Par Anne-Charlotte Andrieux et Victoire Grosjean
Véritable casse-tête, la création et la conservation d’un mot de passe obligent désormais les utilisateurs à faire preuve d’une grande créativité : nombre minimum de caractères, interdiction d’utiliser des dates de naissance, obligation d’insérer des caractères spéciaux, interdiction d’utiliser des mots du dictionnaire…
Pourtant, ces limitations revêtent une importance primordiale à l’heure où, comme le révèle une étude de Verizon, environ 80 % des violations de données résultent d’attaques par force brute – c’est-à-dire du test successif des combinaisons possibles d’un mot de passe – ou de l’utilisation d’identifiants perdus ou volés.
Pour se prémunir d’une telle attaque, les organismes ne sont pas sans défense : la politique de mot de passe est un outil de choix pour la lutte contre les cyber-risques. Encore faut-il que cette politique soit efficace et effective...
C’est dans l’optique d’aider les organismes à mettre en place ce document que la CNIL a publié le 17 octobre 2022 une version actualisée de sa recommandation en matière de mots de passe.
L’article 5-1-f) du RGPD met à la charge du responsable de traitement une obligation de sécurité des données traitées, sécurité qui passe notamment par une utilisation encadrée des mots de passe.
Une cyberattaque peut avoir des conséquences catastrophiques non seulement d’un point de vue réputationnel, mais également financier : selon un rapport d’IBM Security le coût moyen d’une cyberattaque pour une entreprise est de 4 millions de dollars.
Or, mettre en place une politique de gestion des mots passe participe à assurer cette sécurité des données.
Face aux politiques natives que proposent certaines solutions et de l’urgence de se mettre en conformité aux dispositions du RGPD, il peut être tentant de réutiliser ces documents. Pourtant, une politique de mot de passe efficace ne peut se fonder sur ces seuls éléments.
En effet, la sécurité est conditionnée à l’utilisation de procédures et politiques conformes à la réalité des opérations réalisées. La CNIL, dans sa nouvelle recommandation souligne cette nécessité en rappelant que « la taille et le contenu de la liste de mots de passe à refuser doivent être proportionnels aux risques et, le cas échéant, adaptés au contexte d’usage. »
Dès lors, il est fortement recommandé que la politique de mot de passe soit personnalisée et adaptée aux besoins de l’entreprise.
Il est d’autant plus important d’apporter un soin particulier à la conception de cette politique que les organismes peuvent être sanctionnés en cas de manquement grave aux principes de sécurité, et notamment en cas d’absence de politique de gestion des mots de passe. En ce sens, la CNIL a relevé que les manquements relatifs à ces politiques faisaient partie des manquements les plus souvent constatés lors de ses contrôles en 2021.
En 2022, la CNIL a par exemple condamné Infogreffe à payer une amende de 250.000 euros en raison du fait que « l’organisme n’imposait pas l’utilisation d’un mot de passe robuste à la création d’un compte sur son site web et qu’il était impossible pour les 3,7 millions de comptes de saisir un mot de passe sécurisé en raison de la limitation de leur taille. »
Mises à jour dernièrement, les recommandations publiées par la CNIL et l’ANSSI en la matière prennent en considération l’évolution des connaissances tout en s’alignant sur leurs préconisations respectives.
L’ANSSI a ainsi publié en octobre 2021 ses « recommandations relatives à l’authentification multifacteur et aux mots de passe » au sein desquelles elle présente les différentes étapes et questions qui doivent jalonner la création de la politique de mots de passe. C’est l’occasion également pour l’agence de proscrire certaines pratiques telles que l’utilisation des SMS comme moyen de réception d’un facteur d’authentification.
Plus récente encore, la dernière recommandation de la CNIL en la matière a permis à la commission de s’aligner sur les préconisations de l’ANSSI tout en corrigeant sa recommandation datée de 2017.
La CNIL a en effet identifié les principaux facteurs de vulnérabilité et les menaces associées qui ponctuaient le cycle de vie d’un mot de passe :
Les principales recommandations de la CNIL sont les suivantes :
La recommandation de 2017 encadrait la vérification de la robustesse des mots de passe par la mise en place de seuils en termes de nombre de caractères et de complexité.
Ce qui change avec la nouvelle recommandation : constatant que la précédente recommandation manquait de flexibilité, la CNIL introduit le concept « d’entropie », une unité qui permet d’évaluer la robustesse d’un mot de passe au regard, non pas de sa longueur mais du nombre de tentatives qui seraient nécessaires pour deviner le mot de passe par force brute. La CNIL invite également à s’appuyer sur la notion de « devinabilité », qui implique d’évaluer non pas le degré de respect à la politique de mot de passe, mais la facilité qu’aurait un cyberattaquant pour retrouver ce mot de passe. |
A ce titre, la CNIL recommande des niveaux minimum d’entropie pour trois cas d’usage :
Le quatrième cas d’usage envisagé par la CNIL dans sa recommandation de 2017 – authentification avec une autre restriction d’accès et une information complémentaire – a donc été abandonné.
Parmi les principales recommandations de 2017 figurait le renouvellement périodique du mot de passe.
Ce qui change avec la nouvelle recommandation : s’appuyant sur de récentes études et sur la dernière recommandation de l’ANSSI en la matière, la CNIL a adopté la conclusion selon laquelle le fait de forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace. Aussi, la CNIL recommande de ne plus demander une telle modification périodique qu’aux comptes d’administration. |
La CNIL préconise que, lorsqu’il est conservé, le mot de passe doit être préalablement transformé au moyen d'une fonction cryptographique spécialisée, non réversible et sûre, intégrant un « sel » – c’est-à-dire une information supplémentaire qui permet d’éviter que deux données identiques donnent la même valeur hachée sur deux systèmes informatiques différents – et des paramètres relatifs aux coûts en temps et/ou en mémoire nécessaires à son attaque.
La bonne application d’une politique de mot de passe par les utilisateurs ne passe pas simplement par la mise en place de limitations lors de la saisie du mot de passe.
Cette politique doit en réalité s’inscrire dans une démarche de cybersécurité et de mise en conformité plus globale. Cette démarche implique notamment :
Loin d’être un simple document listant les restrictions que doit garder en tête l’utilisateur pour créer son mot de passe, la politique de mot de passe a un rôle essentiel à jouer dans la protection des systèmes d’information.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication, accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.