La Cnil a réactualisé sa recommandation de 2017 sur les mots de passe. À l’issue de la phase de consultation publique, elle a apporté plusieurs modifications à son projet.
Pas encore d’outils en français. Cet écueil, la Cnil s’y retrouve rencontrée dans le cadre de la mise à jour de sa recommandation sur les mots de passe.
L’autorité avait soumis son projet à consultation publique en fin d’année dernière. Sur le fond, pas d’évolution prévu par rapport à la version précédente, adopté en 2017 : il s’agissait toujours de fixer, dans le cadre des traitements de données personnelles, des modalités techniques minimales pour l’authentification basée sur des mots de passe. La notion d’entropie – exemplifiée ci-dessous – faisait toutefois son entrée, élargissant le champ des possibles.
La version définitive définit effectivement l’entropie comme la référence pour évaluer la robustesse d’un mot de passe. Elle mentionne toutefois une approche alternative. En l’occurrence, la « dévinabilité ». Qui consistait à évaluer, par algorithme, la facilité qu’un adversaire aurait à trouver un mot de passe donné.
La littérature sur le sujet recommande une résistance minimale aux attaques de 1014 essais, explique la Cnil. Problème, ajoute-t-elle : les outils pour mettre en œuvre la vérification « ne sont pas encore disponibles pour des utilisateurs francophones »…
L’option « mot de passe + informations complémentaires » n’est plus recommandée
Autre modification par rapport au projet : la réduction du nombre de cas pris en considération. Initialement, la Cnil prévoyait de maintenir les quatre déjà présents dans la recommandation de 2017. À savoir :
– Mot de passe seul
– Accompagné d’une mesure de restriction d’accès en cas d’échecs répétés d’authentification
– Associé à une information complémentaire que communique le responsable de traitement
– Authentification impliquant un matériel que détient la personne concernée
Actualisée, la recommandation abandonne la troisième de ces options. Qui imposait, dans les grandes lignes, une entropie de 27 bits pour le mot de passe et 23 bits pour l’information supplémentaire, diffusée aléatoirement.
Pour les autres options, on en reste à ce qu’avait proposé la Cnil. C’est-à-dire, pour le mot de passe seul, 80 bits. Ou 50 bits sont associés à une mesure de restriction d’accès (voir notre article précédent pour les détails de mise en œuvre de cette restriction). Ou 13 bits en cas d’utilisation d’un appareil détenu par l’utilisateur.
Ne pas recommander que… ou recommander que ne pas ?
D’autres dispositions ont fait leur entrée à l’issue de la consultation publique. L’une d’entre elles concerne l’authentification sur une page web. Il est recommandé que ladite page ne contienne pas de code réalisant des appels externes. Objectif : limiter les vecteurs d’attaque pouvant occasionner la compromission des mots de passe.
Autre précision : dans les champs de saisie, les caractères ne doivent pas être visibles par défaut (on pourra les représenter par un caractère neutre tel qu’un point ou une étoile). En outre, en cas d’échec, le message affiché ne devrait pas fournir d’informations susceptibles d’aider un attaquant potentiel.
Sur la partie conservation, pas d’évolution, par rapport au projet, concernant le chiffrement préalable des mots de passe et l’ajout d’un sel. Il y a du nouveau, en revanche, sur les protocoles de type PAKE (Password Authenticated Key Exchange). La Cnil conseille leur mise en œuvre pour garantir la vérification des mots de passe sans qu’ils soient transmis en clair au serveur.
Le cas particulier des mots de passe stockés dans une application fait aussi l’objet d’une disposition nouvelle. De manière générale, leur stockage devrait être limité aux applications de gestion de mots de passe. Il s’effectuera sous forme chiffrée, avec un mécanisme de déverrouillage, par exemple passant par une phrase de passe maître. Dans les autres cas, on privilégiera un jeton à durée de vie limitée et révocable à tout moment.
Au sortir de la phase de consultation publique, la Cnil a également fourni des précisions sur les modalités de changement des mots de passe. Ou plutôt, elle a retravaillé son langage.
Auparavant :
La Commission ne recommande pas que le responsable du traitement veille à imposer un renouvellement des mots de passe de l’ensemble de ses utilisateurs.
Désormais :
Les responsables de traitement ne devraient plus imposer une modification périodique des mots de passe à l’ensemble de leurs utilisateurs.
Demeure une exception, entérinée pour l’occasion : la nécessité de modification périodique pour les comptes d’administration.
Illustration principale © anttoniart – Adobe Stock