L’état des lieux
L’autorité de protection des données de la France (soit la Commission Nationale de l’Informatique et des Libertés, abrégée CNIL) a publié début octobre 2022 une recommandation qui est passée inaperçue en Suisse. Cette recommandation concerne les mots de passe, garants de notre sécurité informatique à tous. Elle est intéressante à plus d’un titre. Et surtout essentielle : en effet un meilleur usage des mots de passe permettrait d’éviter une grande partie des piratages. À l’échelle mondiale plus de 80% des violations de données seraient liées à une problématique de mots de passe. C’est dire si cette thématique devrait tous nous concerner.
Les facteurs de risque et l’entropie
Il existe quatre facteurs de risque liés aux mots de passe : la simplicité, l’authentification (mécanisme d’authentification faible, absence de chiffrement lors de la transmission, etc.), la conservation en clair et la faiblesse des modalités de renouvellement en cas d’oubli. Pour faire face à ces déficits numériques, la CNIL préconise l’entropie des mots de passe, plutôt que leur longueur. L’entropie consiste en une somme de hasards. Pour un mot de passe, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. En clair, une version antagoniste des procédés mnémotechniques que nous utilisons tous pour choisir nos mots de passe (prénoms des enfants, dates de naissance, date de mariage, nom de l’animal domestique, etc.). Plus un mot de passe est choisi au hasard, plus il est difficile de le deviner.
Votre mot de passe doit donc être long et complexe. Il faudrait ainsi combiner des termes de fantaisie (ne figurant pas dans le dictionnaire), voire des mots de différentes langues. Cela entrave les attaques dites « par dictionnaire » qui consistent à ne tester que les combinaisons de mots qui en sont issues. Plutôt que d’allonger à l’infini les mots de passe, il vous est également suggéré d’utiliser des combinaisons de majuscules, de minuscules, de chiffres et de caractères spéciaux, tout en gardant une longueur minimum de 12 caractères. La Commission estime aussi pertinent d’employer une « phrase de passe » composée d’au moins 7 mots.
Les suites attendues de la recommandation de la CNIL
Ces nouvelles exigences devraient engendrer des modifications notables dans les politiques de gestion des mots de passe des sociétés et autres organisations ou administrations. Ne soyez donc pas surpris de vous voir être invités prochainement à changer de mot de passe. Dernière information intéressante : la CNIL considère que le renouvellement automatique des mots de passe n’engendre pas réellement une sécurité supplémentaire, car la plupart des gens se contentent de modifier un caractère ou d’en ajouter un… ceci démontre une nouvelle fois que seule une hygiène numérique irréprochable est susceptible de minimiser les risques encourus.