ANSSI : Nouvelles recommandations relatives aux mots de passes
L’actualité démontre que les cyberattaques représentent une menace croissante pour les entreprises et les administrations. Les moyens déployés par les pirates informatiques sont de plus en plus élaborés et tristement efficaces. Pourtant une politique de mot de passe adaptée telle que recommandée par l’ANSSI permet déjà de minimiser le risque.
Dans ce contexte, l’ANSSI a choisi de mettre à jour ses recommandations concernant les mots de passe.
Nous pensons que le contexte actuel d’attaques par cryptolocker doit amener des réponses rapides et adaptées dans la politique de sécurité de l’entreprise. Extern IT vous accompagne dans cette démarche en vous proposant un accompagnement personnalisé et adapté à votre environnement.
L’authentification ne résiste plus aux nouvelles menaces
L’authentification par mots de passe est une méthode simple et peu coûteuse pour contrôler l’accès à un espace confidentiel. Cependant, elle présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.
81% des violations de données mondiales auraient pu être évitées si les bonnes pratiques en matière de mot de passe avaient été respectées, selon une étude de Verizon de 2021. En France, la CNIL a reçu 60% de notifications de piratage depuis le début de l’année et la plupart auraient pu être évités si les mots de passe avaient été gérés correctement.
La menace accrue sur la sécurité des données a incité la CNIL à mettre à jour sa recommandation de 2017 sur les mots de passe. Cette nouvelle version permet aux professionnels et particuliers d’accéder à des outils pratiques, fiables et à jour.
Cette recommandation n’est pas une norme mais reflète l’état de l’art sur lequel tout responsable de traitement peut se baser pour mettre en place une authentification par mot de passe. Ils peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité équivalent ou supérieur.
Les nouvelles mesures de sécurité
La CNIL recommande l’utilisation d’authentification à double facteur ou certificats électroniques plutôt que mots de passe car ils sont plus sécurisés.
Le RGPD stipule à l’article 28 qu’il faut assurer le respect de ces recommandation même si les opérations sont sous-traitées. Les rôles et responsabilités doivent être précisément définis et formalisés dans ce cas, ainsi que le niveau de sécurité requis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer.
Les éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. La documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, de stockage et de transmission des mots de passe.
Comment minimiser les risques
Rappelons que la mauvaise gestion des mots de passe expose les utilisateurs à des risques sur leurs données personnelles.
- la simplicité du mot de passe ;
- l’écoute sur le réseau afin de collecter les mots de passe transmis ;
- la conservation en clair du mot de passe ;
- la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).
La longueur et la complexité du mot de passe sont des facteurs qui rendent plus difficile sa devinette et par conséquent diminuent le risque d’une réussite d’attaque informatique par force brute.
Évolutions de la recommandation depuis 2017
En octobre 2021, la CNIL a lancé une consultation publique sur son projet de nouvelle recommandation concernant les mots de passe.
Les retours ont permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi d’en ajouter de nouvelles, considérées comme des bonnes pratiques. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, jugé trop faible.
La nouvelle recommandation apporte les modifications suivantes par rapport à la précédente de 2017 :
- Au lieu de se concentrer sur une longueur minimale, les recommandations concernent le degré de complexité du mot de passe (l’entropie), ce qui permettra aux utilisateurs de définir des politiques de mots de passe plus adaptées avec des mots de passe qui ne pourront plus être « devinés ».
- Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
- Les comptes utilisateurs classiques ne seront plus soumis à l’obligation de renouvellement des mots de passe (cependant, les comptes à « privilèges », tels que les comptes administrateurs ou ceux avec des droits étendus, devront toujours être renouvelés).
Devinabilité / entropie
La robustesse d’un mot de passe s’évalue en se basant sur des critères de complexité et de longueur. La recommandation de 2017 a défini des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Cependant, cette définition manquait de flexibilité, d’où l’introduction du concept d’« entropie » afin de pouvoir comparer la robustesse de différentes politiques de mots de passe.
L’« entropie » est ici définie comme la quantité de hasard. Pour un mot de passe, cela correspond à son degré d’imprédictibilité théorique. Un mot de passe avec entropie idéale serait généré aléatoirement sans être limité par des règles de construction. Par exemple, choisir un mot de passe parmi les mots d’une langue revient à limiter très fortement le nombre de combinaisons de lettres possibles.
De nombreux utilisateurs ont tendance à choisir des mots de passe « simples à retenir » ce qui facilite les attaques dites « par dictionnaire » : au lieu de tester par force brute l’intégralité des combinaisons possibles, seuls un nombre très limité de mots du dictionnaire ou de prénoms sont testés, ainsi que leurs dérivations « classiques » (par exemple, du mot « cybersécurité », seront dérivées et testées des combinaisons telles que « cyb3r5écur1t3 », « cybersécurité007 », « CyBeRsEcUrItE », etc.). Lors des campagnes d’ingénierie sociale mises en oeuvre par nos experts en cybersécurité, ces mots de passe sont les premiers à ouvrir une brêche.
La recommandation est de définir un niveau minimal d’entropie de 80 bits pour un mot de passe. Cela laisse à chacun le loisir de définir sa propre politique de mot de passe. Ainsi, les trois de l’ANSSI ont tous une entropie équivalente et répondent aux préconisations de la nouvelle recommandation :
Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.
Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.
Devinabilité
La « devinabilité » est une nouvelle façon de déterminer la solidité d’un mot de passe. Cela consiste à évaluer, avec des algorithmes dédiés, combien de temps il faudrait à un pirate informatique pour retrouver le mot de passe. Ce n’est donc pas seulement une question de savoir si le mot de passe respecte une politique de complexité minimale, mais bien d’évaluer sa résistance.
Un niveau de résistance aux attaques minimale de 1014 essais est recommandé par la littérature sur le sujet. Cependant, les outils pour mettre en œuvre cette méthode plus fiable que d’autres méthodes ne sont pas encore disponibles pour des utilisateurs francophones. La CNIL ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation.
Elle évaluera les nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles.
La fin du renouvellement périodique
En effet, de plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure efficace. Les stratégies mises en place par les utilisateurs pour s’adapter aux contraintes des politiques d’expiration de mots de passe sont prévisibles et font baisser le niveau de sécurité effectif. La majorité des participants modifient légèrement leur mot de passe précédent, par exemple en ajoutant un chiffre à la fin. Les bénéfices en termes de sécurité sont donc minimes et largement surpassés par l’expérience utilisateur négative.
L’ANSSI a adopté une nouvelle position en 2021 dans son guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe », en recommandant aux utilisateurs de ne pas modifier leurs mots de passe régulièrement. La CNIL a cosigné ce guide.
La recommandation est donc de ne plus demander aux comptes d’administration une telle modification périodique. Notons que les risques liés à un l’accès à un compte à privilège nécessiteront souvent une authentification plus robuste qu’une simple authentification par mots de passe.
Le stockage des mots de passe
L’ANSSI recommande de ne jamais stocker les mots de passe en clair et, lorsque l’authentification a lieu sur un serveur distant ou que cela est techniquement faisable, de les transformer au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Il existe actuellement des fonctions spécialisées permettant de satisfaire ce besoin, telles que scrypt ou Argon2.