 8 caractères – d’au moins trois des catégories susmentionnées – si une ou plusieurs restrictions d’accès sont mises en place. Sur la liste figurent le blocage du compte après un maximum de 10 échecs d’authentification consécutifs ou encore la protection contre les soumissions automatisées et intensives (typiquement par le biais d’un captcha).
Le mot de passe pourra se résumer à cinq caractères (chiffres et/ou lettres) si une restriction d’accès est en place et qu’elle s’assortit d’une information complémentaire. Cette dernière sera un identifiant propre au service et d’une taille d’au moins 7 caractères ou bien rattaché à un terminal que l’usager aura préalablement validé comme de confiance (on parle là d’une adresse IP ou MAC, d’un user agent…).
Si l’authentification s’appuie sur un matériel détenu par la personne (carte SIM, carte à puce, certificat) et qu’un blocage s’applique au bout de 3 échecs, alors un mot de passe de 4 chiffres est acceptable, selon la CNIL.
Avec ou sans sel
Au niveau de la procédure d’authentification, il est recommandé d’utiliser « un algorithme public réputé fort » et dont la mise en œuvre logicielle est « exempte de vulnérabilité connue ».
Lorsque l’authentification n’a pas lieu en local, l’identification du serveur doit être contrôlée au moyen d’un certificat d’authentification. Quant au canal de communication avec le client, il doit être chiffré, en assurant la sécurité des clés privées.
Concernant la conservation de mots de passe, la CNIL exclut tout stockage en clair : une transformation est nécessaire à l’aide d’une « fonction cryptographique non réversible et sûre » impliquant un salage ou une clé créé(e) avec un générateur de nombre pseudo-aléatoires. Lequel ne devra pas être stocké dans le même espace que l’élément de vérification du mot de passe.
Selon la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé, le responsable du traitement en demandera le renouvellement.
L’usager doit aussi pouvoir en prendre l’initiative. Si la procédure nécessite l’intervention d’un administrateur, un mot de passe temporaire sera attribué et le changement, imposé à la première connexion. Dans le cas d’une procédure automatique, l’usager ne recevra pas le mot de passe en clair, mais sera dirigé vers une interface « dont la validité ne doit pas excéder 24 heures ».
Dès le changement effectif, l’usager sera préférentiellement averti, afin de prévenir les tentatives d’usurpation. En cas de détection d’une violation de données, une notification sera émise sous 72 heures, assortie d’un changement obligatoire du mot de passe.
* La CNIL reconnaît qu’il existe des fragilités à chaque étape du cycle de vie des mots de passe : menaces sur le moyen de mémorisation (papier, smartphone…), interception lors de la transmission, compromission du serveur, hameçonnage et ingénierie sociale, etc.