Les nouvelles exigences de la Cnil en matière de création et de gestion de mots de passe
Le 19 janvier 2017, la Cnil a adopté une recommandation relative aux mots de passe1. Partant du constat que – pour répondre à leur obligation de sécurité – les responsables de traitement font majoritairement le choix de recourir à un moyen d’authentification associant un identifiant à un mot de passe, la Commission a estimé nécessaire de définir les modalités techniques de cette méthode d’authentification, permettant de garantir un niveau de sécurité adapté.
En concertation avec ses homologues européens et des institutions et professionnels en charge de la sécurité de l’information, la Cnil a bâti un référentiel technique apportant un niveau de sécurité minimal afin de proposer aux professionnels des lignes directrices en matière de gestion des mots de passe.
Lorsque la sécurité des données à caractère personnel est assurée via la mise en place de mots de passe choisis et déterminés par les personnes concernées, la Cnil considère qu’il appartient au responsable de traitement d’imposer des modalités de création afin d’assurer la robustesse de ces derniers.
Les mesures à respecter pour la création des mots de passe !
Cette robustesse se caractérise par la taille minimale et la complexité du mot de passe.
Dans une décision du 5 novembre 2015, la formation restreinte de la Cnil avait prononcé une sanction pécuniaire à l’encontre de la société Optical Center, notamment en raison d’une absence de complexité suffi- sante des mots de passe des clients ayant déjà créé un compte, caractérisant ainsi un manquement à son obligation de sécurité.
Dans sa nouvelle recommandation relative aux mots de passe, la Cnil distingue 4 cas possibles et propose des modalités techniques à mettre en œuvre.
Elle identifie ainsi :
• 1- Les cas où l’authentification re-pose uniquement sur un identifiant et un mot de passe. Ce cas impose les exigences les plus fortes en termes de robustesse des mots de passe ; ces derniers devant comporter au minimum 12 caractères et comprendre les 4 types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). En plus d’imposer ces modalités de création aux personnes concernées, le responsable de traitement est également tenu de conseiller les personnes afin de répondre pleinement à son obligation de sécurité.
• 2- Les cas où l’authentification prévoit, outre le mot de passe, une restriction d’accès au compte de la personne concernée. Dans un tel scénario, la Cnil prévoit des exigences moins fortes puisqu’elle précise qu’un minimum de 8 caractères et l’usage de 3 des 4 types de caractères existants est suffisant à garantir la robustesse. Toutefois, outre l’imposition de ces critères de création, le responsable de traitement doit prévoir des mesures de blocage des tentatives multiples d’échecs.
• 3- Les cas où l’authentification au compte comprend un mot de passe ainsi qu’une information complémentaire. En telle hypothèse, la Commission considère que le mot de passe peut être composé d’uniquement 5 caractères sous réserve que l’information complémentaire réponde à des exigences de confidentialité et qu’une restriction de l’accès au compte soit mise en œuvre.
• 4- Les cas où l’authentification s’appuie sur un matériel détenu par la personne concernée (c’est par exemple le cas des cartes bancaires ou des téléphones mobiles). Dans un tel cas, la Cnil considère que le mot de passe peut contenir un minimum de 4 caractères sous réserve que le responsable de traitement prévoit un mécanisme de blocage au bout de 3 tentatives d’authentification échouées.
Les modalités de conservation à respecter
La Commission rappelle, dans sa recommandation, sa position déjà bien établie selon laquelle les mots de passe ne doivent jamais être conservés en clair. La Cnil recommande qu’ils soient transformés au moyen d’une fonction cryptographique non réversible et sûre via l’utilisation d’un algorithme public réputé fort et dont la mise en œuvre logicielle est exempte de vulnérabilité connue. Cette cryptographie doit, en outre, intégrer l’utilisation d’un sel ou d’une clé générés de manière aléatoire et qui ne doivent pas être stockés sur le même espace de stockage que l’élément de vérification du mot de passe.
Le renouvellement du mot de passe et la notification de violation aux personnes concernées
La Cnil aborde, dans le cadre de sa recommandation, les modalités à prévoir pour le renouvellement des mots de passe. La commission distingue ainsi selon que ce renouvellement soit à l’initiative du responsable de traite- ment ou sur demande de la personne concernée.
À l’initiative du responsable, la Cnil recommande que ce dernier impose, aux personnes concernées, un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, en leur permettant de procéder elles-mêmes au changement de leur mot de passe.
À la demande de la personne concernée, par exemple en cas d’oubli, la Commission recommande que le responsable de traitement détermine une procédure de renouvellement du mot de passe. Lorsque ce renouvellement nécessite l’intervention d’un administrateur, la procédure d’authentification doit im- poser le changement du mot de passe attribué temporairement par l’administrateur dès la première connexion. Lorsque le renouvellement est réalisé de manière automatique, alors le mot de passe ne doit pas être transmis en clair à la personne. D’ailleurs, la Cnil recommande que la personne concernée soit redirigée vers une interface, valide pendant une période maximale de 24 heures, lui permettant de saisir un nouveau mot de passe.
Lorsque le renouvellement fait intervenir un ou plusieurs éléments supplémentaires tels qu’un numéro de téléphone ou une adresse postale, la Cnil considère que ces éléments doivent être conservés dans un espace de stockage distinct de celui contenant l’élément de vérification du mot de passe sauf s’ils sont conservés sous forme chiffrée à l’aide d’un algorithme. En tout état de cause, la Commission recommande que le renouvellement du mot de passe soit systématique en cas de compromission de celui-ci et estime que, dans tous les cas, il ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique. Enfin, la Cnil recommande que le responsable de traitement notifie à la personne concernée toute violation de son mot de passe ou de données liées au renouvellement dans un délai n’excédant pas 72 heures depuis la constatation de la violation.
En cas de violation, la Cnil considère que le responsable de traitement doit imposer à la personne concernée de modifier son mot de passe au moment de sa prochaine connexion.
De plus, la Commission recommande qu’il lui conseille de changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même que celui ayant fait l’objet d’une violation.
Par Amira BOUNEDJOUM, Avocat du département IP/IT du cabinet Simon associés
1 Délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe