Cybermenaces & Sécurité

Un système d’information est constitué d’un ensemble d’entités interconnectées de façon permanente ou temporaire. Celui-ci est fermé (intranet et extranet) ou ouvert (Internet). La sécurité d’un système d’information a pour finalité d’en garantir le fonctionnement et la continuité dans le temps. Une politique sécuritaire garantit la confidentialité des informations transmises vis-à-vis à de personnes non concernées ainsi que l’intégrité du système d’information.

Les enjeux liés à la Sécurité du Système d’Information résident d’une part, dans l’indépendance informationnelle et d’autre part, dans l’indépendance technologique. Désormais, l’information est devenue la matière première des états et des entreprises. Il s’agit de protéger les informations, mais aussi leur transfert au travers du Système d’Information. De plus, la sécurisation du Système d’Information doit permettre un accès sécurisé aux données.

L’interopérabilité liée au système d’Information et à sa sécurité soulève un des enjeux que recouvrent la normalisation et la mise au point de standards informatiques. Il est en effet essentiel pour un réseau que l’ensemble des entités puissent communiquer entre elles en toute sécurité et sans risque de perte ou de captage d’informations. La sécurité doit aussi être présente en ce qui concerne la perméabilité du Système d’Information aux intrusions externes, et par voie de conséquence aux espaces de stockages.

Un des enjeux pour un état ou une entreprise consiste à (re)connaître et prendre en compte les vulnérabilités de son Système d’Information. La conséquence directe est la mise en place d’une politique liée au Système d’Information et à sa sécurisation qui se trouve étroitement liée à la sécurité informationnelle.

Authentification des mots de passe

Les mesures de sécurité élémentaires du 27 janvier 2017

Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre. Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès. Toutefois, cette méthode d’authentification présente un niveau de sécurité faible. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :

• La simplicité du mot de passe
• L’écoute sur le réseau afin de collecter les mots de passe transmis
• La conservation en clair du mot de passe
• La faiblesse des modalités de renouvellement du mot de passe en cas d’oubli des questions secrètes.

Les principaux risques identifiés au cours du cycle de vie d'un mot de passe, Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase. Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications. Télécharger l’extension.

Les exigences de la CNIL

L’authentification par mot de passe : longueur, complexité, mesures complémentaires.
Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composés de majuscules de minuscules, de chiffres et de caractères spéciaux.

Des mesures complémentaires à la saisie d’un mot de passe (restrictions d’accès, collecte d’autres données, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul. Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation exemple d'utilisation Longueur minimum Composition du mot de passe

Mesures complémentaires mot de passe seul FORUM, BLOG

• 12 caractéres
• majuscules.
• minuscules
• chiffres
• caractères spéciaux Conseiller l'utilisateur sur un bon mot de passe avec restriction d'accès (le plus répandu).

SITES DE E-COMMERCE, COMPTE D'ENTREPRISE, WEBMAIL, au moins 3 des 4 types suivants :

• majuscules
• minuscules
• chiffres
• caractères spéciaux Blocage des tentatives multiples : (exemples)
• Temporisation d'accès au compte après plusieurs échecs • « Capcha »
• Verrouillage du compte après 10 échecs avec information complémentaire

BANQUE EN LIGNE: 5 Chiffres et/ou lettres Blocage des tentatives multiples • Information complémentaire communiquée en propre d'une taille d'au moins 7 caractères (ex : identifiant dédié au service) ou identification du terminal de l’usager (ex : adresse IP, adresse MAC…) avec matériel détenu par la personne CARTE BANCAIRE OU TÉLÉPHONE: 4 Chiffres Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat)

Blocage au bout de 3 tentatives échouées les 4 cas d’authentification par mot de passe identifiés par la @CNIL dans sa recommandation 27 janvier 2017 dans tous les cas, le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique. Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

2. Sécurisation de l’authentification Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre : • elle utilise un algorithme public réputé fort ; sa mise en œuvre logicielle est exempte de vulnérabilité connue. Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.

3. La conservation des mots de passe Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

Le sel ou la clé doit être généré au moyen d’un générateur de nombre pseudo-aléatoires cryptographiquement sûr (il utilise un algorithme public réputé fort et sa mise en œuvre logicielle est exempte de vulnérabilité connue). Il ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

Le renouvellement du mot de passe

Renouvellement périodique Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé. La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent. renouvellement sur demande. À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe. Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : Le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures, lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement. Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…).

Ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ; afin de prévenir les tentatives d’usurpation ’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne, le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ; il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ; il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.

Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à our. Texte réference, Texte officiel. Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.

L'AUTENTIFICATION VUE PAR L'UTILISATEUR

De nouvelles recommandations de sécurité depuis le 27 janvier 2017 pour les entreprises et les particuliers, alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données. La CNIL adopte une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière.

Elle met également des outils pratiques à disposition des professionnels et des particuliers. Très répandu, le mot de passe offre pourtant un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité. Bien que ce moyen d’authentification soit de plus en plus critiqué et mis à l’épreuve, le mot de passe reste le sésame pour accéder à la plupart des services numériques.

Le développement des usages du numérique impose aux utilisateurs une gestion toujours plus complexe de multiples comptes et de mots de passes. Une gestion non organisée de ces mots de passe fait courir des risques aux utilisateurs sur ses données personnelles :

• l’utilisation du même mot de passe pour accéder à différents services peut compromettre les comptes sensibles, notamment l’adresse de messagerie principale ;
• la tendance à partager ses mots de passe augmente les risques d’usurpation d’identité ;
• la tendance à créer des mots de passe en rapport avec soi (date de naissance, prénom des enfants, nom de son entreprise, etc.) les rend plus vulnérables, notamment dans un contexte où il est facile de récupérer des informations sur les personnes en ligne (ingénierie sociale) ;
• la difficulté à mémoriser un mot de passe trop long incite à définir des mots de passe trop simples, quelques caractères, souvent des mots usuels, ou à les écrire sur support papier.

Pourtant, de nombreux utilisateurs ne sont pas informés des pratiques élémentaires de sécurité et de gestion de ces secrets, alors que le nombre de comptes et la sensibilité des informations qu’ils protègent ne cessent de croître.

LES CONSEILS DE LA CNIL POUR UN BON MOT DE PASSE

Il est important de créer des mots de passe solides pour vos comptes en ligne. La CNIL propose un kit de ressources et d’outils pour :
• adopter les bons gestes pour protéger vos accès ;
• générer des mots de passe forts et faciles à retenir ;
• promouvoir et partager ces conseils.

Un accroissement spectaculaire des attaques qui ont compromis des mots de passe. En 2016, on a assisté à la multiplication des attaques informatiques, parfois spectaculaires, qui ont notamment entraîné la compromission de bases de données entières de comptes et des mots de passe associés.

Ces attaques ont eu pour conséquence de rendre publics de nombreux mots de passe. Ils ont permis aux attaquants de mettre au jour les modalités de création des mots de passe et les moyens mnémotechniques utilisés par les personnes.

Les principales plateformes ont renforcé la sécurité de leurs dispositifs d’authentification, en complétant l’authentification par mot de passe par des dispositifs de sécurité complémentaires (double authentification via un code mobile, blocage du compte au bout de X tentatives).

Toutefois, il suffit qu’une seule plateforme soit défaillante en termes de sécurité (par exemple, en cas de vol massif de données d’authentification) pour qu’elle fasse courir un risque de sécurité à l’ensemble de l’écosystème numérique :
les comptes, notamment les « webmails » (gestionnaires de courrier en ligne), dont le mot de passe a été découvert, compromettent en cascade l’ensemble des services auxquels les personnes sont inscrites.

Dans ce contexte, il apparaît indispensable de fixer un niveau de sécurité minimum en la matière. La CNIL a donc adopté une recommandation relative aux mots de passe, qui permet aux professionnels comme aux particuliers de connaître les conditions minimales pour respecter l’obligation de sécurité posée par la loi. Une doctrine pragmatique, tenant compte des mesures de sécurité complémentaires.

Dans le cadre de ses missions de contrôle, la CNIL analyse régulièrement les dispositifs d’authentification mis en œuvre par des responsables de traitements.

Afin de prendre en compte les contraintes de l’état de l’art, la CNIL a par ailleurs consulté différents acteurs de la sécurité, ainsi que l’ensemble des autorités de protection des données européennes. Ces constats et ces échanges ont incité la CNIL à prescrire des mesures minimales et pragmatiques, en se basant sur les pratiques d’authentification en vigueur sur les principales plateformes en ligne.

Cette recommandation n’exclut pas que d’autres mesures soient mises en œuvre en fonction des risques spécifiques qui pourraient être identifiés. Ainsi, la longueur et la complexité du mot de passe varient en fonction des autres mesures de sécurité mises en œuvre pour l’authentification(temporisation d’accès au compte, double authentification, matériel détenu en propre par la personne).

LES PRINCIPALES RECOMMANDATIONS DE LA CNIL

La recommandation de la CNIL couvre quatre aspects de la gestion de mots de passe auxquels sont associées des menaces récurrentes bien identifiées :

• la création du mot de passe
• l’authentification
• la conservation
• le renouvellement des mesures de sécurité élémentaires Texte réference, Texte officiel. Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.