La CNIL formule des recommandations en matière de gestion des mots de passe

L'autorité française de protection des données personnelles vient d'adopter une recommandation visant à améliorer la gestion des mots de passe destinés à sécuriser l'accès à des services en ligne. Le point.

Par une délibération du 19 janvier 2017, l'autorité française de protection des données personnelles a adopté une recommandation, notamment à l’intention des entreprises responsables de traitements de données à caractère personnel, afin d’améliorer la gestion des mots de passe destinés à sécuriser l'accès à des services en ligne.

Cette délibération par du constat que la technique de sécurisation d’un accès fondée sur un mot de passe est très largement employée, alors même qu’il existe d’autres procédés plus fiables, comme l’authentification à double facteur ou les certificats électroniques. La CNIL ne précise pas que ces deux dernières méthodes sont particulièrement lourdes à mettre en oeuvre au quotidien - tous les avocats abonnés au RPVA pourront en attester (en particulier les utilisateurs de Mac, qui vivent un cauchemar à chaque nouvelle version annuelle de macOS). 

À partir de ce constat, la CNIL formule des recommandations, qui ne sont pas des obligations assorties de sanctions, mais qui visent à guider les professionnels dans la mise en place des accès sécurisés. 

Parmi ces recommandations, la CNIL suggère par exemple que les mots de passe comportent au minimum 12 caractères et comprennent des majuscules, des minuscules, des chiffres et des caractères spéciaux. Les utilisateurs devraient être alertés en cas d’insuffisance de qualité du mot de passe, c’est-à-dire si celui-ci est trop facile à deviner. 

Selon la CNIL, ces exigences peuvent être moins élevées si la procédure d’accès au service en ligne est assortie d’une restriction (par exemple un blocage de l’accès en cas d’échec à plusieurs reprises) ou si le mot de passe est associé à une information complémentaire (par exemple la réponse à une question). 

Les exigences relatives au mot de passe devraient être encore plus légères (par exemple 4 chiffres seulement) si l’utilisateur doit également utiliser un matériel d’authentification (comme un certificat électronique sous forme de clef USB). Mais l’authentification doit alors être « sûre » (reposer sur un algorithme réputé fort, ce qui peut être vrai à un moment donné mais n'est pas intangible). 

Dans tous les cas, la CNIL recommande que le mot de passé ne soit jamais stocké en clair, ce qui constitue probablement la précaution la plus importante. Or, dans certains cas, une confirmation du mot de passe choisi par l’utilisateur est envoyée par e-mail, ce qui est une solution de sécurisation très médiocre, puisque le message peut être intercepté par des tiers. 

Enfin, le mot de passe devrait être renouvelé régulièrement. Cette exigence se comprend mais, du point de vue de l’utilisateur, elle n’est guère pratique. Comment se souvenir d’un mot de passe s’il change tous les 6 mois ? 

Finalement, la meilleure solution pourrait consister à utiliser un gestionnaire de mots de passe comme 1Password ou le trousseau iCloud pour les utilisateurs de produits Apple, ce que n’évoque pas la CNIL dans sa recommandation. 

Apple / Cnil