ACCUEIL MISSIONS PLAN D'ACCÈS CONTACT ISANET PAYE ISANET COMPTA UK SITE IN ENGLISH



Membre de

PRAXITY

> Mention légale



BOIS GUILLAUME
ROUEN
DIEPPE
EU
PONT L'EVEQUE
LIVAROT
YVETOT
CANY BARVILLE







    ARCHIVES >  INFORMATIQUE

 
Mots de passe : les conseils de la Cnil
Le mot de passe, en raison de sa simplicité et de son faible coût de mise en place, reste l’outil d’identification le plus utilisé, notamment sur Internet. Or, constate la Commission nationale de l’informatique et des libertés (Cnil), ce système offre un niveau de sécurité faible s’il n’est pas administré par les entreprises de manière rigoureuse. Une recommandation fixant les mesures minimales à établir en matière de mots de passe vient dès lors d’être adoptée par la Commission. Des conseils simples et pertinents qui ne peuvent qu’intéresser tout gestionnaire de base de données.
Des mots de passe complexes

Imposer l’adoption d’un mot de passe long et composé de différents types de signes est une règle de sécurité essentielle.

La simplicité du mot de passe reste la principale vulnérabilité de ce mode d’identification. Pour réduire ce risque, la Cnil précise que les gestionnaires des bases de données doivent exiger que le mot de passe créé par leurs utilisateurs soit suffisamment complexe pour être difficile à casser.

Plusieurs hypothèses sont envisagées par la Cnil. La première est celle d’un système dont l’accès est protégé par un mot de passe seul. Dans cette situation, ce dernier doit être composé au minimum de 12 signes et contenir des majuscules et des minuscules, des chiffres et des caractères spéciaux. Pour limiter les risques de voir les utilisateurs composer des mots de passe trop simples et donc mettre en danger la base de données, la Commission invite les entreprises à leur livrer des conseils de conception. Un générateur de mots de passe, baptisé « Phrase2passe », est en outre proposé en libre accès sur le site de la Cnil . Disponible sous la forme d’une extension logicielle en JavaScript, il peut être intégré au sein des sites des entreprises qui le souhaitent.

Mots de passe et mesures complémentaires

Limiter le nombre de tentatives de connexion ou mettre en place un captcha permet de renforcer la sécurité d’un accès par mot de passe.

Imposer la création d’un mot de passe de 12 signes n’est pas la seule option que les entreprises peuvent retenir lorsqu’elles envisagent de sécuriser l’accès à leur base de données. Ainsi, la Cnil évoque des solutions composites, c’est-à-dire associant à un mot de passe un autre système d’identification. Avec cette approche, le mot de passe que l’utilisateur devra concevoir et retenir sera plus court et plus simple. Plus la mesure de protection complémentaire retenue sera solide, moins le mot de passe exigé sera complexe. De 12 signes minimum, il pourra ainsi passer à une simple série de 4 chiffres.

La Cnil cite différents types de mesures de sécurité complémentaires :

- le blocage ou la temporisation de l’accès après plusieurs échecs de connexion ;

- la mise en place d’un « captcha » pour contrer les attaques via un « robot » ;

- l’association au mot de passe d’un identifiant spécifique (lui-même composé de plus de 7 signes) ;

- l’identification de l’utilisateur via son adresse IP ou son adresse Mac ;

- l’identification de l’utilisateur via un matériel détenu en propre (carte SIM, carte bancaire…).

Dans tous les cas

Lors de leur transmission ou de leur stockage, les mots de passe doivent toujours être chiffrés.

La Cnil précise également que la procédure d’authentification et les conditions de conservation des mots de passe doivent être sécurisées. Elle rappelle ainsi qu’il est nécessaire que la transmission des mots de passe soit chiffrée. Et qu’en outre, une fois stockés, ces derniers soient sécurisés. Concrètement, cela signifie, d’une part, qu’ils doivent être stockés dans un espace distinct de celui qui accueille les éléments de vérification desdits mots de passe (réponses aux questions posées pour retrouver un mot de passe oublié, par exemple), et d’autre part, qu’ils doivent, là aussi, être chiffrés. La Commission précise, par ailleurs, qu’en aucun cas un mot de passe ne doit être communiqué en clair à l’utilisateur par l’entreprise gestionnaire de la base de données.

Quant au renouvellement du mot de passe, il doit, rappelle notamment la Cnil, intervenir selon « une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé ». De l’aveu de nombreux spécialistes de la sécurité, imposer un rythme trop élevé de changement de mot de passe est contre-productif. Le plus souvent, cela conduit les utilisateurs à ne modifier qu’à la marge leurs anciens mots de passe et ainsi à faire baisser le niveau de sécurité attendu. Changer de mot de passe une fois par an est déjà considéré comme un effort par beaucoup d’utilisateurs.

Et pour les utilisateurs ?

Concevoir des mots de passe forts et parvenir à les retenir est loin d’être simple.

Pour concevoir des mots de passe, la commission rappelle :

- qu’ils doivent être complexes (12 signes minimum et composés de différents types de signes : majuscules, minuscules, caractères spéciaux, signes de ponctuation…). Un générateur de mots de passe basé sur l’utilisation de la première lettre de chaque mot utilisé dans une phrase est, d’ailleurs, mis à disposition sur ledit site ;

- qu’ils doivent être impossibles à deviner (n’avoir aucun sens, ne contenir aucune information personnelle comme une date de naissance ou encore le prénom d’un enfant) ;

- que le même mot de passe ne doit pas servir à sécuriser plusieurs comptes afin d’éviter des « piratages en cascade » ;

- qu’il ne faut pas les noter en clair sur un Post-it ou dans un fichier enregistré sur un ordinateur ou un smartphone.

Pour ne pas les oublier, la Cnil conseille :

- d’adopter, une fois encore, la méthode de la première lettre de chaque mot. Cette dernière permettant de se souvenir d’une phase simple qui donne un mot de passe complexe. « Il était une fois l’Amérique et les 12 salopards sont mes films préférés. » donnant : « Iéufl’Ael12ssmfp. » ;

- de ne pas hésiter à utiliser un gestionnaire de mots de passe (coffre-fort virtuel permettant de mémoriser des milliers de mots de passe pour le compte d’un utilisateur). Une liste de gestionnaires de mots de passe est d’ailleurs proposée par la Cnil.

Article du 03/03/2017 - © Copyright Les Echos Publishing - 2017

haut de page




Archives...
 INFORMATIQUE

Imprimer un document à partir de son smartphone
17/11/2017
Renforcer son réseau grâce aux répéteurs Wi-Fi
20/10/2017
Les produits reconditionnés ont le vent en poupe
08/09/2017
Planifier ses réunions grâce à Doodle et à ses concurrents
30/06/2017
Qwant, un moteur qui respecte la vie privée
02/06/2017
Coup d’œil sur les serrures biométriques
05/05/2017
Bien gérer sa boîte de réception
31/03/2017
Mots de passe : les conseils de la Cnil
03/03/2017
Faire face aux cyberattaques
13/01/2017
Zoom sur le matériel informatique tout-terrain
16/12/2016
Un point sur l’iPhone 7
11/11/2016
Passer à la visioconférence
14/10/2016
Comment réagir face à un bad buzz ?
09/09/2016
Le Bon Coin : l’inattendu poids lourd du recrutement en ligne
08/07/2016
Protéger les données de son smartphone
03/06/2016
Attention aux rançongiciels
06/05/2016
Page pro sur Facebook : par où commencer ?
08/04/2016
Comment rédiger un tweet efficace
04/03/2016
Faire connaître son entreprise grâce à Google My Business
05/02/2016
Instagram : communiquer avec des images
08/01/2016
Edge : le nouveau navigateur de Microsoft
11/12/2015
Êtes-vous esclaves des e-mails ?
06/11/2015
Votre site est-il « mobile friendly » ?
02/10/2015
Comment bien utiliser les réseaux sociaux
28/08/2015
Cybercriminalité : comment se préserver
12/06/2015
Quelles solutions pour téléphoner en voiture ?
30/04/2015
Stratégie SEO : le poids des noms de domaine
03/04/2015
Big data : une révolution numérique
06/02/2015
Les drones s’invitent dans les entreprises
09/01/2015
Vol de téléphones portables
28/11/2014
Dites-le avec une infographie
24/10/2014
Les Mooc, outils de formation en ligne des salariés
26/09/2014
Transport de données : quel support choisir ?
29/08/2014
Améliorer la visibilité d’un site grâce au SEO
14/05/2014
Pourquoi utiliser Twitter ?
02/04/2014
Faites-vous connaître grâce à YouTube !
19/02/2014
L’intérêt des traducteurs automatiques
26/12/2013
Sauvegarder et archiver les données
30/09/2013
Faire de la publicité sur les réseaux sociaux
14/08/2013
Un site « responsive » : pour quoi faire ?
24/07/2013
Sécurisez vos portables !
28/06/2013
À quoi sert un code QR ?
21/05/2013
Attention à l’utilisation des serrures biométriques
27/03/2013
Faut-il passer à windows 8 ?
15/02/2013
Que faire du vieux matériel électronique ?
13/02/2013
Les nouveautés de l’Iphone 5
15/11/2012
Ordinateurs portables : attention au vol !
15/10/2012
Les nouvelles tablettes à clavier amovible
04/10/2012
Bien gérer ses mots de passe
04/10/2012
Stockez vos données sur le Net
02/08/2012
Les nouveaux outils de la mobilité
01/08/2012
Pourquoi créer un blog ?
28/06/2012
Optez pour un portable tout-terrain !
28/06/2012
Optimisez votre site grâce à Google Analytics  !
28/06/2012
L’interdiction des avertisseurs de radars
18/04/2012
Testez la dictée électronique !
17/04/2012
Google+ ouvre ses pages à votre entreprise !
06/02/2012
Faites connaître votre commerce avec Google !
11/12/2011
Sachez tirer profit des réseaux sociaux !
06/07/2011




© 2009-2017 - Les Echos Publishing - mentions légales