14/08/2024
Blog

MOTS DE PASSE : UNE NOUVELLE RECOMMANDATION POUR MAITRISER SA SECURITE

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Une actualisation nécessaire

Des menaces accrues sur la sécurité des données

Basée sur la connaissance d’un secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.

En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL a donc disposé d’un recul suffisant lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution des connaissances et des pratiques.

Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Les autres mesures de sécurité à mettre en place

La CNIL a notamment toujours considéré que d'autres moyens d’authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations.

De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.

Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

  • Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
  • Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
  • L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
  • L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
  • Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La CNIL avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, considéré comme trop faible.

Source : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Éléments similaires (par tag)

  • QUE FAIRE POUR EVITER LES EFFETS DU DECALAGE HORAIRE OU « JET LAG » ?
    Dans Blog
    Par

    Décalage horaire : astuces pratiques et organisationnelles pour réduire le « Jet Lag »

    Avant de prendre l'avion pour une destination assez lointaine, organisez-vous de façon à atténuer ou écourter les effets gênants du décalage horaire.

    Avant le départ en voyage 

    Choisissez si possible un vol de jour, ce qui permet de limiter la dette de sommeil.

    En cas d’évènement important à destination (compétition sportive, conférence, etc.), prenez si possible un vol qui permette d’arriver quelques jours avant pour que l’organisme ait pu s’adapter et ne soit plus affecté par le décalage horaire.

    Essayez de modifier progressivement quelques jours avant le départ vos heures de coucher, de lever et des repas, pour anticiper le rythme local. Par exemple, décalez votre heure de coucher d’une heure par jour dans le même sens que celle de la destination d’arrivée.

    Calez-vous le plus possible sur le nouveau rythme horaire (repas, lever, coucher, etc.).

    Pendant le voyage

    Pendant le voyage en avion, mettez votre montre à l’heure du pays de destination et essayez de respecter les horaires veille / sommeil du pays de destination et profitez du vol pour vous reposer.

    Hydratez-vous régulièrement, évitez l’alcool et tous les excitants comme le café ou le thé.

    Si un repas est servi à bord, essayez de manger en vous calant sur l’horaire de destination.

    À l’arrivée

    Une fois dans le pays de destination, faites une courte sieste (20-30 minutes) si besoin et réglez votre rythme de sommeil le plus rapidement possible sur l’heure locale.

    Prenez vos repas aux heures locales.

    Selon le lieu d’arrivée, choisissez vos moments d’exposition en extérieur à la lumière naturelle et portez des lunettes de soleil pour réduire l’exposition à d’autres moments. Ainsi :

    • pour un voyage vers l’est, exposez-vous à la lumière le matin, promenez-vous dehors avant le déjeuner et mettez des lunettes de soleil l’après-midi ;
    • à l’opposé, pour un voyage vers l’ouest, évitez la lumière vive le matin, sortez l’après-midi si possible sans lunettes de soleil et exposez-vous à la lumière vive le soir pour vous aider à retarder votre coucher.

    Évitez toute activité physique importante et toute activité potentiellement stressante (jeux vidéo par exemple) dans les heures précédant le coucher.

    Vous ne partez que 2 à 3 jours dans un pays avec décalage horaire

    Dans ce cas conservez le rythme de votre pays d’origine. C’est ce que font les personnes de bord dans les avions.

     

    Source : ameli.fr

     

  • SNCF : NOUVEAUX APPELS A LA GREVE LES 4, 5 ET 11 JUIN
    Dans Blog
    Par

    Après le mouvement de grève de la semaine dernière, masqué par la direction grâce au recours à des cadres volontaires, les syndicats veulent obtenir gain de cause sur les primes et les conditions de travail avec ces nouveaux appels à des débrayages de cheminots.

    Très remontés, les cheminots grévistes de la SNCF maintiennent la pression. Après le mouvement lancé la semaine dernière englobant le pont du 8 mai, la CGT-Cheminots a appelé à nouveau à la grève les 4, 5 et 11 juin. La principale organisation syndicale de la compagnie ferroviaire espère ainsi obtenir gain de cause sur l’organisation des plannings, les primes et augmentations de salaires mais aussi désormais sur les embauches et la formation.

    Les conducteurs seront les premiers à ouvrir le bal le mercredi 4 juin à l’occasion d’une négociation sur les primes dont bénéficient cette catégorie de cheminots. Le jeudi 5 juin, la CGT espère mobiliser dans toutes les branches de l’entreprise en invitant « l’ensemble des cheminots, de tous les métiers et de tous les collèges à agir par la grève» . Enfin, le mercredi 11 juin, ce seront, comme le week-end dernier, les contrôleurs des TGV qui prendront le relais.

    Impact limité lors de la dernière grève

    Le mouvement lancé la semaine dernière par la CGT et Sud Rail a principalement touché le trafic des Transiliens en Ile-de-France et TER dans plusieurs régions dont les Hauts-de-France et Auvergne-Rhône-Alpes. Avec 9 trains/10 durant le pont du 8 mai, la circulation est en effet restée quasi normale dans les TGV grâce à la mobilisation de cadres volontaires préalablement formés au poste de chef de bord.

    Les deux syndicats se sont élevés tout le week-end dans les médias contre cette pratique, considérant ces salariés des bureaux comme des « briseurs de grève »

     alors que 40% des contrôleurs s’étaient déclarés grévistes mercredi, et près de 60% vendredi. Les syndicats ont aussi accusé la direction d’avoir limité le nombre de places offertes ce week-end en faisant rouler des rames simples ne nécessitant qu’un seul Volontaire d’accompagnement occasionnel comme chef de bord au lieu de quatre traditionnellement sur les rames doubles. Cette accusation a été rejetée par la SNCF.

    Source : https://www.voyages-d-affaires.com/

  • TRANSAVIA ANNONCE LES COULEURS POUR 2026 : BLEU, BLANC, ROUGE… ET BUSINESS TRAVEL
    Dans Blog
    Par

    Le programme de l’été 2026 a déjà été (partiellement) dévoilé par Transavia. Il prolongera le passage de flambeau d’Air France à sa filiale low-cost sur Orly, et sur le réseau français.

    Transavia est déjà dans les starting-blocks pour passer à l’offensive durant l’été… 2026. Et à la différence de la saison estivale qui se profile, durant laquelle aucun changement majeur n’a été programmé dans l’Hexagone, la compagnie prévoit une véritable montée en puissance sur le réseau domestique. Dans la ligne de mire de la compagnie low-cost : ces lignes franco-françaises qui intéressent tant la clientèle affaires. Et bien sûr l’aéroport d’Orly, où Air France passe le témoin à sa filiale low-cost.

    Transavia : programme d’été renforcé en France

    Symbole de cette prise de pouvoir de Transavia à Orly, et de son opération séduction envers le business travel : un salon d’aéroport dédié à la compagnie ouvrira ses portes en avril 2026. Auparavant, à compter du 29 mars, Transavia aura lancé ses nouveaux vols vers Nice, Marseille et Toulouse. Jusqu’à 8 vols quotidiens seront proposés depuis Orly vers Nice et Toulouse, et deux vers Marseille. De quoi répondre aux besoins de flexibilité de la clientèle affaires pour leurs déplacements domestiques. Quant à la fluidité du parcours voyageur, elle doit être améliorée par le choix du terminal Orly 2 depuis lequel embarqueront les voyageurs pour Nice, Toulouse et Marseille. Avec la promesse d’un temps de parcours limité entre les comptoirs d’enregistrement et la porte d’embarquement.

    Orly : Air France sur le départ

    Olivier Mazzucchelli, Président Directeur Général de Transavia France mesure toute l’importance de ce virage dans l’histoire de la compagnie : « La saison été 2026 marquera une étape importante dans le développement de Transavia. Nous proposerons une offre adaptée aux besoins de nos clients depuis Nice, Marseille et Toulouse avec des fréquences de vol permettant un aller-retour dans la journée et un accès rapide au centre de Paris. Cette nouvelle offre s’accompagnera des évolutions sur notre produit pour améliorer notre qualité de service. Nous avons à cœur de répondre aux attentes d’une clientèle business grâce à une flexibilité accrue, un service de salon dédié à Orly et des équipages reconnus pour leur qualité de service », assure Olivier Mazzucchelli.

    Source : https://www.voyages-d-affaires.com/

     

     

  • CONFLIT INDE-PAKISTAN : LES COMPAGNIES AERIENNES EVITENT LE SURVOL DE LA ZONE
    Dans Blog
    Par

    Le conflit armé émergeant entre Inde et Pakistan bouleverse les lignes aériennes entre Europe et Asie, les compagnies évitant désormais de survoler la zone.

    Voici un nouveau problème qui émerge pour les compagnies aériennes : l’escalade militaire entre Inde et Pakistan. Jusqu’à présent, il s’agit d’un conflit armé limité, qui pourrait dégénérer tout simplement en une guerre entre les deux pays, ennemis depuis la partition de l’Inde en 1947. Les tirs militaires dans la région du Cachemire font que les compagnies aériennes désormais évitent le survol du nord de l’Inde et de tout le Pakistan.

    Concrètement, les transporteurs aériens européens prennent désormais une route qui passe par la Turquie, le Golfe persique (Irak, Koweït, Emirats Arabes Unis et Oman) avant d’entrer en Inde par Bombay et poursuivre sur le Sud-est asiatique. Sur cet axe, le temps de vol reste plus ou moins le même.

    Concernant les vols vers la Chine, la Corée et le Japon depuis l’Europe, les avions passent désormais par la Turquie, l’Asie centrale et la Chine, évitant à la fois la Russie au nord et le duo Afghanistan/Pakistan au sud. Là aussi, sans conséquence réelle sur les temps de vol.

    En revanche, la durée des vols s’étend de facto pour les liaisons à destination de Delhi. Les compagnies aériennes doivent désormais entrer en Inde à hauteur d’Ahmedabad et survoler le Rajasthan avant d’atterrir à Delhi. Un parcours qui rallonge le temps de vol de 45 à 60 minutes au maximum pour des vols depuis l’Europe.

    Air India, la plus touchée par le conflit

    Ce sont cependant les compagnies indiennes qui vont le plus souffrir de la situation, en particulier Air India, basée à Delhi. Le transporteur doit réorienter l’ensemble de ses vols via le sud de l’aéroport. Ce qui affecte non seulement la durée de ses vols sur l’Europe mais aussi vers l’Amérique du Nord. Le transporteur doit désormais faire une escale sur le continent (généralement à Copenhague ou Vienne) pour remplir ses réservoirs.

    Plusieurs compagnies aériennes asiatiques ont annoncé aussi redéployé leurs lignes par d’autres voies aériennes d’acheminementChina Airlines a par exemple annulé son vol Taipei-Londres mercredi car il devait faire une escale technique. Tandis que Thai Airways, Vietnam Airlines et Eva Air ont indiqué que certaines liaisons allaient devoir ajuster leurs horaires.

    Les passagers affaires doivent donc contacter leur compagnie aérienne pour s’assurer des heures de départ et de leurs éventuelles correspondances.

    Source : https://www.voyages-d-affaires.com/

  • GREVE SNCF : ALAIN KRAKOVITCH ANNONCE « UNE MESURE DE COMPENSATION EXCEPTIONNELLE » POUR LES VOYAGEURS
    Dans Blog
    Par

    Malgré la grève de ce week-end, le directeur TGV-Intercités de SNCF Voyageurs s’est engagé à ce que tous les voyageurs arrivent à destination. La compagnie va compenser tous les voyageurs impactés.

    « Notre objectif, pour ce week-end, est de faire circuler un maximum de voyageurs et d’offrir à tous nos clients une solution », s’est engagé Alain Krakovitch devant la gare Montparnasse, à Paris. Plusieurs catégories de personnels de la SNCF sont appelés à faire grève depuis le lundi 5 mai. Pour autant, le directeur TGV-Intercités assure que 9 TGV sur 10 circuleront ce week-end et que, jusqu’à jeudi, le trafic Ouigo et InOui serait « normal. Tous les enfants qui circulent dans le cadre de Junior et Compagnie auront leur trajet garanti. Tous les trains internationaux circulent normalement », assure également Alain Krakovitch.

    « Le deuxième objectif est de donner l’information le plus tôt possible », selon le directeur. « Si votre TGV circule, vous recevez depuis hier et pendant toute la journée un SMS ou un mail confirmant cette circulation », détaille-t-il. En cas de suppression d’un TGV, les clients recevront « également aujourd’hui et, au maximum jusqu’à demain matin, un SMS ou un mail. » Les voyageurs qui verraient leur train supprimés auront la possibilité de se repositionner « sur un autre TGV, gratuitement, et pour la même destination », comme l’avait promis Christophe Fanichet.

    Mesure de compensation exceptionnelle

    Alain Krakovitch a par ailleurs annoncé ce mardi que tous les voyageurs dont le trajet serait impacté par la grève lors de ce week-end prolongé bénéficieront d’une « mesure de compensation exceptionnelle. Même s’ils ont choisi de se repositionner sur un autre train, ils recevront, dans les 30 jours, un bon de réduction de 50% sur un prochain trajet TGV, valable sur toute la période de ventes actuelle – soit jusqu’au 29 août. »

    Une mesure singulière, qui trahit peut-être une crainte. Celle de voir les clients, fatigués des remous de la SNCF, partir chez la concurrence. Cette inquiétude, le directeur la concède : cette grève, « c’est une aubaine pour Trenitalia ». « La tentation des voyageurs, c’est de se repositionner sur d’autres modes de transport. »

    Réservistes

    Afin d’assurer un service « presque normal », la SNCF a fait appel à ceux que Alain Krakovitch appelle les « réservistes. » Ces volontaires, parmi les cadres de la compagnie, ont été formés pour pallier le manque de personnel, « sur les missions de chef de bord. » Une mesure que le responsable défend, malgré les critiques des syndicats, pour qui il « paraît normal que des cadres puissent aussi mesurer ce que c’est d’être en contact avec des clients. »

    Pour le moment, Alain Krakovitch refuse de s’avancer sur les week-ends à venir, et déclare n’avoir reçu aucune information des syndicats, malgré l’échec des négociations. Rien que la grève de ce week-end devrait coûter « plusieurs millions d’euros » à la SNCF, a-t-il déclaré.

    Source : https://www.lechotouristique.com/

Plus dans cette catégorie : « L’UNION EUROPEENNE LIMITE DE NOUVEAU LES CONTENANTS LIQUIDES EN AEROPORT DE NOUVELLES LIGNES CET HIVER POUR VOLOTEA DEPUIS LA FRANCE »
Retour en haut

Archives

Afin d'améliorer votre expérience, nous utilisons des cookies pour conserver les informations de connexion et collecter les statistiques en vue d'optimiser les fonctionnalités du site. Cliquez sur "Accepter et continuer" pour accepter les cookies et poursuivre directement sur le site ou cliquez sur "En savoir plus" pour consulter en détail les descriptions des types de cookies. En savoir plus