La CNIL publie de nouvelles recommandations relatives aux mots de passe

AccueilActualitésLa CNIL publie de nouvelles recommandations relatives aux mots de passe

La CNIL publie de nouvelles recommandations relatives aux mots de passe

le gendarme français d’internet (la cnil) vient de nouveau de sévir, en publIant une nouvelle liste de recommandations concernant la gestion des mots de passe ; il convient de préciser que ses anciennes recommandations remontaient déjà à 2017.

La CNIL publie de nouvelles recommandations relatives aux mots de passe. Les mots de passe sont omniprésents dans nos environnements personnels et professionnels. Une personne aurait en moyenne une dizaine de mots de passe à retenir pour ses différents comptes.

Et malheureusement, il est impossible de tous les mémoriser. Résultat, chacun gère comme il peut ses mots de passe, quitte parfois à négliger certaines mesures de sécurité, et c’est ainsi que l’on retrouve parfois dans des bureaux des ecrans pleins de post-it avec des mots de passe;

Pourtant, les mots de passe occupent un rôle central dans la sécurisation globale des informations. Et pour preuve, une étude réalisée en 2021 par l’entreprise Verizon avance que les mots de passe compromis sont responsables de 81 % des violations liées au piratage. Ainsi, ne pas mettre en place une politique de mot de passe efficace, c’est s’exposer à des dangers importants et bien réels.

Pour aider les organisations françaises à mieux faire face aux menaces cyber actuelles qui ne cessent d’évoluer, la CNIL a récemment publié sur son site de nouvelles recommandations qui couvrent tous les aspects de la gestion de mots de passe.

La CNIL publie de nouvelles recommandations relatives aux mots de passe Quelles sont ces nouvelles recommandations ? Quels changements ont été apportés à l’ancienne recommandation sur les mots de passe de la CNIL datant de 2017 ? Les réponses tout de suite !

Qu’est ce que  la CNIL

LA CNIL est l’abréviation de La Commission Nationale de l’Informatique et des Libertés (CNIL) qui est une autorité administrative indépendante française. Elle fut créée le 6 janvier 1978, et est chargée de veiller à ce que l’informatique soit au service de tous les citoyens, son principal rôle est de veiller à ce qu’il ne soit pas porté atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ni aux libertés publiques ou individuelles.

Tous les professionnels qui exercent sur internet sont concernés de près ou de loin par la CNIL, car ils doivent y déclarer certains fichiers nominatifs, concernant les données personnelles, qui sont amenées à être stockées, utilisées ou échangées sur internet, pour vérifier que les outils informatiques utilisés ne portent pas atteinte aux droits fondamentaux ou à la vie privée des individus.

Pour certaines entreprises, la CNIL conseille et donne les autorisations de mettre en place les fichiers en question, elle a aussi le pouvoir et le rôle de sanctionner toutes les entreprises qui ne respectent ni les règles ni le droit (la loi). Enfin, la CNIL informe tous les individus qui lui font la demande de leurs droits et leurs devoirs, dans le cadre de l’utilisation des fichiers informatiques.

Enfin, autre point et non des moindres, La CNIL, cherche à comprendre et à prévoir, tout ce qui pourrait survenir sur les domaines  des nouvelles technologies, et dans tous les cas, elle se permet de faire toutes les suggestions et recommandations qui lui semblent nécessaires, En bref, son autorité n’est jamais remise en question, et encore moins dans le cadre des réglementations européennes (telles que le RGPD et similaires).

Autres articles :

Une actualisation s’imposait, selon la CNIL

Le 17 octobre dernier, la Commission nationale de l’informatique et des libertés a publié de nouvelles recommandations permettant aux organisations et professionnels français de maîtriser la sécurité des mots de passe.

Déjà évoquée plus haut et soulignée dans la publication de la CNIL, une étude faite en 2021 par l’entreprise de cybersécurité Verizon avance que 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Ces attaques étaient en grande majorité des attaques par force brute, des attaques de bourrage d’informations d’identification ou encore l’exploitation de données d’identification divulguées et utilisées ultérieurement.

Et en 2022, cette tendance se poursuit malheureusement encore, ce qui a conduit la CNIL à mettre à jour son ancienne recommandation sur les mots de passe qui date déjà de 2017 et donc n’était plus adaptée aux nouveaux enjeux de la cybersécurité.

La CNIL a aussi déclaré qu’en France 60 % des notifications qu’elle a reçues depuis le début de l’année 2021 sont liées à du piratage et qu’un très grand nombre de ces attaques auraient pu être évités si les victimes avaient pris la peine d’appliquer les bonnes pratiques en matière de mots de passe.

RGPD et CNIL ne pas les confondre

Nous ne parlons pas du même sujet, ce n’est pas la même chose, dans le premier il s’agit du Règlement Général Sur la Protection des Données, dans le second  de la Loi informatique et Libertés, on peut écrire sans risque de se tromper que l’un complète l’autre.

Le  RGPD peut s’éclater  quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability). Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD, et se doivent de le respecter.

Pour simple rappel, les informations personnelles sont le nom, l’adresse, la date de naissance, la localisation, l’adresse IP et parfois par extension, le téléphone portable, le numéro de Sécurité Sociale, en bref, toutes les informations personnelles qui peuvent l’identifier.

Pour en finir avec le sujet, le RGPD a été mis en place dans l’ensemble des Etats membres de l’Union Européenne, dans le but d’uniformiser les données personnelles au niveau européen, (pour faire en sorte que tout le monde puisse parler le même langage).

La mise en œuvre du RGPD dans l’ensemble des États membres de l’UE poursuit plusieurs buts, le premier étant d’uniformiser au niveau européen la réglementation sur les données personnelles, afin que tout le monde puisse parler le même langage, il fut mis en place le 25/05/2018.

Des contributions précieuses des professionnels et du grand
public

Pour la mise à jour de sa recommandation de 2017 sur les mots de passe, la CNIL a souhaité tenir
compte de l’évolution des connaissances, principalement en recueillant les avis des professionnels et du grand public sur le sujet.

Dans cette optique, une consultation publique sur le projet a été ouverte en octobre 2021 et clôturée
le 10 décembre 2021. C’est ainsi que le 21 octobre 2021, la CNIL dévoile sur son site les modifications majeures qui seront apportées à la recommandation sur les mots de passe de 2017.

Tous les acteurs (acteurs publics, acteurs privés, acteurs du secteur associatif…) qui souhaitaient participer à la consultation publique étaient invités à s’exprimer sur les travaux réalisés pour faire part de leurs observations, qu’ils étaient ou non des professionnels dans le domaine de la cybersécurité.

Provenant en grande majorité de professionnels de la cybersécurité et de la protection de la vie privée, mais aussi par quelques acteurs de la société civile, la CNIL a été impressionnée par la qualité et la pertinence des retours de la consultation. Les retours reçus auraient permis à l’organisation de compléter son projet de recommandation sur plusieurs aspects.

La CNIL recommande d’activer l’authentification multifacteur ou d’utiliser des certificats électroniques

Bien avant de parler des modifications apportées à la recommandation sur les mots de passe de 2017, la CNIL a préféré commencer par souligner la faiblesse du niveau de sécurité offert par l’authentification par mots de passe. À la place, la Commission nationale de l’informatique et des libertés (CNIL) suggère aux entreprises et aux professionnels d’utiliser la méthode d’authentification multifacteur ou bien les certificats électroniques. La raison en est simple : ces derniers présenteraient un niveau de sécurité plus acceptable.

Pour ceux qui l’ignorent, l’authentification multifacteur (MFA) est une technologie de sécurité qui nécessite plusieurs méthodes d’authentification pour vérifier l’identité d’un utilisateur pour une connexion ou une autre transaction. Lorsqu’il s’authentifie sur son compte, avec la MFA, l’utilisateur doit fournir au minimum deux facteurs de vérification pour accéder à une ressource de type application, alors qu’avec l’authentification par mots de passe, l’entrée de mot de passe seul est requise. En ajoutant un autre facteur de vérification supplémentaire au minimum lors de l’authentification, la MFA ajoute aussi une couche de sécurité supplémentaire au processus de connexion.

En ce qui concerne les certificats électroniques, tout comme la MFA, il s’agit aussi de moyen d’authentifier de manière certaine l’identité d’un individu, ou d’une personne morale. Plus concrètement, le certificat électronique est une sorte de carte d’identité numérique ayant pour raison d’être d’identifier une unité physique ou non physique. Le lien établi par le certificat numérique avec l’entité physique ou numérique présente l’avantage d’être infalsifiable et aussi attesté en permanence par une autorité dite de certification.

Ne pas stocker en clair les mots de passe

Cette recommandation aussi n’est pas vraiment nouvelle. En 2017, la CNIL avait déjà déclaré que « tout mot de passe devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre. » Mais au vu de l’importance de cette recommandation, la CNIL a néanmoins tenu à le répéter pour la énième fois. Pour crypter de façon non réversible et sûre les mots de passe des utilisateurs stockés dans les serveurs, elle a notamment suggéré aux organismes d’utiliser des outils comme Scrypt ou Argon2, les deux recommandés par l’ANSSII.

Le stockage des mots de passe en clair est mauvais, car il met à la fois le système et les utilisateurs en danger. Il suffit qu’un pirate trouve un utilisateur avec des informations d’identification d’administrateur pour qu’il accède à tous les mots de passe stockés et ainsi compromettre l’ensemble du système ou du site.

Liste des modifications apportées par la CNIL à l’ancienne recommandation sur les mots de passe

Par rapport à la précédente recommandation sur les mots de passe publiée en 2017, cette nouvelle recommandation apporte notamment les nouveautés suivantes :

  1. L’adoption de l’entropie comme mesure de la robustesse d’un mot de passe afin d’offrir aux responsables de sécurité informatique plus de liberté dans la définition de politiques de mots de passe robustes.
  2. L’abandon du cas d’usage qui demande l’utilisation d’une information secrète pour faire baisser les exigences de sécurité sur le mot de passe.
  3. L’arrêt du renouvellement périodique des mots de passe. Un changement très attendu par les experts et depuis quelques années déjà ! Notez cependant que l’abandon de l’obligation de renouvellement des mots de passe ne s’applique pas pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus.
  4. La CNIL a aussi dressé une liste de mots de passe complexes mais qui sont aujourd’hui très connus et que les organisations et les professionnels doivent dorénavant éviter d’utiliser.
  5. L’ajout de nouvelles règles sur la manière de créer et renouveler les mots de passe.

Voilà en résumé les nouveautés apportées par la CNIL à sa recommandation sur les mots de passe publiée en 2017. Elle appelle donc les responsables de sécurité informatique de chaque organisation à consulter la version détaillée des nouvelles recommandations et de faire évoluer leur politique de mots de passe sans perdre de temps.

D’après les précisions données, seule l’application du retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe bénéficiera de délai de mise en œuvre.

Que risquent les organismes et professionnels qui ne prennent pas en compte ces recommandations ?

La CNIL peut contrôler les organismes à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de son propre initiative de se saisir d’un cas particulier. Et en cas de manquements graves aux principes de sécurité établies, les nouvelles recommandations sur les mots de passe publiées le 17 octobre dernier étant inclues, la CNIL peut prononcer des sanctions allant jusqu’à 20 millions d’euros aux responsables de traitement.

Dans la publication, la CNIL a aussi tenu à sensibiliser les organisations françaises à ne plus négliger l’application des recommandations liées aux politiques de mots de passe comme elles avaient l’habitude de faire avant. En 2021, les manquements les plus souvent constatés lors de ses contrôles auraient été des manquements relatifs aux politiques de mots de passe.

Questions-réponses sur la nouvelle recommandation

Les sous-traitants sont-ils concernés par les mesures de sécurité recommandées par la CNIL ?

La réponse est « Oui » ! D’après la CNIL, en vertu de l’article 32 du RGPD, tout sous-traitant a pour obligation de veiller à la sécurité des données personnelles qu’il traite. Il est aussi tenu d’informer ses clients de sa capacité à garantir un niveau de sécurité donné. Sinon, il sera tenu comme responsable en cas de problème.

La CNIL recommande-t-elle l’authentification par mot de passe au détriment des autres méthodes d’authentification ?

Si elle ne le déconseille pas, la CNIL ne « recommande » pas non plus l’usage des mots de passe pour l’authentification à des comptes. À la place, elle conseille surtout aux organisations d’utiliser l’authentification multifacteur ou des certificats électroniques.

Si aujourd’hui, la Commission nationale de l’informatique et des libertés continue de publier de nouvelles recommandations relatives aux mots de passe et de rendre obligatoire leur application, c’est simplement que l’authentification simple par mot de passe reste très répandue.

Pourquoi la CNIL a décidé de mettre fin au renouvellement régulier des mots de passe ?

En réalité, l’expiration du mot de passe est un concept en voie de disparition depuis plusieurs années. Aux États-Unis par exemple, la National Institute of Standards and Technology l’a abandonné depuis 2017.

Au Royaume Uni, la National Cyber Security Centre a même déconseillé cette directive de sécurité établie de longue date depuis l’année 2015. La raison en est simple : le renouvellement régulier des mots de passe est tout simplement inutile. C’est du temps perdu pour les employer de le faire.

Selon certains chercheurs, cette pratique augmenterait même le risque. Plusieurs études avancent qu’elle oblige les utilisateurs à trouver un système où il leur sera facile de se souvenir de leurs nombreux nouveaux mots de passe.

Ils vont généralement conserver l’historique des mots de passe pour s’assurer que chaque mot de passe est vraiment unique pour chaque changement de mot de passe. Or, il se trouve que si un hacker accède à l’historique des mots de passe d’un utilisateur, il aura plus de facilité à déchiffrer les mots de passe encore actifs de celui-ci.

Auteur Antonio Rodriguez Mota, Editeur et Directeur de Clever Technologies

 

Michel Labise
Depuis plusieurs années, la roue a facilité le voyage et le transport. Les Nouvelles technologies de l'information ont aussi amélioré la diffusion des informations "News" pour mieux nous alerter et ou nous instruire. Les évolutions technologiques dans les domaines du l'information, la santé ne seraient rien sans l'apport de la technologie.
- Advertisement -spot_img
Actualités
- Advertisement -spot_img

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

error: Content is protected !!