14/08/2024
Blog

MOTS DE PASSE : UNE NOUVELLE RECOMMANDATION POUR MAITRISER SA SECURITE

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Une actualisation nécessaire

Des menaces accrues sur la sécurité des données

Basée sur la connaissance d’un secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.

En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL a donc disposé d’un recul suffisant lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution des connaissances et des pratiques.

Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Les autres mesures de sécurité à mettre en place

La CNIL a notamment toujours considéré que d'autres moyens d’authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations.

De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.

Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

  • Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
  • Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
  • L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
  • L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
  • Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La CNIL avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, considéré comme trop faible.

Source : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Éléments similaires (par tag)

  • LE LUXEMBOURG PRATIQUEMENT SANS TRAIN JUSQU’A LA MI-SEPTEMBRE
    Dans Blog
    Par

    D'importants travaux de maintenance sur les voies au Luxembourg vont conduire à une quasi suspension du trafic ferroviaire du 11 juillet au 14 septembre. Ce qui affectera aussi les parcours en TGV depuis Paris. 

    Les voyageurs souhaitant emprunter des trains depuis, vers ou à l’intérieur du Luxembourg vont devoir s’attendre à quelques semaines difficiles. Les TGV entre Paris et Luxembourg via Metz et Thionville vont notamment subir des ajustements. Les voyageurs bénéficieront de navettes bus « TGV » au départ de Bettembourg à destination de la capitale luxembourgeoise et de Thionville.

    En effet, pour continuer à garantir l’état impeccable des infrastructures ferroviaires et répondre aux besoins de mobilité croissants, quatre lignes des CFL vont subir des fermetures pour cause de travaux durant différentes périodes entre le 11.07. et le 14.09.2025 (inclus). Les lignes concernées sont importantes puisqu’elles relient le Grand-Duché à ses voisins. La seule exception est la ligne reliant Luxembourg à Arlon en Belgique, qui ne subit aucune altération de service cet été.

    Les quatre axes suspendus sont :

    • Luxembourg – Esch/Alzette – Rodange du 11.07. au 14.09.2025
    • Luxembourg – Thionville – Metz du 11.07. au 14.09.2025
    • Luxembourg – Ettelbruck –Troisvierges – Gouvy du 19.07. au 10.08.2025
    • Luxembourg – Wasserbillig – Trèves (Allemagne) du 23.08. au 14.09.2025

    Ces travaux se déroulent durant les périodes de congés scolaires. Etant en effet une période de moindre affluence, plus de bus d’alternatives sont disponibles. Quelque 200 conductrices et conducteurs vont réaliser plus de 1100 courses journalières durant l’été en bus. Cette offre de remplacement est étalée sur différentes gares à Luxembourg Ville, pour éviter un engorgement de la gare routière. Les bus partiront ou arriveront des gares Rocade (Bonnevoie), Boulevard Paul Eyschen (Limpertsberg) et Luxexpo (Kirchberg).
    Le détail des bus de remplacement est disponible dans la recherche horaire sur www.cfl.lu ou via les applications CFL mobile ou Mobiliteit.lu. Les CFL estiment que les temps de parcours vont se rallonger entre 25 et 45 minutes.

    Source : https://www.voyages-d-affaires.com/

  • GREVE DES CONTROLEURS AERIENS : JUSQU'A 50% DE VOLS ANNULES LE 3 JUILLET
    Dans Blog
    Par

    Un préavis de grève nationale a été déposé par deux syndicats minoritaires parmi les contrôleurs aériens, pour les journées des 3 et 4 juillet 2025, en France métropolitaine et outre-mer.

    Afin de limiter les perturbations du trafic, la DGAC appliquera les dispositions du service minimum dans les centres en route de la navigation aérienne (CRNA) et dans les services de navigation aérienne (SNA) des aéroports où les dispositions réglementaires le permettent. La DGAC a demandé aux compagnies aériennes de réduire leur programme de vols pour la journée du jeudi 3 juillet 2025 de :

    • 50% sur les aéroports de Nice, Bastia et Calvi ;
    • 30% sur les aéroports de Lyon, Marseille, Montpellier, Ajaccio et Figari ;
    • 25% sur les aéroports de Paris-Charles-De Gaulle, Paris-Orly et Beauvais.

    En dépit de ces mesures préventives, des perturbations et des retards importants sont à prévoir sur l’ensemble des aéroports français, est-il précisé à travers un communiqué. La DGAC invite les passagers qui le peuvent à reporter leur voyage et à s’informer auprès de leur compagnie aérienne pour connaître l’état de leur vol.

     

    Votre agence UVET France habituelle est à votre disposition

     

    Source : https://www.deplacementspros.com/

     

  • QATAR AIRWAYS : REOUVERTURE DE L'ESPACE AERIEN DU QATAR
    Dans Blog
    Par

    Qatar Airways confirme la reprise des vols à la suite de la réouverture de l'espace aérien de l'État du Qatar.

    À l'heure actuelle, notre objectif principal est d'aider les passagers à rentrer chez eux ou à poursuivre leur voyage de manière sûre et fluide.

    Nous travaillons sans relâche avec les autorités gouvernementales et les organismes compétents afin de rétablir les opérations dans les plus brefs délais.

    Nous avons également déployé du personnel supplémentaire au sol à l'Aéroport International Hamad ainsi que dans d'autres aéroports clés pour assister les passagers touchés, en minimisant les perturbations et en offrant le plus grand soin et soutien à tous nos clients.

    Nous recommandons aux passagers de consulter qatarairways.com ou l' application mobile de Qatar Airways avant leur voyage, car nous anticipons des retards importants dans notre programme de vols.

    La sécurité de nos passagers et de notre équipage reste toujours notre priorité absolue.

    En savoir plus : Consignes pour les passagers – Options de modifications et de remboursement en raison de la situation affectant la sécurité.

    Votre équipe Opérations Commerciales Europe de l'Ouest

     

    Source : QATAR AIRWAYS

  • AIR FRANCE A PRIS LA DECISION D'ANNULER SES PROCHAINS VOLS PARIS-DUBAI ET PARIS-RIYAD APRES LES FRAPPES AMERICAINES EN IRAN
    Dans Blog
    Par

    « En raison de la situation actuelle, la compagnie a décidé d’annuler ses vols de et vers Dubaï ainsi que ses vols de et vers Riyad des 22 et 23 juin 2025 », indique-t-elle à L’Echo touristique. La décision a été prise dimanche « après-midi », nous précise un porte-parole de la compagnie. 

    Les clients peuvent demander une modification ou un remboursement

    Ainsi sont annulés l’AF662 de Paris-Charles de Gaulle à Dubaï (DXB) des 22 et 23 juin 2025 (heure de Paris), ainsi que les vols retour AF655, Dubaï-Paris Charles de Gaulle, des 23 et 24 juin 2025 (heure de Dubaï). Air France renonce également à l’AF684 de Paris-CDG à Riyad (RUH) du 22 juin et le vol retour AF685, Riyad-Paris Charles de Gaulle du 23 juin.

    Le groupe a informé les clients concernés par les annulations. Naturellement, ils peuvent modifier sans frais leur voyage ou demander un avoir ou un remboursement intégral dans le cas où ils ne voyageraient plus.

    Air France « rappelle que la sécurité de ses clients et de ses équipages est sa priorité absolue ».

    Prolongation des annulations et souplesse commerciale

    Lundi, Air France a décidé de prolonger l’annulation de ses vols de et vers Dubaï et Riyad jusqu’au mardi 24 juin inclus. Les personnes qui détiennent une réservation pour des vols de/vers Dubaï et Riyad prévus entre le 25 juin et le 29 juin inclus peuvent toutefois « reporter » ou « annuler » leur voyage sans frais.

    De plus, elle stoppe ses liaisons entre Paris-Charles de Gaulle et Tel Aviv (Israël) jusqu’au lundi 14 juillet 2025 inclus. « La reprise des opérations restera soumise à une évaluation de la situation sur place », est-il précisé. Là aussi, des mesures commerciales sont déployées pour que les clients « en possession d’une réservation pour des vols de/vers Tel Aviv entre le 15 juillet et le 31 juillet inclus » puissent « reporter ou annuler leur voyage sans frais ».

    Enfin, la compagnie a suspendu ses liaisons de/vers Beyrouth jusqu’au mercredi 25 juin inclus. Les passagers détenteurs d’une réservation pour des vols de/vers Beyrouth prévus entre le 24 juin et le 29 juin inclus peuvent « reporter ou annuler leur voyage sans frais ».

     

    Source : https://www.lechotouristique.com/

  • TRENITALIA A L'ASSAUT DES LA SNCF SUR PARIS-MARSEILLE
    Dans Blog
    Par

    La compagnie ferroviaire italienne Trenitalia a débuté dimanche sa liaison entre les deux villes à raison de 4 allers-retours par jour.

    C’est une nouvelle étape dans la bataille qui oppose désormais Trenitalia à la SNCF sur ses axes les plus rentables. Après le Paris-Lyon initié fin 2021, la compagnie italienne a débuté dimanche ses dessertes à grande vitesse en 3h30 entre les gares de Paris-Lyon et Marseille-Saint-Charles. L’inauguration en a été faite en grande pompe avec la présence d’élus locaux et d’Edoardo Rixi, le vice-ministre italien des infrastructures et des transports. Trenitalia attaque ce marché avec des prix attractifs pour remplir ses Frecciarossa (« Flèche rouge »), à partir de 27€ le trajet simple, mais aussi quatre allers-retours quotidiens et des arrêts dans les gares de Lyon Saint-Exupéry, Avignon TGV et Aix-en-Provence TGV.

    Ainsi, Trenitalia dessert largement la capitale des Gaules avec Lyon Part-Dieu, Lyon Perrache et désormais son aéroport international. Un atout pour la clientèle affaires. Trenitalia opérera sur Paris-Marseille des rames doubles sur certains départs, si le remplissage est au rendez-vous, mais aussi pour booster ce dernier par une politique de volume reposant sur des tarifs inférieurs à ceux de la SNCF. Trenitalia promet en outre des billets échangeables à volonté avec seulement un réajustement tarifaire possible. Enfin, l’annulation est possible jusqu’au départ du train avec une retenue de 20% du prix du billet.

     

     

    « Nous espérons remplir nos trains à hauteur de 60% la première année sur Paris-Marseille, ce qui représente un million de passagers supplémentaires », précise Fabrice Toledano, le directeur commercial et marketing France de Trenitalia qui a déjà augmenté de 40% son trafic sur Paris-Lyon en 2024. Cinq ans après l’ouverture de la concurrence ferroviaire, Trenitalia demeure le principal challenger de la SNCF en France, la Renfe peinant toujours à programmer des départs de Paris vers l’Espagne.

     

    Source : https://www.voyages-d-affaires.com/

Plus dans cette catégorie : « L’UNION EUROPEENNE LIMITE DE NOUVEAU LES CONTENANTS LIQUIDES EN AEROPORT DE NOUVELLES LIGNES CET HIVER POUR VOLOTEA DEPUIS LA FRANCE »
Retour en haut

Archives

Afin d'améliorer votre expérience, nous utilisons des cookies pour conserver les informations de connexion et collecter les statistiques en vue d'optimiser les fonctionnalités du site. Cliquez sur "Accepter et continuer" pour accepter les cookies et poursuivre directement sur le site ou cliquez sur "En savoir plus" pour consulter en détail les descriptions des types de cookies. En savoir plus