La CNIL met à jour ses recommandations pour les mots de passe

Le mot de passe reste la méthode d’authentification la plus répandue. À la suite d’une consultation publique, la CNIL met à jour sa recommandation de 2017 sur les mots de passe pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal.

Article complet sur le site de la CNIL

Intégration du concept d’entropie

La CNIL introduit désormais le concept d’entropie (niveau d’imprédictibilité) dans le processus de définition de mot de passe qui permettrait ainsi de renforcer la sécurisation des comptes. Il est donc recommandé d’éviter de choisir des mots de passe « simple à retenir » qui facilitent les attaques par dictionnaire.

Trois mesures principales sont avancées :

Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.

Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.

Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.

Ne plus renouveler périodiquement ses mots de passe

Par ailleurs, la CNIL préconise l’arrêt du renouvellement périodique des mots de passe : Il apparait que les politiques d’expiration de mots de passe sont en effet prévisibles et qu’elles affaiblissent ainsi le niveau de sécurité effectif. Dans la plupart des cas, les utilisateurs ne réutilisent qu’une version modifiée de leur précédent mot de passe avec le risque de perdre des caractères différenciés. Le bénéfice est donc quasi nul, voire négatif.

Ne pas stocker les mots de passe en clair

La CNIL recommande également, « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Il existe aujourd’hui des fonctions spécialisées qui permettent de répondre à ce besoin, comme scrypt ou Argon2, cités par l’ANSSI. »

L’avenir est au Passkey

Les mots de passes devraient être en voie d’extinction, car une nouvelle technologie s’annonce, les Passkeys. Avec cette technologie, à la première connexion entre un appareil et un service en ligne, il est vérifié que l’appareil vous appartient (en demandant un code PIN, une empreinte digitale ou un schéma). Une clé de chiffrage est alors générée et, lors des connexions suivantes, l’appareil est automatiquement reconnu, il n’y a plus qu’à prouver votre identité en retapant le code PIN ou l’empreinte digitale.

Pour l’instant, cette technologie est monomarque, c’est-à-dire que lorsqu’on a effectué l’opération avec un appareil Apple, il n’est pas possible de se connecter avec un ordinateur Windows. Mais Apple, Microsoft et Google sont en train de finaliser un accord à ce sujet, au sein de l’alliance FIDO qui est à l’origine de cette technologie.

Logo FIDO : « FIDO® est une marque (enregistrée dans de nombreux pays) propriété de FIDO Alliance, Inc.

 

Il restera un problème à régler : En cas de perte ou de vol de l’appareil principal, le transfert d’un groupe de passkeys vers un nouvel appareil pose des problèmes de cyber sécurité. Pour l’instant, pour éviter l’introduction d’un malware, seul le transfert d’une unique clé à la fois est possible. Il est probable que, dans ce cas, l’usage d’un mot de passe persiste plusieurs années. Cependant, si les occasions se font plus rares, elles attireront plus et mieux l’attention des dispositifs de contrôle.

Un projet de cyber sécurité? Contactez-nous !

Article écrit par Laurent CLIGNY