14/08/2024
Blog

MOTS DE PASSE : UNE NOUVELLE RECOMMANDATION POUR MAITRISER SA SECURITE

Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

Une actualisation nécessaire

Des menaces accrues sur la sécurité des données

Basée sur la connaissance d’un secret, l’authentification par mots de passe est le moyen le plus simple et le moins coûteux à déployer pour contrôler un accès, et éventuellement prouver son identité. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible bien que généralement acceptable. Les solutions d’authentification forte ou à plusieurs facteurs fournissent une meilleure protection, et sont nécessaires dans certains cas.

En pratique, l’accès à de nombreux services numériques continue de reposer sur l’utilisation de mots de passe. D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, environ 60 % des notifications reçues par la CNIL depuis le début de l’année 2021 sont liées à du piratage et un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe.

C’est pourquoi, dans un contexte de menace accrue sur la sécurité des données, la CNIL a mis à jour sa recommandation de 2017 sur les mots de passe afin de permettre aux professionnels et aux particuliers de disposer d’outils pratiques et à l’état de l’art.

En effet, au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d’usage concrètes et éprouvées par un grand nombre de professionnels. La CNIL a donc disposé d’un recul suffisant lui permettant de renouveler ses recommandations, en redéfinissant les mesures de base constituant le socle minimal applicable à l’ensemble des organismes afin de prendre en compte l’évolution des connaissances et des pratiques.

Cette recommandation n’est pas une norme mais correspond à l’état de l’art sur lequel tout responsable de traitement peut s’appuyer dans le cadre des obligations prévues aux articles 5-1-f) et 32 du règlement général sur la protection des données (RGPD) lorsqu’il utilise une authentification par mot de passe pour protéger un traitement de données personnelles. Les acteurs peuvent également mettre en œuvre d’autres mesures de sécurité que celles décrites dans cette recommandation ; dans ce cas, ils devront être en capacité de démontrer qu’elles garantissent un niveau de sécurité au moins équivalent.

Les autres mesures de sécurité à mettre en place

La CNIL a notamment toujours considéré que d'autres moyens d’authentification, comme par exemple l'authentification à double facteur ou les certificats électroniques, offrent davantage de sécurité que le mot de passe. Pour aller plus loin et, notamment, si le niveau minimal décrit est insuffisant, cette recommandation sera utilement complétée par le guide de l’ANSSI « Recommandations relatives à l’authentification multifacteur et aux mots de passe », pour lequel la CNIL a élaboré un tableau de correspondance entre les recommandations.

De plus, si des opérations relatives à la gestion des mots de passe sont confiées, pour tout ou partie, à un sous-traitant, il est nécessaire de s’assurer du respect des conditions posées à l’article 28 du RGPD. Dans ces cas de figure, les rôles et responsabilités doivent être précisément définis et formalisés, le niveau de sécurité requis et les objectifs de sécurité assignés au sous-traitant clairement définis, compte tenu de la nature du traitement et des risques qu’il est susceptible d’engendrer. En particulier, la répartition de mise en œuvre des différents éléments de la recommandation devrait être formalisée.

Enfin, si les simples éditeurs de logiciels ne sont pas soumis au cadre juridique relatif à la protection des données, les utilisateurs doivent se mettre en conformité. En ce sens, la documentation des logiciels de gestion de mots de passe précise de façon détaillée les modalités de génération, stockage et transmission des mots de passe.

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

  • Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur minimale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
  • Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
  • L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
  • L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
  • Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La CNIL avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la CNIL mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la CNIL à ne plus recommander un cas d’usage, considéré comme trop faible.

Source : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Éléments similaires (par tag)

  • GREVE SNCF LA SEMAINE DU 8 MAI 2025 ?
    Dans Blog
    Par

    Perturbations dans les transports : suivi du trafic en temps réel

    A ce jour, la grève n'est pas confirmée, ainsi, voici le lien SNCF vers les perturbations : 

    • Vérifiez la circulation de votre train, avec votre numéro de train et votre date de circulation.
    • Anticipez l'échange ou l'annulation de votre billet.

    https://www.sncf-connect.com/aide/informations-situation-perturbee

    Quand les trains ne circulent pas, certaines compagnies de train (TGV INOUI, INTERCITÉS, Eurostar...) peuvent vous contacter par e-mail, SMS ou téléphone pour vous informer des différentes possibilités.

    Si vous n'avez pas été contacté : avant de vous rendre en gare, vérifiez si possible, que votre train circule et si l'horaire prévu de départ n'a pas été modifié, en raison de la perturbation.

     

    Comment suivre le trafic en temps réel en vidéo ?

    Consultez l'état du trafic en temps réel en France et retrouvez des informations sur les horaires et les éventuelles perturbations de votre trajet.

    https://medias.cdn.vsct.fr/faq/linfo-trafic-page-greve_.mp4

    https://medias.cdn.vsct.fr/faq/comment-etre-informe-sur-la-circulation-de-son-train.mp4

     

    Votre agence UVET France habituelle reste à votre écoute.

    Source : SNCF Connect

  • BORDEAUX : EASYJET FAIT ROUTE VERS L'EST
    Dans Blog
    Par

    L’aéroport de Bordeaux verra easyJet inaugurer deux nouvelles destinations, deux capitales européennes qui devraient attirer la clientèle affaires.

    L’annonce a eu lieu le 3 avril, et devrait intéresser les voyageurs d’affaires girondins. A la fin du mois d’octobre, easyJet ajoutera deux destinations européennes depuis l’aéroport de Bordeaux. A commencer par Budapest, où les opérations débuteront le 26 octobre à raison de deux vols par semaine (jeudi et dimanche). Cette ligne entre les deux métropoles sera exploitée en exclusivité par easyJet.
    Autre nouveauté dévoilée par easyJet : le vol Bordeaux-Prague débutera lui le 27 octobre, toujours à raison de deux vols par semaine (lundi et vendredi). Au total, easyJet reliera ainsi l’aéroport de Bordeaux à 40 destinations. Soit le plus important catalogue des transporteurs présents à Mérignac.

    Source : https://www.voyages-d-affaires.com/

     

  • TRANSAVIA : PROGRAMME D'ETE RENFORCE EN FRANCE
    Dans Blog
    Par

    Transavia France augmente ses capacités cet été avec 12 nouveaux appareils supplémentaires comparé à l'été 2024. Ce qui permettra d'offrir 19% de capacités en plus sur l'ensemble du réseau au départ de France.

    Transavia comptabilisera 87 avions dans sa flotte à partir de juillet selon une annonce de sa direction. Ce qui représente 12 appareils Airbus A320neo supplémentaires par rapport à la saison d’été 2024. Une expansion qui va se traduire par davantage de fréquences ainsi qu’une dizaine de nouvelles lignes selon la direction de la compagnie.

    Le programme représente ainsi 19% de capacités en plus. La compagnie estime que les nouvelles fréquences se traduiront par 2 à 3 millions de passagers supplémentaires par rapport aux 14 millions de clients transportés en 2024.

    Transavia ajoute cet été des vols sur de grandes métropoles européennes et étoffe son réseau vers le bassin méditerranéen. Le transporteur relie de nouveau cet été Orly à Amsterdam (5 vols/semaine) et à Munich (3 vols par semaine). Elle lance également deux vols hebdomadaires de Bordeaux à Bruxelles.

    Pour sa part, le trafic domestique de Transavia France ne devrait pas connaître de changements majeurs en 2025. La compagnie continue d’exploiter des vols vers quatre destinations depuis Orly (Perpignan, Toulon, Biarritz et Montpellier), ayant abandonné les lignes sur Brest et Pau.

    En revanche, Transavia se prépare à la reprise dans le courant 2026 des vols de la Navette Air France vers Nice et Toulouse. Ainsi que des trois fréquences quotidiennes de la compagnie nationale sur Orly-Marseille. Sans certitude néanmoins qu’elle offrira la même densité de vols sur Nice et Toulouse. Au total, Transavia France dessert cet été plus de 120 destinations au départ de l’Hexagone.

    Srouce : https://www.voyages-d-affaires.com/

  • UVET FRANCE INTEGRE L'OFFRE APARTOOL A SON CATALOGUE
    Dans Blog
    Par

    La TMC renforce son offre d'hébergement corporate avec l'accès à 300.000 appartements meublés dans 85 marchés internationaux via la plateforme Apartool.

    Apartool

    UVET France s'enrichit d'une nouvelle solution d'hébergement longue durée. La TMC vient de conclure un partenariat stratégique avec Apartool pour proposer à sa clientèle corporate une offre d'appartements meublés et équipés, adaptée aux séjours professionnels d'une semaine à un an.

    Cette intégration répond aux nouveaux enjeux de la mobilité professionnelle. Elle permet aux travel managers d'accéder à un inventaire de 300.000 unités d'hébergement, réparties sur 85 marchés internationaux. Chaque appartement inclut des prestations essentielles au business travel : ménage hebdomadaire, maintenance, support 24/7 et facturation centralisée gérée directement par UVET France.

    Le dispositif s'appuie sur une plateforme automatisée de réservation et de gestion, optimisant le processus de booking pour les entreprises. Cette approche permet une gestion optimisée des hébergements, une meilleure visibilité sur les coûts et une flexibilité accrue pour les collaborateurs en mobilité.

    L'offre s'inscrit dans une tendance de fond du secteur du voyage d'affaires, avec une demande croissante pour des solutions d'hébergement alternatives à l'hôtellerie traditionnelle. Cette nouvelle brique technologique renforce le positionnement d'UVET France sur le segment des déplacements professionnels longue durée.

    Source : https://www.deplacementspros.com/

  • "VISA" : CARTE D'ARRIVEE NUMERIQUE EN THAILANDE (TADC) OBLIGATOIRE A COMPTER DU 1er MAI 2025
    Dans Blog
    Par

    A compter du 1er mai 2025 , tous les voyageurs n'ayant pas la nationalité thaïlandaise, doivent impérativement remplir le formulaire Thailand Digital Arrival Card (TDAC) au moins 3 jours avant leur arrivée dans le pays.

    Nous vous invitons à remplir le TDAC en ligne : https://tdac.immigration.go.th/arrival-card/#/home

    Lien video (anglais) : https://tdac.immigration.go.th/manual/en/files/aboutTDAC.mp4

     

Plus dans cette catégorie : « L’UNION EUROPEENNE LIMITE DE NOUVEAU LES CONTENANTS LIQUIDES EN AEROPORT DE NOUVELLES LIGNES CET HIVER POUR VOLOTEA DEPUIS LA FRANCE »
Retour en haut

Archives

Afin d'améliorer votre expérience, nous utilisons des cookies pour conserver les informations de connexion et collecter les statistiques en vue d'optimiser les fonctionnalités du site. Cliquez sur "Accepter et continuer" pour accepter les cookies et poursuivre directement sur le site ou cliquez sur "En savoir plus" pour consulter en détail les descriptions des types de cookies. En savoir plus