Dans sa délibération 2017-012 du 19 janvier 2017, la CNIL formule des recommandations destinées à relever le niveau de sécurité minimal. Elle conseille notamment de modifier régulièrement son mot de passe, de le changer en cas de compromission avérée ou de suspicion. Et s'il n'existe pas de mécanisme de blocage du compte en cas d'essais multiples infructueux, elle suggère d'avoir un mot de passe de 12 signes comportant majuscules, minuscules, chiffres et caractères spéciaux. Comment expliquer ce renforcement et quel en est l'impact sur votre entreprise ?
Pour apporter une plus grande confiance dans l'utilisation des services numériques proposés partout sur la toile, la CNIL a décidé de renforcer les niveaux de sécurité liés au binôme compte/mot de passe.
L'organisme met en avant trois raisons principales. D'abord, le couple identifiant mot de passe est le moyen d'authentification le plus répandu actuellement. En attendant une identification par empreintes digitales (de quatre doigts consécutifs) ou par empreinte oculaire, par reconnaissance faciale ou vocale, le mot-de-passe reste le sésame le plus utilisé pour accéder à un service numérique. D’après l’étude Dashlane, un individu aura à gérer en 2020 environ 180 couples identifiant//mot de passe ! Si vous avez des doutes devant ce chiffre, ouvrez votre outil de gestion de mots de passe et comptez, vous verrez que vous n’êtes déjà pas très loin du compte.
Ensuite la CNIL pointe la multiplication des attaques informatiques entraînant la divulgation de bases de données entières de comptes//mots de passe, ce qui renforce la connaissance des pirates (la dernière d'importance concerne 33,6 millions d'enregistrements compromis). Notez en passant que ces binômes, revendus sur le Dark Web, ne valent pas grand-chose... (30$ le lot de 40.000 adresses de messagerie avec identifiant//mot de passe)
Enfin, l'organisme relève que le danger principal vient du fait qu'un même mot de passe sert à déverrouiller plusieurs comptes ! En Angleterre par exemple, un individu a au minimum 22 comptes avec au moins 4 fois le même couple identifiant//mot de passe...
Maintenant que les raisons du renforcement du niveau de sécurité sont connues, voyons ce qu'il convient de faire des recommandations de la CNIL au niveau de votre entreprise.
Doit-on renouveler son mot de passe de manière régulière, et si oui à quelle fréquence ?
S'il y a bien quelque chose que les collaborateurs d'une entreprise détestent, c'est changer de mot de passe tous les trimestres ! Notons qu'ici la CNIL va à contre-courant des suggestions du NIST ou du NCSC. Les deux organismes américain et britannique considèrent qu'il ne sert à rien de demander à un utilisateur de changer son mot de passe tous les 90 jours par exemple, notamment parce que la probabilité que ce dernier utilise un mot de passe dérivant du précédent est assez grande (p4ssw0rd01 se muant en p4ssw0rd02) ou pire qu'il utilise un mot de passe déjà associé à un autre de ses identifiants. C'est faire de la sécurité au détriment de l'usage, ce qui revient à augmenter le coût de la sécurité !
Il est en revanche tout à fait pertinent de changer son mot de passe en cas de compromission avérée ou supposée.
Dans le contexte de l'entreprise, plutôt que de renouveler un mot de passe de manière régulière, il est possible d’écarter la pression toujours plus importante mise sur l'utilisateur pour la déporter sur l'administrateur système et le responsable de l'application en leur demandant:
1-que le nombre maximal de caractères d'un mot de passe soit de 64, pour que son inviolabilité ne repose pas sur sa complexité mais sur sa longueur (Préférez le mot de passe "c0Uloir-kn!Fe_blau" à "xj!7t23#cv[").
2-qu'un mécanisme de blocage du compte soit activé en cas de mots de passe répétés défectueux, une dizaine d'essais devant suffire à retrouver la mémoire ou adapter le clavier aux majuscules, minuscules, chiffres et caractères spéciaux du mot de passe, ce qui constituera un rempart bien plus efficace contre les cyber-attaques de type "force brute".
1-que le nombre maximal de caractères d'un mot de passe soit de 64, pour que son inviolabilité ne repose pas sur sa complexité mais sur sa longueur (Préférez le mot de passe "c0Uloir-kn!Fe_blau" à "xj!7t23#cv[").
2-qu'un mécanisme de blocage du compte soit activé en cas de mots de passe répétés défectueux, une dizaine d'essais devant suffire à retrouver la mémoire ou adapter le clavier aux majuscules, minuscules, chiffres et caractères spéciaux du mot de passe, ce qui constituera un rempart bien plus efficace contre les cyber-attaques de type "force brute".
Quand et pourquoi faut-il un mot de passe plus long ?
Avant d’émettre un avis sur la question, essayons de définir quel serait le mot de passe idéal. S'il existe, il devrait répondre à ces trois critères :
- facile à se souvenir
- facile à entrer (depuis un smartphone par exemple)
- difficile à trouver
Notez que l'ordre de préférence n'est pas le même suivant que l'on se place du point de vue de l'utilisateur ou du point de vue de l'entreprise. L’entreprise, par peur de cyber-attaques toujours plus sophistiquées, rapides et efficaces, a plutôt tendance à promouvoir le dernier point, alors que l'approche humaine privilégie plutôt les deux premiers...
La recommandation de la CNIL d'augmenter la longueur de 8 à 12 caractères fait clairement écho à l’inquiétude liée à l'augmentation des capacités technologiques actuelles qui permettent d'assembler dans un temps toujours plus court toujours plus de combinaisons.
Paradoxalement, et pour peu qu'un individu accepte d'aller au-delà des 12 signes, il est alors plus facile de se rappeler de son mot de passe dès lors que l'on associe des mots improbables, plus surement dans plusieurs langues, et avec un code propre de substitution de lettres par des chiffres par exemple. Il est alors possible de combiner au moins deux des trois critères initiaux, un mot de passe facile à se souvenir et difficile à trouver.
Si vous décidez par exemple que pour votre compte Twitter d'entreprise, le mot de passe qui s'impose est "l'oiseau est bleu" puis que vous décidiez de changer le s en 5 et le i en !, et qu’après un chiffre la lettre suivante est en majuscule, il faudra bien plus d'une année à un ordinateur actuel pour trouver ce mot de passe de 17 signes "l'o!5Eau e5T bleu" .
Si vous décidez par exemple que pour votre compte Twitter d'entreprise, le mot de passe qui s'impose est "l'oiseau est bleu" puis que vous décidiez de changer le s en 5 et le i en !, et qu’après un chiffre la lettre suivante est en majuscule, il faudra bien plus d'une année à un ordinateur actuel pour trouver ce mot de passe de 17 signes "l'o!5Eau e5T bleu" .
Un dernier point. Il ne sert à rien d'avoir des mots de passe à rallonge sur tous vos comptes ! Tout dépend bien sur de l'importance que vous attribuez aux données accessibles depuis l'application concernée, ou à l'impact qu'un piratage de compte pourrait avoir sur votre identité numérique. A cet égard, il est prudent d'inclure dans la liste des binômes à protéger les comptes qui définissent votre entreprise sur les réseaux sociaux, parce que c'est un point particulièrement à risque en cette période.
Dans tous les cas, vous n’échapperez pas à utiliser un gestionnaire de mots de passe, c'est le seul moyen de vous souvenir de vos différents binômes !