Source www.cnil.fr

Les exigences de la CNIL

  1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires

Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux.  Des mesures complémentaires à la saisie d’un mot de passe (restrictions d’accès, collecte d’autres données, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation 

  Exemple d’utilisation Longueur minimum Composition du mot de passe Mesures complémentaires
Mot de passe seul Forum, blog 12
  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux

Conseiller l’utilisateur sur un bon mot de passe

Avec restriction d’accès
(le plus répandu)
Sites de e-commerce, compte d’entreprise, webmail 8

Au moins 3 des 4 types suivants :

  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux

Blocage des tentatives multiples :
(exemples)

  • Temporisation d’accès au compte après plusieurs échecs
  • « Captcha »
  • Verrouillage du compte après 10 échecs
Avec information
complémentaire
Banque en ligne 5

Chiffres et/ou lettres

Blocage des tentatives multiples

+

  • Information complémentaire communiquée en propre d’une taille d’au moins 7 caractères (ex. : identifiant dédié au service)

ou

  • Identification du terminal de l’usager (ex. : adresse IP, adresse MAC…) 
Avec matériel détenu
par la personne
Carte bancaire ou téléphone 4

Chiffres

Matériel détenu en propre par la personne (ex. : carte SIM, carte bancaire, certificat)

+

Blocage au bout de 3 tentatives échouées

 

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l’utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.  

  1. Sécurisation de l’authentification

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :

  • elle utilise un algorithme public réputé fort ;
  • sa mise en œuvre logicielle est exempte de vulnérabilité connue.

Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.

  1. La conservation des mots de passe

Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable,  le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

  1. Le renouvellement du mot de passe

Renouvellement périodique

Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande

À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface depuis une URL temporaire dont la validité ne doit pas excéder 24 heures,  lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement. Un code d’accès temporaire peut également être utilisé dès lors qu’il dispose des mêmes caractéristiques que l’URL temporaire, à savoir disposer une validité de 24 h et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :

  • ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ;
  • afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,

  • Le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ;
  • Il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
  • Il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.

Faites-nous par de vos remarques

Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à jour.

https://www.cnil.fr/en/node/23315