Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité

17 octobre 2022

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Recommandation mots de passe

Une actualisation nécessaire

Des menaces accrues sur la sécurité des données

Basée sur la connaissance d’un secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.

En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL a donc disposé d’un recul suffisant lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution des connaissances et des pratiques.

Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Les autres mesures de sécurité à mettre en place

La CNIL a notamment toujours considéré que d'autres moyens d’authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations.

De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.

Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).
Mots de passe : les risques identifiés au cours de son cycle de vie

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

  • Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
  • Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
  • L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
  • L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
  • Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La CNIL avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, considéré comme trop faible.

Les principales recommandations de la CNIL

L’authentification par mot de passe : devinabilité ou entropie

Dès aujourd’hui, l’entropie

Pour vérifier la robustesse d’un mot de passe, en l’état actuel de l’art, il est nécessaire de se reposer sur la définition de critères de complexité et de longueur. Pour chaque système d’information, ou chaque traitement de données personnelles, une politique de mots de passe est définie. Cette politique indique les critères qui doivent être respectés pour qu’un mot de passe soit « acceptable » sur ce système. La recommandation de 2017 définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Cependant, cette définition manquait de flexibilité, d’où l’introduction du concept d’« entropie » afin de pouvoir comparer la robustesse de différentes politiques de mots de passe.

L’« entropie » peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. Ici, le terme d’entropie, appliqué à un mot de passe, correspond à son entropie idéale dans l’hypothèse où il serait généré aléatoirement, sachant que toute règle de construction d’un mot de passe conduit nécessairement à limiter l’espace des choix possibles, et donc à limiter son entropie pour une longueur donnée. Par exemple, choisir un mot de passe parmi les mots d’une langue revient à limiter très fortement le nombre de combinaisons de lettres possibles en pratique. En effet, chaque langue n’admet qu’un nombre limité de suites de lettres, servant à former les syllabes des mots. La tentation, pour de nombreux utilisateurs, de choisir des mots de passe « simples à retenir » facilite les attaques dites « par dictionnaire », dans lesquelles, au lieu de tester par force brute l’intégralité des combinaisons possibles, n’en sont testées qu’un nombre très limité, comprenant des mots du dictionnaire ou des prénoms, ainsi que leurs dérivations « classiques » (par exemple, du mot « kangourou », seront dérivées et testées des combinaisons telles que « k4ng0urou », « kangourou01 », « KaNgOuRoU », etc.).

Ici, ce principe nous permet de définir un niveau minimal générique de 80 bits d'entropie pour un mot de passe sans mesure complémentaire, et de laisser à chacun le loisir de définir sa politique de mot de passe. Ainsi, les trois exemples suivants sont équivalents en termes d’entropie et répondent tous aux préconisations de la nouvelle recommandation :

Exemple 1 : les mots de passe doivent être composés d'au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles.

Exemple 2 : les mots de passe doivent être composés d'au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.

Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.

Demain, la devinabilité

La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.

La littérature sur le sujet recommande une résistance aux attaques minimale de 1014 essais. Cependant, au moment de la publication de ces recommandations, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones : la CNIL ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation.

Elle sera attentive aux nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles qu'elle pourra évaluer.

Trois politiques de mots de passe au niveau équivalent

La CNIL a identifié 3 cas d’usages à l’état de l’art différents pour l’utilisation des mots de passe qui sont associés à des niveaux minimaux d’entropies différents :

  • l’authentification par mot de passe « simple » ;
  • le cas où des mesures limitant les risques d’attaque en ligne sont mises en œuvre ;
  • et enfin, le cas du code de déverrouillage d’un matériel.

Le tableau ci-dessous recense les 3 cas d’authentification par mot de passe identifiés par la CNIL dans sa nouvelle recommandation. Le contrôle d’accès devra reposer sur des règles plus robustes selon les risques auxquels le système est exposé.  

  Exemple d'utilisation Entropie minimum Mesures complémentaires
Mot de passe seul Forum, blog 80 Conseiller l'utilisateur sur un bon mot de passe
Avec restriction d'accès (le plus répandu) Sites de e-commerce, compte d'entreprise, webmail 50

Mécanisme de restriction d'accès au compte : (exemples)

  • Temporisation d'accès au compte après plusieurs échecs ;
  • Nombre maximal de tentatives autorisées dans un délai donné ;
  • "Captcha" ;
  • Blocage du compte après 10 échecs assorti d'un mécanisme de déblocage choisi en fonction des risques d'usurpation d'identité et d'attaque ciblé par déni de service.
Avec matériel détenu par la personne Carte bancaire ou téléphone 13

Matériel détenu en propre par la personne (ex: carte SIM, carte bancaire, certificat)

+

Blocage au bout de 3 tentatives échouées

L’arrêt du renouvellement périodique des mots de passe

De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace. Les stratégies utilisées par les utilisateurs pour s'adapter aux politiques d'expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif. En effet, la majorité des participants utilise une version légèrement modifiée de leur mot de passe précédent, par exemple en ajoutant un chiffre à la fin. Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l'expérience utilisateur négative.

Ainsi, de plus en plus d’agences de cybersécurité nationales changent leurs recommandations en la matière en arrêtant de recommander une modification périodique des mots de passe pour les utilisateurs standards, voire en recommandant de s’abstenir de demander un tel changement. En particulier, l’ANSSI a adopté cette nouvelle position en 2021 dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe » que la CNIL a cosigné.

La recommandation suit donc ce changement en recommandant de ne plus demander une telle modification périodique qu’aux comptes d’administration. Notons que les risques liés à un l’accès à un compte à privilège nécessiteront souvent une authentification plus robuste qu’une simple authentification par mots de passe.

La conservation des mots de passe

Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Il existe aujourd’hui des fonctions spécialisées qui permettent de répondre à ce besoin, comme scrypt ou Argon2, cités par l’ANSSI.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne :

  • le responsable de traitement doit notifier la CNIL dans un délai n’excédant pas 72 heures ;
  • il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
  • il doit lui recommander de veiller à changer ses mots de passe d’autres services, dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.

Que risquent les organismes qui n’assurent pas un niveau de sécurité des données adéquat ?

Des manquements déjà fréquemment constatés et une réponse répressive adaptée

La CNIL peut contrôler, sur la base d’une plainte reçue ou de sa propre initiative, tout responsable de traitement, que ce soit à distance, en ligne, sur pièces ou dans les locaux de l’organisme concerné. En cas de manquements graves aux principes de sécurité, elle peut ensuite mobiliser l’ensemble de sa chaîne répressive et prononcer des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 000 000 €.

Elle rappelle que les manquements relatifs aux politiques de mots de passe faisaient partie des manquements les plus souvent constatés lors de ses contrôles en 2021 ; ces manquements pouvaient mener à des violations de données aux conséquences parfois importantes pour les personnes.

Un délai d’adaptation dans un cas précis

A la suite de la consultation publique menée sur le projet de recommandation, la CNIL a décidé de supprimer un des cas qui était recommandé en 2017 (mot de passe renforcé par une information complémentaire), qui n’est donc plus recommandé par la CNIL, afin de suivre l’avis de la majorité des répondants à la consultation. En effet, de nombreux professionnels ont considéré que ce cas d’usage ne permettait pas un niveau de sécurité équivalent aux autres cas recommandés.

La CNIL appelle donc les responsables de traitement qui ont recours à cette modalité d’authentification à faire évoluer leur politique de mots de passe, et tiendra compte du délai nécessaire pour mettre en œuvre ces changements.