Mots de passe : des recommandations de sécurité minimales pour les entreprises et les particuliers

27 janvier 2017

Alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données, la CNIL adopte une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière. Elle met également des outils pratiques à disposition des professionnels et des particuliers.

Très répandu, le mot de passe offre pourtant un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité

Bien que ce moyen d’authentification soit de plus en plus critiqué et mis à l’épreuve, le mot de passe reste LE sésame pour accéder à la plupart des services numériques.

Le développement des usages du numérique impose aux utilisateurs une gestion toujours plus complexe de multiples comptes et de mots de passes. Une gestion non organisée de ces mots de passe fait courir des risques aux utilisateurs sur ses données personnelles :

  1. l’utilisation du même mot de passe pour accéder à différents services peut compromettre les comptes sensibles, notamment l’adresse de messagerie principale ;
  2. la tendance à partager ses mots de passe augmente les risques d’usurpation d’identité ;
  3. la tendance à créer des mots de passe en rapport avec soi  (date de naissance, prénom des enfants, nom de son entreprise, etc.) les rend plus vulnérables, notamment dans un contexte où il est facile de récupérer des informations sur les personnes en ligne (ingénierie sociale) ;
  4. la difficulté à mémoriser un mot de passe trop long incite à définir des mots de passe trop simples, quelques caractères, souvent des mots usuels, ou à les écrire sur support papier.

Pourtant, de nombreux utilisateurs ne sont pas informés des pratiques élémentaires de sécurité et de gestion de ces secrets, alors que le nombre de comptes et la sensibilité des informations qu’ils protègent ne cessent de croître.

affiche les mots de passes

Les conseils de la CNIL pour un bon mot de passe

Il est important de créer des mots de passe solides pour vos comptes en ligne. La CNIL propose un kit de ressources et d’outils pour :

Un accroissement spectaculaire des attaques qui ont compromis des mots de passe

En 2016, on a assisté à la multiplication des attaques informatiques, parfois spectaculaires, qui ont notamment entraîné la compromission de bases de données entières de comptes et des mots de passe associés.

Ces attaques ont eu pour conséquence de rendre publics de nombreux mots de passe. Ils ont permis aux attaquants de mettre au jour les modalités de création des mots de passe et les moyens mnémotechniques utilisés par les personnes.

Les principales plateformes ont renforcé la sécurité de leurs dispositifs d’authentification, en complétant l’authentification par mot de passe par des dispositifs de sécurité complémentaires (double authentification via un code mobile, blocage du compte au bout de X tentatives).

Toutefois, il suffit qu’une seule plateforme soit défaillante en termes de sécurité (par exemple, en cas de vol massif de données d’authentification) pour qu’elle fasse courir un risque de sécurité à l’ensemble de l’écosystème numérique : les comptes, notamment les « webmails » (gestionnaires de courrier en ligne), dont le mot de passe a été découvert, compromettent en cascade l’ensemble des services auxquels les personnes sont inscrites.

Dans ce contexte, il apparaît  indispensable de fixer un niveau de sécurité minimum en la matière. La CNIL a donc adopté une recommandation relative aux mots de passe, qui permet aux professionnels comme aux particuliers de connaître les conditions minimales pour respecter l’obligation de sécurité posée par la loi.

Une doctrine pragmatique, tenant compte des mesures de sécurité complémentaires

Dans le cadre de ses missions de contrôle, la CNIL analyse régulièrement les dispositifs d’authentification mis en œuvre par des responsables de traitements.

Afin de prendre en compte les contraintes de l’état de l’art, la CNIL a par ailleurs consulté différents acteurs de la sécurité, ainsi que l’ensemble des autorités de protection des données européennes.

Ces constats et ces échanges ont incité la CNIL à prescrire des mesures minimales et pragmatiques, en se basant sur les pratiques d’authentification en vigueur sur les principales plateformes en ligne. Cette recommandation n’exclut pas que d’autres mesures soient mises en œuvre en fonction des risques spécifiques qui pourraient être identifiés.

Ainsi, la longueur et la complexité du mot de passe varient en fonction des autres mesures de sécurité mises en œuvre pour l’authentification (temporisation d’accès au compte, double authentification, matériel détenu en propre par la personne).

Vignette tableau mot de passe

Les principales recommandations de la CNIL sur l'authentification par mot de passe

La recommandation de la CNIL couvre quatre aspects de la gestion de mots de passe auxquels sont associées des menaces récurrentes bien identifiées :

  • la création du mot de passe ;
  • l’authentification
  • la conservation ;
  • et le renouvellement

> Les mesures de sécurité élémentaires


Les mots clés associés à cet article