Il n’existe pas de mot de passe parfait, mais en jouant sur la complexité et la longueur, cela permet de diminuer le risque d’attaque. Selon la CNIL (commission nationale de l’informatique et des libertés), 4 facteurs de risques sont à prendre en compte :

• La simplicité du mot de passe
• L’écoute sur le réseau dans le but de collecter les mots de passe transmis
• La conservation de vos mots de passe (de façon non sécurisée)
• La faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (comme les questions « secrètes »)

Aujourd’hui, ce n’est pas un secret, nos mots de passe sont la cible principale des cyberattaques. En 2021, 81% des notifications de violations de données mondiales provenaient des mots de passe.

Dans cette dynamique de lutte contre les cyberattaques, la CNIL a mis à jour des recommandations datant de 2017 sur les mots de passe. En ayant le recul sur ces 4 dernières années, la CNIL a pu développer des recommandations en fonction des situations auxquelles nous avons tous été confrontés. Le socle minimal applicable à l’ensemble des organismes prend donc désormais en compte l’évolution des connaissances et des pratiques.

Selon la CNIL, « cette recommandation n’est pas une norme, mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du RGPD (règlement général sur la protection des données) quand il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. » Il est également possible de mettre en place d’autres mesures de sécurité telles que l’authentification à double facteurs afin d’optimiser votre sécurité.

Les nouvelles recommandations

Après avoir pris en compte l’évolution des connaissances et des pratiques, les nouvelles recommandations apportent les modifications suivantes :

• Le degré de complexité du mot de passe (l’entropie) et non sur sa longueur ;
• La fameuse « information secrète » en complément du mot de passe n’existe plus ;
• L’abandon de l’obligation de renouvellement des mots de passe sous une certaine période pour les comptes utilisateurs classiques. (Il reste requis pour les comptes administrateurs ou avec des droits étendus);
• La mise en place d’une liste de mots de passe complexes mais connues : à éviter ;
• L’introduction de bonnes pratiques à adopter lors de la création et/ou le renouvellement d’un mot de passe. (Gestionnaire de mot de passe, non recours à des informations évidentes)

L’entropie peut être comparée à la quantité de hasard d’un mot de passe. Cet élément est mis en place pour résister à de fortes attaques. Généralement, toute règle de construction d’un mot de passe conduit à limiter l’espace des choix possibles. Prenons l’exemple de la langue dans laquelle est écrit le mot de passe, le nombre de combinaisons de lettres possibles est limité. Chaque mot est construit avec une association de syllabes. Lorsqu’un utilisateur décide de choisir un mot de passe facile à retenir, il augmente les chances de subir une attaque par « dictionnaire ». Un mot de passe tel que « papillon » à de nombreuses combinaisons comme « p4p1ll0n », « papillon01 » ou encore « pApIllOn».

Le petit + :

Voici 3 exemples équivalent en termes d’entropie qui répondent aux recommandations de la CNIL :

• Exemple 1 : 12 caractères minimum avec des majuscules, des minuscules, des chiffres et caractères spéciaux compris dans une liste de 37 caractères.
• Exemple 2 : 14 caractères minimum avec des majuscules, des minuscules et des chiffres, sans caractère obligatoire.
• Exemple 3 : une phrase de passe avec, au moins, 7 mots (ex : LeGroupeCapInfovotrepartenaireinformatique 😉)

Afin de renforcer la sécurité de vos équipements, le Groupe Cap Info vous propose toute une gamme de produits comprenant des antivirus, des VPN, des pares-feux, mais aussi des audits de sécurité. Retrouvez tous nos produits sur la page https://groupecapinfo.fr/infrastructure-reseaux/securite-informatique/