Devant la multiplication des fuites de données et des cyberattaques, la CNIL a publié le 17 octobre 2022 une directive sur la sécurisation des mots de passe à l’attention des entreprises.
L’introduction frauduleuse dans les systèmes d’information trouve le plus souvent son origine dans l’accessibilité des mots de passe dont la robustesse constitue un enjeu majeur de cyber-sécurité.
Si les recommandations de la CNIL n’ont pas de caractère obligatoire, les entreprises hackés pourront désormais se voir reproché de ne pas avoir mis en place en leur sein un protocole exigeant sur la composition du mot de passe.
Les entreprises sont dès lors fortement encouragées à revoir leur protocole à l’aune de cette délibération et à modifier leurs chartes informatiques afin d’élever leur seuil de sécurité.
Déjà le 28 décembre 2021, la CNIL avait sanctionner l’opérateur Free Mobile à hauteur de 300 000 euros au motif que la transmission à ses clients d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès au message qui le contient, ce qui induit un certain nombre de risques pour la protection des données à caractère personnel et pour la vie privée des personnes.
L’organisme utilisant une authentification par mot de passe doit définir une politique de gestion de ceux-ci, dont les personnes concernées sont informées, ainsi qu’une revue régulière sur sa mise en œuvre.
La CNIL identifie trois cas d’authentification par mot de passe associés à des différents niveaux d’entropies, c’est-à-dire à un degré de hasard dans la composition du mot de passe à respecter.
A noter que la CNIL ne recommande plus d’utiliser une information complémentaire (telles que le nom des parents, de l’animal de compagnie, etc.) pour sécuriser un mot de passe.
Le mot de passe ne doit jamais être stocké en clair (il doit être préalablement transformé à l’aide d’une fonction cryptographique non réversible et sûre). Il est recommandé de ne plus exiger la modification périodique des mots de passe aux utilisateurs mais uniquement pour les comptes d’administration.
Le responsable de traitement doit informer sans délai la personne concernée et lui permettre de renouveler son mot de passe immédiatement. En cas de suspicion de violation de son mot de passe, le responsable de traitement doit imposer à la personne concernée de le modifier, et lui recommander de veiller à changer ses mots de passe sur les autres éventuels services où il aurait pu l’utiliser.
Souvent présenté comme une alternative efficace à l’usage des mots de passe, le traitement de donnée biométrique peut être utilisé pour une finalité d’identification. Cet usage n’est pas sans risque : il porte sur des données qui, à la différence de données classiques, correspondent à une réalité biologique ou comportementale unique, propre à la personne (empreinte digitale, démarche...) qui perdure dans le temps et dont elle ne peut s’affranchir. Un accès non autorisé à de telles données peut avoir des conséquences irréversibles pour la victime qui, à la différence d’un mot de passe, ne pourra pas modifier ses caractéristiques biométriques, et devra donc vivre toute sa vie avec cette compromission susceptible d’entraîner des usurpations d’identité à répétition.
Les mots de passe robustes apparaissent dès lors comme la seule solution viable pour limiter les introductions frauduleuses dans les systèmes d’informations. Reste aux entreprises d’en mesure l’enjeu afin d’assurer la sécurité de leurs systèmes.