Les nouvelles exigences de la CNIL en matière de création et de gestion de mots de passe

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Délibération n°2017-012 du 19 janvier 2017

Aux termes d’une recommandation relative à la sécurité des mots de passe, la CNIL fournit un référentiel technique de sécurité minimale à respecter. 

Le 19 janvier 2017, la CNIL a adopté une recommandation relative aux mots de passe [1].

Partant du constat que – pour répondre à leur obligation de sécurité – les responsables de traitement font majoritairement le choix de recourir à un moyen d’authentification associant un identifiant à un mot de passe, la Commission a estimé nécessaire de définir les modalités techniques de cette méthode d’authentification, permettant de garantir un niveau de sécurité adapté. En concertation avec ses homologues européens et des institutions et professionnels en charge de la sécurité de l’information, la CNIL a bâti un référentiel technique apportant un niveau de sécurité minimal afin de proposer aux professionnels des lignes directrices en matière de gestion des mots de passe.

 

1/- Les mesures à respecter pour la création des mots de passe !

Lorsque la sécurité des données à caractère personnel est assurée via la mise en place de mots de passe choisis et déterminés par les personnes concernées, la CNIL considère qu’il appartient au responsable de traitement d’imposer des modalités de création afin d’assurer la robustesse de ces derniers.

Cette robustesse se caractérise par la taille minimale et la complexité du mot de passe.

Dans une décision du 5 novembre 2015, la formation restreinte de la CNIL avait prononcé une sanction pécuniaire à l’encontre de la société OPTICAL CENTER, notamment en raison d’une absence de complexité suffisante des mots de passe des clients ayant déjà créé un compte, caractérisant ainsi un manquement à son obligation de sécurité.

Dans sa nouvelle recommandation relative aux mots de passe, la CNIL distingue 4 cas possibles et propose des modalités techniques à mettre en œuvre.

Elle identifie ainsi :

  1. Les cas où l’authentification repose uniquement sur un identifiant et un mot de passe. Ce cas impose les exigences les plus fortes en termes de robustesse des mots de passe ; ces derniers devant comporter au minimum 12 caractères et comprendre les 4 types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). En plus d’imposer ces modalités de création aux personnes concernées, le responsable de traitement est également tenu de conseiller les personnes afin de répondre pleinement à son obligation de sécurité ;
     
  2. Les cas où l’authentification prévoit, outre le mot de passe, une restriction d’accès au compte de la personne concernée. Dans un tel scénario, la CNIL prévoit des exigences moins fortes puisqu’elle précise qu’un minimum de 8 caractères et l’usage de 3 des 4 types de caractères existants est suffisant à garantir la robustesse. Toutefois, outre l’imposition de ces critères de création, le responsable de traitement doit prévoir des mesures de blocage des tentatives multiples d’échecs ;
     
  3. Les cas où l’authentification au compte comprend un mot de passe ainsi qu’une information complémentaire. En telle hypothèse, la Commission considère que le mot de passe peut être composé d’uniquement 5 caractères sous réserve que l’information complémentaire réponde à des exigences de confidentialité et qu’une restriction de l’accès au compte soit mise en œuvre ;
     
  4. Les cas où l’authentification s’appuie sur un matériel détenu par la personne concernée (c’est par exemple le cas des cartes bancaires ou des téléphones mobiles). Dans un tel cas, la CNIL considère que le mot de passe peut contenir un minimum de 4 caractères sous réserve que le responsable de traitement prévoit un mécanisme de blocage au bout de 3 tentatives d’authentification échouées.

 

2/- Les modalités de conservation à respecter

La Commission rappelle dans sa recommandation sa position déjà bien établie selon laquelle les mots de passe ne doivent jamais être conservés en clair. La CNIL recommande qu’ils soient transformés au moyen d’une fonction cryptographique non réversible et sûre via l’utilisation d’un algorithme public réputé fort et dont la mise en œuvre logicielle est exempte de vulnérabilité connue.

Cette cryptographie doit, en outre, intégrer l’utilisation d’un sel ou d’une clé générés de manière aléatoires et qui ne doivent pas être stockés sur le même espace de stockage que l’élément de vérification du mot de passe.

 

3/- Le renouvellement du mot de passe et la notification de violation aux personnes concernées

La CNIL aborde, dans le cadre de sa recommandation, les modalités à prévoir pour le renouvellement des mots de passe. La commission distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traitement ou sur demande de la personne concernée.

A l’initiative du responsable,  la CNIL recommande que ce dernier impose, aux personnes concernées, un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, en leur permettant de procéder elles-mêmes au changement de leur mot de passe.

A la demande de la personne concernée, par exemple en cas d’oubli, la commission recommande que le responsable de traitement détermine une procédure de renouvellement du mot de passe.

Lorsque ce renouvellement nécessite l’intervention d’un administrateur, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur dès la première connexion.

Lorsque le renouvellement est réalisé de manière automatique, alors le mot de passe ne doit pas être transmis en clair à la personne. D’ailleurs, la CNIL recommande que la personne concernée soit redirigée vers une interface, valide pendant une période maximale de 24 heures, lui permettant de saisir un nouveau mot de passe.

Lorsque le renouvellement fait intervenir un ou plusieurs éléments supplémentaires tels qu’un numéro de téléphone ou une adresse postale, la CNIL considère que ces éléments doivent être conservés dans un espace de stockage distinct de celui contenant l’élément de vérification du mot de passe sauf s’ils sont conservés sous forme chiffrée à l’aide d’un algorithme.

En tout état de cause, la commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci et estime que, dans tous les cas, il ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique.

Enfin, la CNIL recommande que le responsable de traitement notifie la personne concernée de toute violation de son mot de passe ou de données liées au renouvellement dans un délai n’excédant pas 72 heures depuis la constatation de la violation.

En cas de violation, la CNIL considère que le responsable de traitement doit imposer à la personne concernée de modifier son mot de passe au moment de sa prochaine connexion.

De plus, la Commission recommande qu’il lui conseille de changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même que celui ayant fait l’objet d’une violation.



[1] Délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe (https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000033928007)  

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Dépôt d’une marque de mauvaise foi et intention d’usage
La CJUE précise que le dépôt d’une marque sans intention de l’utiliser peut être considéré comme ayant été effectué de mauvaise foi, que si la preuve en est rapportée ; aucune présomption ne découle du fait que le demandeur au…