UVET France - MOTS DE PASSE : UNE NOUVELLE RECOMMANDATION POUR MAITRISER SA SECURITE

14/08/2024

Blog

MOTS DE PASSE : UNE NOUVELLE RECOMMANDATION POUR MAITRISER SA SECURITE

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Une actualisation nécessaire

Des menaces accrues sur la sécurité des données

Basée sur la connaissance d’un secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.

En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL a donc disposé d’un recul suffisant lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution des connaissances et des pratiques.

Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Les autres mesures de sécurité à mettre en place

La CNIL a notamment toujours considéré que d'autres moyens d’authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations.

De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.

Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

la simplicité du mot de passe ;
l’écoute sur le réseau afin de collecter les mots de passe transmis ;
la conservation en clair du mot de passe ;
la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La CNIL avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, considéré comme trop faible.

Source : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Éléments similaires (par tag)

SNCF : CARTE LIBERTE TGV INOUI 299€
Dans Blog

Par ALLAIN FABIENNE
La Carte Liberté TGV INOUI est amortie à compter de 3 allers-retours par an, nos équipes UVET France sont à votre disposition pour vos renouvellements et souscriptions.

Pour les clients entreprise, la Carte Liberté TGV INOUI est proposée au prix de 299€ (avec code FCE) soit une réduction de 50€ par rapport au prix grand public. La carte est rentabilisée dès 3 allers-retours en moyenne (pour un client voyageant en 2^nde et 1^ère classe).

L'activation de la carte est possible jusqu’à 5 mois après la date d’achat.

Et pour que chaque voyage devienne un moment privilégié, tous les détenteurs de la Carte Liberté TGV INOUI seront invités automatiquement au Programme Grand Voyageur ! Les clients pourront cumuler des points primes sur leur achats et trajets réalisés en France ou sur certains trajets internationaux. 1 € dépensé = 4 points en 1ière/2 points en 2nde : possible de dépenser mes points pour renouveler ma carte Liberté TGV INOUI ou acheter des billets !

Quant aux avantages de la Carte Liberté TGV INOUI ils restent inchangés, la carte permet de voyager toute l'année à prix réduit en France et en Europe, sur TGV INOUI, Intercités et TER (selon les régions). La carte donne accès à deux tarifs :

Le tarif Liberté, le meilleur tarif pour les déplacements professionnels (disponible tous les jours uniquement pour le titulaire de la carte)
- -45% en 1ère classe et 60 % en 2nde classe sur le tarif Business Première pour le titulaire de la carte uniquement
- Une offre de restauration adaptée à chaque moment de la journée sur la relation Paris-Lyon*
- Un espace calme et confortable à bord*
- L'accès aux Salons Grands Voyageurs TGV INOUI *
- L'échange et le remboursement gratuits jusqu'à 30 minutes après le départ, même sur train complet (sans garantie de place assise)
* Uniquement disponible pour les billets de 1ère classe

Le tarif Avantage, des remises idéales pour les voyages personnels (Disponible pour le titulaire et ses accompagnants, sous conditions)
- -30 % pour le titulaire et un adulte accompagnant ainsi que -60% pour les enfants voyageant avec le titulaire (jusqu’à 3 enfants âgés de 4 à 11 ans)
- Utilisable sur trajet simple : le samedi ou le dimanche / Aller-retour : incluant au moins la nuit du vendredi, samedi ou dimanche / Tous les jours : si accompagné d’un enfant
- 15% de réduction sur les services TGV INOUI (au Bar TGV INOUI, Mes Bagages, Junior & Cie, et des offres partenaires supplémentaires)
- Possibilité de faire bénéficier ses accompagnants de réductions
- Echange et remboursement sans frais jusqu’à 7 jours inclus avant le départ
Source : Feria.SNCF.com
NOUVEAUTE TRAIN + AIR : OUIGO DISPONIBLE SUR CERTAINES LIGNES AVEC AIR FRANCE
Dans Blog

Par ALLAIN FABIENNE
Nous avons le plaisir de vous informer que des trains OUIGO sont désormais proposés à la vente dans l’offre Train + Air, pour des voyages à partir du 16 décembre 2025, en complément des TGV INOUI.

Dans un premier temps, cette nouveauté concerne uniquement la ligne entre la gare TGV de Paris Charles de Gaulle 2 et :
- Marseille Saint-Charles
- Aix-en-Provence TGV
- Avignon TGV
D’autres gares du réseau Train + Air proposeront progressivement cette offre OUIGO.

Principales différences entre TGV INOUI et OUIGO dans l’offre Train + Air :

TGV INOUI :
- Classes de service :
  
  1ère classe pour les clients Air France en cabine Business ou La Première.
  2nde classe pour les clients Air France en cabine Premium Economy ou Economy.
- Restauration : « Le Bar » avec un choix de plats chauds, salades, sandwichs, desserts et boissons (payant), sur place ou à emporter.
- Wifi gratuit à bord.
OUIGO :
- Une seule classe de service, équivalente à une 2nde classe.
- Pas de service de restauration à bord.
- Wifi gratuit à bord.
Franchise bagage (identique pour les deux offres) :

2 bagages par personne aux dimensions maximales de 70 x 90 x 50 cm.

1 bagage à main (40 x 30 x 15 cm).

À noter :
- Merci de bien informer vos clients du type de train sélectionné lors de la réservation, qu’il s’agisse d’un TGV INOUI ou d’un OUIGO.
- En cas de perturbation, les clients TGV INOUI peuvent être reportés sur un OUIGO (et inversement) selon le prochain train disponible.
- Les e-billets TGV INOUI et OUIGO peuvent être émis de la même manière sur les bornes Train + Air dans les gares TGV.
Source : AIR FRANCE INFO DISTRIBUTION
UVET France présente le FORUM BIZTRAVEL 2025
Dans Blog

Par ALLAIN FABIENNE

Participer : https://www.piattaformabiztravelforum.it/

Découvrez l'agenda : https://new.biztravelforum.it/#agenda

Source : UVET France
DEPUIS LE 1ER OCTOBRE 2025 E-ARRIVAL CARD OBLIGATOIRE POUR ENTRER EN INDE
Dans Blog

Par ALLAIN FABIENNE

Les voyageurs étrangers et les titulaires d’une carte OCI (Overseas Citizen of India) doivent remplir un formulaire électronique (e‑Arrival Card) au plus tard 72 heures avant leur entrée en Inde. Le formulaire collecte des informations telles que le numéro de passeport, la nationalité, le motif du séjour, l’adresse en Inde et les coordonnées. Il remplace l’ancien formulaire papier qui était généralement rempli à l’arrivée ou pendant le vol.

L’e‑Arrival Card peut être envoyée soit via le site Internet officiel des autorités indiennes, soit directement via l’application Visa Su-Swagatam.

https://indianvisaonline.gov.in/earrival/

Les citoyens indiens ne sont pas tenus de remplir l'e-Arrival Card.

Source : https://business.lufthansagroup.com/
NOUVEAU SYSTEME D’ENTREE ET DE SORTIE (EES) DE L’UNION EUROPENNE DEPUIS LE 12 OCTOBRE 2025
Dans Blog

Par ALLAIN FABIENNE
Le nouveau « système d’entrée/de sortie » (EES) est un système informatique automatisé qui enregistre les entrées et sorties de voyageurs provenant de pays situés en dehors de l’espace Schengen, aux frontières extérieures à l’espace Schengen. Le système EES entièrement automatisé remplace l’application de tampons manuels sur les passeports et simplifie le processus de contrôle aux frontières.

L’EES entre en service dès le 12 octobre 2025. Les pays européens utilisant l’EES¹ mettront progressivement le système en place à leurs frontières extérieures. La collecte des données sera ensuite introduite aux points de passage frontaliers. La mise en œuvre intégrale du système s’effectuera d’ici le 10 avril 2026.

De plus amples informations sur le système d’entrée/de sortie (EES) sont également disponibles sur le site de l’Union européenne.

Le système d’entrée/de sortie (EES) s’applique aux voyageurs qui ne sont pas ressortissants d’un pays de l’Union européenne ni de l’Islande, du Liechtenstein, de la Norvège ou de la Suisse (“ressortissants de pays tiers”)² et qui :
- on besoin d’un visa de courte durée pour se rendre dans les pays européens utilisant l’EES, ou
- n'ont pas besoin de visa pour un séjour de courte durée ne dépassant pas 90 jours au cours d’une période de 180 jours dans l’espace Schengen.
Bon à savoir : l’entrée dans l’espace Schengen s’effectue toujours au premier aéroport d’arrivée, même si un vol de correspondance en Europe suit. La sortie est toujours enregistrée au dernier aéroport avant de quitter l’espace Schengen.

^{2 Ressortissants de pays tiers : voyageurs qui ne possèdent pas la nationalité d’un pays de l’Union européenne (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie et Suède) ni celle de l’Islande, du Liechtenstein, de la Norvège ou de la Suisse.}

Programme "Smart Borders" à partir de 2026 – ETIAS

En plus du système d’entrée/de sortie (EES), le système ETIAS sera également bientôt mis en place. ETIAS est l’acronyme de European Travel Information and Authorisation System. À partir de fin 2026, les ressortissants non européens exemptés de visa (p. ex., originaires des États-Unis, du Canada, d’Australie, du Japon) devront demander une autorisation ETIAS (une nouvelle autorisation de voyage électronique) avant d’entrer dans l’espace Schengen européen. Actuellement, les voyageurs n’ont aucune mesure à prendre. Des informations détaillées seront publiées avant la date de mise en place de ce système.

Source : https://business.lufthansagroup.com/