La Cnil a publié une recommandation en date du 19 janvier 2017 relatives aux mesures d’authentification que les responsables de traitements devraient mettre en place lorsque les utilisateurs (salariés ou tout autre utilisateur) de leur service doivent s’identifier.
Cette recommandation publiée au journal officiel n’a pas force de loi mais représente la position officielle de la Cnil sur ces sujets.
La Cnil précise principalement les règles relatives à la complexité du mot de passes en fonction des autres mesures accessoires et visant à assurer un niveau de sécurité équivalent.
Elle informe également des conditions applicables à la conservation et renouvellement des mots de passes ainsi qu’aux modalités tehniques d’authentification.
1.Niveau de complexité des mots de passe
Le niveau de complexité des mots de passe dépend des mesures compensatrices applicables à la procédure d’authentification de l’utilisateur. La Cnil décline quatre situations possibles:
Cas n° 1. – Mot de passe seul
– la taille du mot de passe doit être au minimum de 12 caractères ; et
– le mot de passe doit comprendre des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Le responsable de traitement devrait alerter l’utilisateur du fait que le procédé d’authentification repose sur ce mot de passe et, dans la mesure du possible, le conseiller dans la création de son mot de passe.
Cas n° 2. – Mot de passe et restriction d’accès au compte
– la taille du mot de passe doit être au minimum de 8 caractères ; et
– le mot de passe doit au minimum comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ; et
– l’authentification doit faire intervenir une restriction de l’accès au compte (ex: temporisation d’accès au compte après plusieurs échecs dont la durée augemente dans le temps, utilisation de captcha etc.)
Cas n° 3. – Mot de passe et information complémentaire
– la taille du mot de passe doit être au minimum de 5 caractères ; et
– l’authentification doit faire intervenir une information complémentaire, (ex : information communiqué par le responsable de traitement ou terminal de confiance validé par la personne concernée lors de son inscription) et une restriction à l’accès aux comptes plus restrictifs que dans le cas précédent (ex: blocage après 5 tentatives).
Cas n° 4. – Mot de passe et matériel détenu par la personne
– la taille du mot de passe doit être au minimum de 4 chiffres ; et
– l’authentification ne peut concerner qu’un dispositif matériel détenu en propre par la personne, à savoir uniquement les cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverrouillable par mot de passe (token) ; et
– un blocage du dispositif doit être mis en œuvre après un nombre d’authentifications échouées consécutives au plus égal à 3.
2.Modalités de l’authentification
La fonction d’authentification doit être sûre (c’est-à-dire qu’elle utilise un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue).
Lorsque l’authentification n’a pas lieu en local, la commission recommande qu’une mesure de contrôle de l’identité du serveur d’authentification soit mise en œuvre au moyen d’un certificat d’authentification de serveur.
Le canal de communication entre le serveur authentifié et le client soit chiffré à l’aide d’une fonction de chiffrement sûre, la sécurité des clés privées doit être également assurée.
3.Modalités de conservation
Le mot de passe ne doit jamais être stocké en clair et devrait être transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé.
Le sel ou la clé doit être généré au moyen d’un générateur de nombres pseudo aléatoires cryptographiquement sûr et ne pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.
4.Modalités du renouvellement du mot de passe et de la notification à la personne
Le renouvellement du mot de passe devrait être systématique en cas de compromission de celui-ci.
Dans tous les cas, elle estime que le mot de passe ne doit jamais être communiqué à l’utilisateur en clair, notamment par courrier électronique.
4.1. Renouvellement périodique du mot de passe
Les mots de passe devraient être renouvelés selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.
4.2. Renouvellement sur demande du mot de passe
Le renouvellement sur demande du mot de passe devrait suivre les recommandations suivantes:
– lorsque ce renouvellement nécessite l’intervention d’un administrateur, procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur à la première connexion de la personne ;
– lorsque ce renouvellement intervient de manière automatique :
a) le mot de passe ne doit pas être transmis en clair à la personne ; la personne devrait être redirigée vers une interface lui permettant de saisir un nouveau mot de passe ; la validité de la session de cette interface ne devrait pas excéder 24 heures, et ne pas permettre plus d’un seul renouvellement ; ou
b)si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale, etc.) :
(i) ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe à moins qu’ils soient conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et que la sécurité de la clé de chiffrement soit assurée ; et
(ii)la personne doit être immédiatement informée de leur changement (pour éviter les usurpations d’identité)
5.Notification de violation à la personne concernée
Le responsable de traitement devrait notifier la personne concernée quand une violation de son mot de passe ou de données liées au renouvellement (p. ex. : adresse électronique) a été détectée, dans un délai n’excédant pas 72 heures depuis la constatation de la violation. La commission estime que le responsable de traitement doit imposer dans ce cas le changement du mot de passe à la personne concernée lors de sa prochaine connexion, et recommande à la personne de veiller à changer ses mots de passe d’autres services dans l’hypothèse où elle aurait utilisé le même mot de passe pour ceux-ci.
Même si cette dernière position n’est pas encore en vigueur sous la loi informatique et libertés, à partir de 2018, la notification sera quasiment obligatoire dans ces cas (voir notification violation de données personnelles sous le GDPR ici).
Lire la recommandation ici