Questions-réponses sur la nouvelle recommandation relative aux mots de passe et autres secrets partagés

Oui

Tout sous-traitant doit veiller à la sécurité des données personnelles qu’il traite et prendre toutes les mesures requises en vertu de l’article 32 du règlement général sur la protection des données (RGPD).

De plus, il doit être en capacité d’informer ses clients-responsables de traitement sur sa capacité à garantir un niveau de sécurité donné.

Les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données. Cependant, il est recommandé que la documentation relative aux logiciels qui traitent des mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe afin de faciliter la mise en conformité des utilisateurs de ces logiciels.

La CNIL ne « recommande » pas l’usage des mots de passe. Au contraire, elle encourage la mise en œuvre d’une double authentification, ou authentification forte, lorsque cela est possible. Cela fournit un meilleur niveau de sécurité qui est même, dans certains cas, indispensable au respect de l’article 32 du RGPD (par exemple, lorsqu’il y a des risques importants pour les personnes dans le cas d’une usurpation de compte).

Cependant, l’authentification simple par mot de passe ou phrase de passe reste très répandue. Lorsqu'elle est mise en œuvre en respectant les bonnes pratiques, cette authentification peut assurer un niveau de sécurité suffisant dans de nombreux cas d‘usage.

Ainsi, la recommandation de la CNIL définit comment mettre en œuvre une authentification par mot de passe, si celle-ci était choisie.

Oui.

Pour les services pour lesquels une usurpation d’identité aurait un impact important voir grave (par exemple l’accès aux comptes de messagerie ou aux gestionnaires de mots de passe), il faut être particulièrement vigilant :

• soit en prenant un mot de passe unique, encore plus long et difficile à deviner ;
• soit en utilisant un mécanisme d’authentification forte.

La recherche académique a publié de nombreuses études qui indiquent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n'est pas réellement efficace.

Les stratégies utilisées par les utilisateurs pour s'adapter aux politiques d'expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif. En effet, la majorité des participants utilise une version légèrement modifiée de leur mot de passe précédent, par exemple en ajoutant un chiffre à la fin. Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l'expérience utilisateur négative. 

Ainsi, de plus en plus d’agences de cybersécurité nationales changent leurs recommandations en la matière en ne recommandant plus une modification périodique des mots de passe pour les utilisateurs standards, voire en recommandant de s’abstenir de demander un tel changement. En particulier, l’ANSSI a adopté cette nouvelle position en 2021 dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe ». 

La recommandation suit donc cette évolution et limite le renouvellement périodique aux comptes d’administration. En effet, au regard des risques liés à un l’accès à un compte à privilège, ceux-ci nécessiteront souvent une authentification plus robuste qu’une simple authentification par mot de passe.

Il existe plusieurs sources possibles pour ces listes permettant d’interdire la saisie de mots de passe fréquents par les utilisateurs. Il est important de s’adapter au public de son service afin d’inclure les mots de passe les plus fréquents pour les langues les plus fréquemment utilisées par les populations ciblées.

Pour le français, le projet Richelieu ou le wiktionnaire (page en anglais) peuvent être un point de départ.

Pour cibler une population plus large, par exemple non francophone, des sources équivalentes dans d’autres langues (comme par exemple Wikipedia:10,000 most common passwords) devront être privilégiées.

Oui.

Il faut simplement veiller à ce que la procédure inclue une étape où la personne choisit son nouveau mot de passe.

Les recommandations de la CNIL sont compatibles avec celles de l’ANSSI.

Un tableau reprend les recommandations de la CNIL et indique les recommandations correspondantes de l’ANSSI dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe ».

L’ANSSI précise dans le paragraphe suivant la recommandation R22 « En pratique selon les systèmes utilisés (application Web ou Windows par exemple) il paraît néanmoins raisonnable de fixer une valeur limite (plusieurs centaines de caractères par exemple) afin de ne pas s’exposer à de potentielles attaques en déni de service (qui consisterait à soumettre des mots de passe de plusieurs Mo au vérifieur et pouvant prendre plusieurs minutes à traiter). »

La recommandation de la CNIL pour sa part indique « En dehors du cas des codes de déverrouillage (voir cas n^o 3), dès lors que le responsable de traitement identifie un risque lié à la soumission abusive de mots de passe (notamment, si le traitement est accessible depuis Internet), il convient de fixer une taille maximale pour les champs des mots de passe. Celle-ci doit être suffisamment grande pour permettre l'utilisation de phrases comme mots de passe, tout en évitant les attaques par déni de service résultant du traitement d’un mot de passe abusivement long. Leur taille maximale ne saurait en principe être inférieure à 50 caractères pour une authentification par mot de passe avec ou sans restriction de compte (cas no 1 et 2). Elle pourra être, par exemple, de l’ordre de quelques centaines de caractères. »

Les deux documents sont donc, dans le détail, parfaitement en accord. Si vous êtes exposés aux attaques par déni de service, l’ANSSI comme la CNIL vous conseillent de fixer une taille maximum.

Il faut préférer une fonction spécialisée.

Par exemple (liste non exhaustive) : scrypt ou Argon2.

C’est une bonne pratique.

En effet, les espaces constituent un caractère spécial, au même titre qu’un point d’exclamation ou des guillemets par exemple, et contribuent ainsi à renforcer le mot de passe.

Sans pour autant totalement présager du respect de l’ensemble des recommandations, vous pouvez estimer si votre politique de mots de passe est suffisamment robuste en utilisant l'outil mis en place par la CNIL.

Utiliser l'outil

Oui, car l’objectif des contraintes est justement d’imposer un certain niveau d’entropie. Effectuer cette mesure dynamiquement plutôt que par de telles contraintes atteint donc le même objectif tout en restant moins contraignant pour les utilisateurs.

À titre d’exemple, le code JavaScript suivant calcule l’entropie d’un mot de passe entré dans un champ HTML :

function password_checker(password_field_id, change_callback) {

    var passwd_field = document.getElementById(password_field_id);

    ['change', 'keyup', 'keydown'].forEach(function(evt) {

        passwd_field.addEventListener(evt, function() {

            var passwd = passwd_field.value;

            var nb_chars = passwd.length;

            var alphabet_len = 0;

            if (/[a-z]/.test(passwd)) {

                alphabet_len += 26;

            }

            if (/[A-Z]/.test(passwd)) {

                alphabet_len += 26;

            }

            if (/\d/.test(passwd)) {

                alphabet_len += 10;

            }

            if (/[^A-Za-z0-9]/.test(passwd)) {

                // À modifier en fonction du nombre de caractères spéciaux autorisés.

                // S'il n'y a pas de limitation et que la population ciblée utilise très

                // majoritairement un clavier AZERTY, conserver la valeur 40.

                alphabet_len += 40;

            }

            var entropy = Math.floor(Math.log2(Math.pow(alphabet_len, nb_chars)));

            change_callback(entropy ? entropy : 0);

        });

    });

    change_callback(0);

}

Le cas mot d'un passe faible avec information supplémentaire, anciennement recommandé en 2017, a toujours été le cas le plus faible de la recommandation de la CNIL.

Dans un contexte d’augmentation des menaces et alors que ce cas était utilisé principalement par des acteurs ayant besoin d’un niveau de sécurité plus élevé que la seule application de la recommandation, la CNIL a remis en cause la pertinence de le conserver.

La consultation publique menée sur le projet de recommandation a recueilli l’avis des professionnels sur la nécessité et la pertinence de ce cas. Les retours ont amené la CNIL à décider de supprimer ce cas. En effet, de nombreux répondants ont considéré que ce cas d’usage ne permettait pas un niveau de sécurité équivalent aux autres cas recommandés.

La CNIL invite donc les responsables de traitement qui ont recours à cette modalité d’authentification - dans le contexte évoqué par la recommandation de 2017 - à faire évoluer leur politique de mots de passe, et tiendra compte du délai nécessaire pour mettre en œuvre les changements requis.

L’utilisation de ce cas d’usage fera l’objet d’un accompagnement des acteurs pour faire évoluer leurs systèmes d’information.