Dans sa délibération du 21 juillet 2022, la Commission nationale de l’informatique et des libertés (Cnil) a adopté une nouvelle recommandation relative « aux mots de passe et autres secrets partagés », après avoir procédé à une consultation publique du 21 octobre au 10 décembre 2021. La recommandation a été publiée au Journal officiel de la République française du 16 octobre dernier, et est donc entrée en vigueur le lendemain. Elle abroge la recommandation analogue du 19 janvier 2017.
Elle a pour objectif de « définir les exigences techniques et organisationnelles minimales pour les authentifications par mot de passe ou par tout autre secret non partagé mis en œuvre dans le cadre de traitements de données à caractère personnel » (Point 5). Effectivement, de nombreux traitements impliquent l’usage d’une protection par des mots de passe et secrets en application de l’article 32 du règlement général sur la protection des données (RGPD) relatif à la sécurité des données à caractère personnel.
Quelles sont les évolutions par rapport à 2017 ? Que faut-il retenir ?
La création des mots de passe
La Cnil rappelle l’importance de choisir un mot de passe contenant des caractères aléatoires, et non des mots familiers ou aisés à deviner.
Ainsi, le mot de passe doit avoir un niveau d’entropie suffisant, c’est-à-dire qu’il doit être assez imprévisible pour pouvoir résister à une attaque. Dans ce contexte, contrairement à la recommandation de 2017, la Cnil recommande désormais de définir une politique de mot de passe centrée sur sa complexité et non uniquement sur sa longueur.
Il est aussi recommandé au responsable de traitement de « conseiller et guider l’utilisateur dans la création de son mot de passe ». Par exemple, en cas de refus de mot de passe, l’utilisateur doit être informé de la raison du refus et un rappel de la politique de gestion des mots de passe doit lui être adressé.
L’authentification par mot de passe
Dans les cas où l’authentification par mot de passe s’effectue au moyen d’une connexion réseau, la Cnil recommande (point 24) :
- de contrôler l’identité du serveur d’authentification par un certificat d’authentification de serveur ;
- de chiffrer le canal de communication entre le serveur authentifié et le client ;
- de mettre en œuvre des mesures de sécurité renforcées pour garantir la confidentialité des clés privées ;
- ne pas faire apparaître les mots de passe dans les adresses des ressources distantes, ni en clair, ni sous forme hachée.
Par ailleurs, la Commission propose trois possibilités d’exigences minimales (point 38) :
- S’authentifier par un mot de passe seul : la robustesse de l’authentification reposant uniquement sur le mot de passe, celui-ci doit être d’une complexité particulière. La Cnil donne pour exemple, une politique de mot de passe imposant au minimum « 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ».
- S’authentifier par mot de passe avec une restriction d’accès au compte : la politique de mot de passe peut être ici moins stricte puisque des mécanismes de restriction d’accès au compte renforcent la robustesse de l’authentification. Ceux-ci peuvent prendre plusieurs formes, par exemple prévoir un nombre maximal de tentatives d’authentification autorisées dans un délai donné.
- S’authentifier par un code de déverrouillage : cette méthode peut être choisie lorsque « l’authentification s’appuie sur un matériel détenu par la personne », c’est-à-dire « uniquement les cartes à puce et dispositifs contenant un certificat électronique ou une paire de clés déverrouillable par mot de passe, ou tout autre mécanisme technique apportant un même niveau de sécurité. ». Dans ce cas, le responsable de traitement doit prévoir un blocage du dispositif après au plus 3 échecs d’authentification.
La Cnil abroge ainsi le cas n°3 prévu dans la recommandation de 2017, qui permettait de s’authentifier par un mot de passe renforcé par une information complémentaire.
Enfin, pour « encourager l’utilisation des gestionnaires de mots de passe », la Cnil recommande de permettre aux utilisateurs de coller un mot de passe dans les champs de saisie, lors de la création du mot de passe et lors de l’authentification.
La conservation des mots de passe et la journalisation des activités
La Cnil recommande aux responsables de traitement de ne jamais stocker de mots de passe en clair ni dans le serveur, ni dans les journaux. S’ils sont conservés, ils doivent être chiffrés de manière sûre et non réversible. Selon la Commission, les protocoles de type PAKE (Password Authenticated Key Exchange) qui garantissent la vérification du mot de passe sans le transmettre en clair au serveur sont conformes aux exigences de sécurité.
Le renouvellement des mots de passe
- Renouvellement périodique
Contrairement à la recommandation de 2017, la Cnil propose désormais aux responsables de traitement de ne plus imposer de « modification périodique des mots de passe à l’ensemble des utilisateurs », mais uniquement aux comptes à privilèges (point 54). En revanche, les utilisateurs doivent toujours pouvoir modifier leur mot de passe de manière autonome.
- Renouvellement sur demande de l’utilisateur
Si le renouvellement du mot de passe nécessite l’envoi d’une information, celui-ci doit s’effectuer par le biais d’un canal préalablement validé, mais qui ne doit pas avoir été récemment modifié. Par exemple, si le renouvellement se fait par l’envoi d’un mot de passe temporaire, celui-ci doit se faire via une adresse mail ou un numéro de téléphone déterminé préalablement par l’utilisateur, par exemple lors de la création de son compte.
- Renouvellement en cas de compromission
En cas d’atteinte à la sécurité pouvant entrainer la compromission des mots de passe, le responsable de traitement doit informer les personnes concernées et leur permettre de modifier leur mot de passe immédiatement. De même, en cas de suspicion de violation de mot de passe, il doit « imposer à la personne concernée de le modifier lors de sa prochaine connexion ».
Que retenir ?
Dans cette recommandation, la Cnil propose un guide destiné à renforcer la sécurité des données à caractère personnel. Pour les traitements à risques, des mesures complémentaires devraient être adoptées.
Bien qu’elle soit dénuée de force contraignante, cette recommandation s’inscrit dans la logique de l’article 32 du RGPD relatif à la sécurité. Ainsi, il est recommandé de se conformer à cette nouvelle recommandation pour un niveau de sécurité optimal. Lors de ses contrôles, la Cnil fera preuve de tolérance et « tiendra compte du délai nécessaire pour mettre en œuvre les changements nécessaires. » (Point 66).
Mathias Avocats vous accompagne pour vous mettre en conformité à ces nouvelles recommandations.