Les nouveaux conseils de la CNIL pour créer des mots de passe sécurisés

Face à un risque accru de piratage, la CNIL a revu ses recommandations quant aux bonnes pratiques à adopter sur Internet. Voici les nouvelles règles à suivre pour créer un sésame fiable et éviter d'être piraté.

Chaque jour, des milliards d'informations personnelles sont partagées sur des forums du dark web consultés par les pirates informatiques – souvent moyennant finance. La faute est de plus souvent due à des mots de passe trop faibles – qui sont en plus réutilisés sur d'autres comptes. D'après une étude de Verizon de 2021, 81 % des notifications de violation de données mondiales seraient liées à une problématique de mots de passe, et un grand nombre aurait pu être évité si la victime avait eu recours à de bonnes pratiques en matière de mots de passe. Idem du côté de la Commission nationale de l'informatique et des libertés (CNIL), puisque 60 % des notifications qu'elle a reçues en 2021 sont dues à des piratages qui auraient pu être évités si les consignes de base de sécurité – mot de passe long, complexe, sans aucun sens, impersonnel et unique – avaient été appliquées. C'est donc "dans un contexte de multiplication des compromissions de bases de mots de passe" que la CNIL vient de publier le 17 octobre 2022 de nouvelles directives – les dernières datent de 2017 – sur la sécurisation des mots de passe. Si ces recommandations sont surtout destinées aux entreprises et aux professionnels – qui sont de plus en plus victimes de cyberattaques ou de fuites de données –, elles sont aussi valables pour les particuliers. Mieux vaut donc s'en inspirer pour créer des mots de passe fiables, sécurisés et difficiles à pirater.

Mot de passe : un moyen d'authentification faillible

L'authentification par un mot de passe n'est pas un moyen infaillible pour sécuriser son compte, loin de là. De nombreux facteurs de risque sont à prendre en compte. Par exemple, un mot de passe peut être trop simple – l'utilisateur a tendance à en choisir un qu'il peut retenir facilement (voir notre article sur les pires mots de passe) – et s'expose donc à des attaques par force brute – le pirate teste différentes possibilités de mots de passe – et par dictionnaire – le pirate teste une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé soit contenu dans le dictionnaire. De même, il peut être collecté via des malwares, des campagnes de phishing ou de fausses pages d'authentification. Il faut également craindre pour la sécurité de son compte lorsque le mot de passe est conservé en clair ou quand les modalités pour son renouvellement en cas d'oubli sont trop faibles – c'est notamment le cas pour les questions "secrètes", comme "quel est le nom de votre premier animal de compagnie ?" La CNIL recommande d'ailleurs de ne plus utiliser cette méthode pour sécuriser un mot de passe.

CNIL : les recommandations pour sécuriser ses mots de passe

Par rapport à 2017, les consignes de la CNIL ont évolué. Tout d'abord, le niveau de sécurité d'un mot de passe ne se fonde plus sur sa longueur minimale, mais sur son niveau d'entropie lors de sa création. "L'entropie peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d'imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute" explique l'organisme. Ainsi, un mot de passe composé d'au minimum 12 caractères, comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux, a le même niveau d'entropie qu'une phrase de passe composée d'au minimum 7 mots. Des mesures complémentaires peuvent être mises en place par les sites et plateformes pour garantir la sécurité de leurs utilisateurs. Par exemple, ils peuvent imposer un mot de passe respectant certains critères de complexité : obligation de longueur, de majuscules, de minuscules, de chiffres et de caractères spéciaux. Ils peuvent aussi mettre en place une restriction d'accès, comme la temporisation d'accès au compte après plusieurs échecs, l'utilisation d'un Captcha, la définition d'un nombre maximal de tentatives autorisées dans un délai donné, ou encore le blocage du compte après un certain nombre d'échecs. Enfin, ils peuvent imposer à l'utilisateur de posséder un matériel sur lui, comme son smartphone ou sa carte bancaire.

La CNIL préconise désormais d'arrêter le renouvellement périodique des mots de passe, car "les stratégies utilisées par les utilisateurs pour s'adapter aux politiques d'expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif." Généralement, l'utilisateur choisit une version modifiée du précédent mot de passe, en ajoutant un chiffre à la fin par exemple. Au final, les bénéfices en termes de sécurité sont mineurs, et l'utilisateur est embêté par ce changement. Enfin, la CNIL rappelle que, sous aucun prétexte, les mots de passe ne doivent être stockés en clair. "Lorsque l'authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d'une fonction cryptographique non réversible et sûre, intégrant l'utilisation d'un sel ou d'une clé", explique-t-elle, citant les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe. Pour renforcer la sécurité de son compte, il est recommandé d'activer l'authentification à plusieurs facteurs ou l'authentification forte, ou d'avoir recours à un gestionnaire de mots de passe. Les passkeys sont également une excellente alternative, même s'ils comportent aussi des limites.