3 juin 2024 Par Stéphane Delhommeau, Responsable des services d’hébergement de Proginov La CNIL fait le constat suivant : « En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe ». Mais quelle politique adopter ? En effet, les utilisateurs sont tiraillés entre les conseils de bonnes pratiques, pas forcément faciles à mettre en œuvre au quotidien, et des mots de passe faciles à retenir, mais pas assez sécurisés. Faisons le point. Dans les bonnes pratiques édictées, on a souvent : le changement régulier de mots de passe, la double authentification et l’utilisation de gestionnaires de mots de passe. À l’usage, changer les mots de passe de manière fréquente et les individualiser par site est très lourd, au vu des centaines de mots de passe utilisés au quotidien, et souvent peu efficace puisque l’utilisateur change en général peu de caractères par rapport au précédent. D’autre part, la double authentification, bien que plus sécurisée, ne peut être généralisée à tous les usages, notamment celui des sites internet grand public. Enfin, l’utilisation des gestionnaires est une bonne pratique, mais parfois complexe en dehors de l’entreprise. Plus que la fréquence de changement de mot, la CNIL axe désormais sur la complexité de sa construction. En effet, un mot ayant un sens dans une langue, la suite de caractères prévisible qu’il utilise le rend facile à deviner. L’idée est donc de doter le mot de passe d’une entropie (que l’on pourrait traduire ici par coefficient de devinabilité) la plus forte possible. Elle fixe un niveau minimal générique de 80 bits d’entropie pour un mot de passe sans mesure complémentaire (double authentification, blocage du compte après plusieurs essais, etc.). Normalement, tout bon gestionnaire de mot de passe calculera cette entropie pour vous aider à le complexifier.Voici donc dans le détail, les points importants à suivre : Miser sur la complexité Il est recommandé d’utiliser des mots complexes, combinant majuscules, minuscules, chiffres et caractères spéciaux, les rendant ainsi plus difficiles à deviner. Choisir des mots longs ils sont généralement plus sécurisés. L’idéal est de viser au moins 12 caractères. Changer fréquemment, ou pas ! Historiquement, la CNIL préconisait une période de changement de mot de passe régulière, par exemple tous les trois mois. Cependant, cette approche est remise en question, car des études suggèrent que des changements de mot de passe trop fréquents peuvent entraîner des problèmes de sécurité. En effet, les utilisateurs sont plus susceptibles de choisir des mots de passe plus simples et de les noter. Elle mise donc désormais sur la complexité plus que sur la fréquence de changement. Cependant, si votre mot de passe a été corrompu : vol de données, utilisation sur un Wi-Fi public par exemple, il est alors recommandé de le changer immédiatement. Sensibiliser les utilisateurs La CNIL souligne l’importance de sensibiliser les utilisateurs à la sécurité des mots de passe, notamment en les encourageant à ne pas réutiliser les mêmes mots de passe sur plusieurs services, ni entre la sphère privée et celle du travail. La sensibilisation des utilisateurs passe aussi par la répétition des recommandations, comme vient de le faire cybermalveillance.gouv.fr avec sa nouvelle campagne Voilà. Sécuriser les moyens de récupération Les méthodes de récupération de mot de passe doivent être sécurisées pour éviter tout accès non autorisé. Par exemple, la CNIL recommande l’utilisation de l’authentification à deux facteurs et l’utilisation de gestionnaire de mots de passe. Il est important de noter que ces recommandations peuvent évoluer avec le temps en réponse aux nouvelles menaces et technologies de sécurité. Il est conseillé de consulter régulièrement les lignes directrices de la CNIL ou d’autres organismes de réglementation pour obtenir les informations les plus récentes.