Sommaire
- 1 Qu’est ce que la CNIL
- 2 Une actualisation s’imposait, selon la CNIL
- 3 RGPD et CNIL ne pas les confondre
- 4 Des contributions précieuses des professionnels et du grand public
- 5 La CNIL recommande d’activer l’authentification multifacteur ou d’utiliser des certificats électroniques
- 6 Ne pas stocker en clair les mots de passe
- 7 Liste des modifications apportées par la CNIL à l’ancienne recommandation sur les mots de passe
- 8 Que risquent les organismes et professionnels qui ne prennent pas en compte ces recommandations ?
- 9 Questions-réponses sur la nouvelle recommandation
- 9.1 Les sous-traitants sont-ils concernés par les mesures de sécurité recommandées par la CNIL ?
- 9.2 La CNIL recommande-t-elle l’authentification par mot de passe au détriment des autres méthodes d’authentification ?
- 9.3 Pourquoi la CNIL a décidé de mettre fin au renouvellement régulier des mots de passe ?
Qu’est ce que la CNIL
LA CNIL est l’abréviation de La Commission Nationale de l’Informatique et des Libertés (CNIL) qui est une autorité administrative indépendante française. Elle fut créée le 6 janvier 1978, et est chargée de veiller à ce que l’informatique soit au service de tous les citoyens, son principal rôle est de veiller à ce qu’il ne soit pas porté atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ni aux libertés publiques ou individuelles. Tous les professionnels qui exercent sur internet sont concernés de près ou de loin par la CNIL, car ils doivent y déclarer certains fichiers nominatifs, concernant les données personnelles, qui sont amenées à être stockées, utilisées ou échangées sur internet, pour vérifier que les outils informatiques utilisés ne portent pas atteinte aux droits fondamentaux ou à la vie privée des individus. Pour certaines entreprises, la CNIL conseille et donne les autorisations de mettre en place les fichiers en question, elle a aussi le pouvoir et le rôle de sanctionner toutes les entreprises qui ne respectent ni les règles ni le droit (la loi). Enfin, la CNIL informe tous les individus qui lui font la demande de leurs droits et leurs devoirs, dans le cadre de l’utilisation des fichiers informatiques. Enfin, autre point et non des moindres, La CNIL, cherche à comprendre et à prévoir, tout ce qui pourrait survenir sur les domaines des nouvelles technologies, et dans tous les cas, elle se permet de faire toutes les suggestions et recommandations qui lui semblent nécessaires, En bref, son autorité n’est jamais remise en question, et encore moins dans le cadre des réglementations européennes (telles que le RGPD et similaires). Autres articles :- Les 05 meilleures alternatives à Google Analytics validées par la CNIL en 2022
- La CNIL ne baisse pas sa garde, et punit une filiale d’un grand groupe de 175.000 €, pour atteinte disproportionnée à la vie privée
Une actualisation s’imposait, selon la CNIL
Le 17 octobre dernier, la Commission nationale de l’informatique et des libertés a publié de nouvelles recommandations permettant aux organisations et professionnels français de maîtriser la sécurité des mots de passe. Déjà évoquée plus haut et soulignée dans la publication de la CNIL, une étude faite en 2021 par l’entreprise de cybersécurité Verizon avance que 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. Ces attaques étaient en grande majorité des attaques par force brute, des attaques de bourrage d’informations d’identification ou encore l’exploitation de données d’identification divulguées et utilisées ultérieurement. Et en 2022, cette tendance se poursuit malheureusement encore, ce qui a conduit la CNIL à mettre à jour son ancienne recommandation sur les mots de passe qui date déjà de 2017 et donc n’était plus adaptée aux nouveaux enjeux de la cybersécurité. La CNIL a aussi déclaré qu’en France 60 % des notifications qu’elle a reçues depuis le début de l’année 2021 sont liées à du piratage et qu’un très grand nombre de ces attaques auraient pu être évités si les victimes avaient pris la peine d’appliquer les bonnes pratiques en matière de mots de passe.RGPD et CNIL ne pas les confondre
Nous ne parlons pas du même sujet, ce n’est pas la même chose, dans le premier il s’agit du Règlement Général Sur la Protection des Données, dans le second de la Loi informatique et Libertés, on peut écrire sans risque de se tromper que l’un complète l’autre. Le RGPD peut s’éclater quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability). Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD, et se doivent de le respecter. Pour simple rappel, les informations personnelles sont le nom, l’adresse, la date de naissance, la localisation, l’adresse IP et parfois par extension, le téléphone portable, le numéro de Sécurité Sociale, en bref, toutes les informations personnelles qui peuvent l’identifier. Pour en finir avec le sujet, le RGPD a été mis en place dans l’ensemble des Etats membres de l’Union Européenne, dans le but d’uniformiser les données personnelles au niveau européen, (pour faire en sorte que tout le monde puisse parler le même langage). La mise en œuvre du RGPD dans l’ensemble des États membres de l’UE poursuit plusieurs buts, le premier étant d’uniformiser au niveau européen la réglementation sur les données personnelles, afin que tout le monde puisse parler le même langage, il fut mis en place le 25/05/2018.Des contributions précieuses des professionnels et du grand public
Pour la mise à jour de sa recommandation de 2017 sur les mots de passe, la CNIL a souhaité tenir compte de l’évolution des connaissances, principalement en recueillant les avis des professionnels et du grand public sur le sujet. Dans cette optique, une consultation publique sur le projet a été ouverte en octobre 2021 et clôturée le 10 décembre 2021. C’est ainsi que le 21 octobre 2021, la CNIL dévoile sur son site les modifications majeures qui seront apportées à la recommandation sur les mots de passe de 2017. Tous les acteurs (acteurs publics, acteurs privés, acteurs du secteur associatif…) qui souhaitaient participer à la consultation publique étaient invités à s’exprimer sur les travaux réalisés pour faire part de leurs observations, qu’ils étaient ou non des professionnels dans le domaine de la cybersécurité. Provenant en grande majorité de professionnels de la cybersécurité et de la protection de la vie privée, mais aussi par quelques acteurs de la société civile, la CNIL a été impressionnée par la qualité et la pertinence des retours de la consultation. Les retours reçus auraient permis à l’organisation de compléter son projet de recommandation sur plusieurs aspects.La CNIL recommande d’activer l’authentification multifacteur ou d’utiliser des certificats électroniques
Bien avant de parler des modifications apportées à la recommandation sur les mots de passe de 2017, la CNIL a préféré commencer par souligner la faiblesse du niveau de sécurité offert par l’authentification par mots de passe. À la place, la Commission nationale de l’informatique et des libertés (CNIL) suggère aux entreprises et aux professionnels d’utiliser la méthode d’authentification multifacteur ou bien les certificats électroniques. La raison en est simple : ces derniers présenteraient un niveau de sécurité plus acceptable. Pour ceux qui l’ignorent, l’authentification multifacteur (MFA) est une technologie de sécurité qui nécessite plusieurs méthodes d’authentification pour vérifier l’identité d’un utilisateur pour une connexion ou une autre transaction. Lorsqu’il s’authentifie sur son compte, avec la MFA, l’utilisateur doit fournir au minimum deux facteurs de vérification pour accéder à une ressource de type application, alors qu’avec l’authentification par mots de passe, l’entrée de mot de passe seul est requise. En ajoutant un autre facteur de vérification supplémentaire au minimum lors de l’authentification, la MFA ajoute aussi une couche de sécurité supplémentaire au processus de connexion. En ce qui concerne les certificats électroniques, tout comme la MFA, il s’agit aussi de moyen d’authentifier de manière certaine l’identité d’un individu, ou d’une personne morale. Plus concrètement, le certificat électronique est une sorte de carte d’identité numérique ayant pour raison d’être d’identifier une unité physique ou non physique. Le lien établi par le certificat numérique avec l’entité physique ou numérique présente l’avantage d’être infalsifiable et aussi attesté en permanence par une autorité dite de certification.Ne pas stocker en clair les mots de passe
Cette recommandation aussi n’est pas vraiment nouvelle. En 2017, la CNIL avait déjà déclaré que « tout mot de passe devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre. » Mais au vu de l’importance de cette recommandation, la CNIL a néanmoins tenu à le répéter pour la énième fois. Pour crypter de façon non réversible et sûre les mots de passe des utilisateurs stockés dans les serveurs, elle a notamment suggéré aux organismes d’utiliser des outils comme Scrypt ou Argon2, les deux recommandés par l’ANSSII. Le stockage des mots de passe en clair est mauvais, car il met à la fois le système et les utilisateurs en danger. Il suffit qu’un pirate trouve un utilisateur avec des informations d’identification d’administrateur pour qu’il accède à tous les mots de passe stockés et ainsi compromettre l’ensemble du système ou du site.Liste des modifications apportées par la CNIL à l’ancienne recommandation sur les mots de passe
Par rapport à la précédente recommandation sur les mots de passe publiée en 2017, cette nouvelle recommandation apporte notamment les nouveautés suivantes :- L’adoption de l’entropie comme mesure de la robustesse d’un mot de passe afin d’offrir aux responsables de sécurité informatique plus de liberté dans la définition de politiques de mots de passe robustes.
- L’abandon du cas d’usage qui demande l’utilisation d’une information secrète pour faire baisser les exigences de sécurité sur le mot de passe.
- L’arrêt du renouvellement périodique des mots de passe. Un changement très attendu par les experts et depuis quelques années déjà ! Notez cependant que l’abandon de l’obligation de renouvellement des mots de passe ne s’applique pas pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus.
- La CNIL a aussi dressé une liste de mots de passe complexes mais qui sont aujourd’hui très connus et que les organisations et les professionnels doivent dorénavant éviter d’utiliser.
- L’ajout de nouvelles règles sur la manière de créer et renouveler les mots de passe.