Sur les fameux Mots de Passe, la CNIL met à jour sa recommandation de 2017 pour prendre en compte l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal.
Basée sur le secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Mais cette méthode d’authentification présente un niveau de sécurité faible et les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont de plus en nécessaires dans la plupart des cas.
En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à un problème de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe. Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles…
D’autres mesures à mettre en place…
La CNIL a toujours considéré que d’autres moyens d’authentification, comme par exemple l’authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations. De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.
Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.
Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe.
Quels sont les risques liés à une mauvaise gestion des mots de passe ? :
Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles et quatre facteurs sont à prendre en compte :
– la simplicité du mot de passe,
– l’écoute sur le réseau afin de collecter les mots de passe transmis,
– la conservation en clair du mot de passe,
– la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).
– Source : La CNIL .