Mots de passe : ce que la Cnil recommande en 2021

Votre mot de passe est-il suffisamment robuste ? Pour le savoir, évaluez son entropie. C’est vers là que pourraient aller les recommandations officielles de la Cnil. La commission a en tout cas engagé un processus d’actualisation du texte. Elle vient de soumettre ses propositions à consultation publique.

Pas d’évolution à prévoir sur le fond : il s’agit toujours de fixer, dans le cadre des traitements de données personnelles, des modalités techniques minimales pour l’authentification basée sur des mots de passe. Mais la notion d’entropie – exemplifiée ci-dessous – élargit le champ des possibles.

Les recommandations actuelles datent de 2017. Elles distinguent quatre cas :

– Mot de passe seul

– Accompagné d’une mesure de restriction d’accès en cas d’échecs répétés d’authentification

– Associé à une information complémentaire que communique le responsable de traitement

– Authentification impliquant un matériel que détient la personne concernée

Sacro-sainte entropie

La version 2021, telle que proposée, maintient globalement cette structure. Mais donne, dans la pratique, davantage de latitude sur la définition des mots de passe.
Illustration avec le premier cas. À l’heure actuelle, une seule recommandation : que le mot de passe inclue au minimum 12 caractères, des quatre types (minuscules, capitales, chiffres, spéciaux). La Cnil propose s’y substituer un niveau d’entropie cible d’au moins 80 bits. Ce qui pourra se traduire non seulement par la pratique ci-dessus (à condition d’avoir une sélection au moins 37 caractères spéciaux)… mais aussi, entre autres, par une longueur minimale de 14 sans caractère spéciaux. Ou encore par une phrase d’au moins 7 mots.

Qu’en est-il sur le deuxième cas ? Pour le moment, une consigne : utiliser au moins 8 caractères de trois types. La nouvelle version recommande une entropie d’au moins 50 bits. Et fait trois suggestions : au moins 8 caractères de trois types (et minimum une table de 11 caractères spéciaux), au moins 15 chiffres ou une phrase d’au moins 5 mots.
La Cnil ne prévoit pas de changement au niveau de la restriction d’accès. On resterait sur :

– Au maximum 25 tentatives par période de 24 heures et un timer d’au moins 1 minute après 5 échecs

– ET/OU un mécanisme de prévention des soumissions automatisées et intensives (de type captcha)

– ET/OU un blocage après au maximum 10 essais

Mots de passe et empreintes numériques

Sur le troisième cas, la Cnil recommande aujourd’hui d’utiliser un mot de passe d’au moins 5 caractères. L’information supplémentaire doit quant à elle comprendre au moins 7 caractères. Il peut aussi s’agit d’un paramètre technique unique sur un terminal que l’utilisateur possède et qu’il a déclaré comme étant de confiance. Une restriction d’accès telle que sus-évoquée doit aussi être mise en place.
À l’avenir, le seuil pourrait se trouver à 27 bits pour le mot de passe. Ce qui correspond à un minimum de 8 chiffres décimaux ou 7 hexadécimaux. Pour l’information complémentaire, ce serait 23 bits (7 décimaux ou 6 hexadécimaux), avec génération aléatoire. L’empreinte numérique de l’appareil (« paramètre technique ») ne serait plus facultatif. Et la restriction d’accès resterait d’actualité.

Sur le quatrième cas, la recommandation actuelle est « au moins 4 chiffres ». Le dispositif complémentaire peut être une carte SIM, une carte à puce ou tout dispositif contenant un certificat électronique déverrouillable par mot de passe. Il faut y ajouter un blocage d’accès après au maximum 3 essais.
La version actualisée imposerait 13 bits d’entropie (4 chiffres décimaux). En maintenant les autres mesures… néanmoins assouplies concernant le dispositif complémentaire (« tout autre mécanisme apportant un même niveau de sécurité »).

La Cnil entend aussi préciser certaines définitions. Dont celle d’« algorithme public réputé fort ». Référence envisagée : les annexes B1 et B2 du Référentiel général de sécurité de l’ANSSI.

En clair… uniquement par voie postale

Sur les modalités d’authentification, pas mal d’évolutions potentielles se préparent. Parmi elles :

– Ne pas faire apparaître les mots de passe dans les adresses des ressources distantes ; y compris sous forme hachée

– Ne pas interdire le copier-coller aussi bien lors de la création de mots de passe que de l’authentification. Objectif : encourager l’usage de gestionnaires de mots de passe.

– Une possibilité de communiquer des mots de passe en clair à l’utilisateur (hors mots de passe temporaires et à usage unique). En l’occurrence, par voie postale. À condition de prendre des mesures supplémentaires. Par exemple, des enveloppes noircies à l’intérieur. Ou des cases à gratter.

– Ne pas accepter les mots de passe connus comme étant couramment utilisés. La taille et le contenu de la liste noire doivent être proportionnels au risque et adaptés au contexte d’usage (service sur lequel on s’authentifie).

Des mots de passe un peu plus salés

Quelques modifications sont aussi dans les tuyaux concernant les modalités de conservation. La consigne principale demeurerait : pas de stockage en clair. C’est sur la fonction cryptographique que les choses évolueraient. La version 2017 recommande d’inclure un sel ou une clé générés aléatoirement et stockés à part de l’élément de vérification du mot de passe. La version 2021 est plus précise sur le sel : un par utilisateur, et d’une longueur minimale de 128 bits. Avec, en complément, des paramètres relatifs aux coûts en temps et/ou en mémoire. Ainsi qu’une invitation à mettre régulièrement à jour la taille du sel et des algorithmes, en fonction des risques et des avancées technologiques.

La recommandation de renouvellement périodique resterait, mais ne s’appliquerait plus qu’aux compte à privilèges. Il y aurait, par ailleurs, du nouveau sur le renouvellement des éléments éventuellement demandés en complément aux mots de passe. On en retiendra, en particulier : ne pas poser de question secrète relative à des informations habituellement publiques (nom des parents, lieu d’études…)

Illustration principale © anttoniart – Adobe Stock