Les nouvelles recommandations de la CNIL face aux mots de passe en 2022

Créer un mot de passe fort, c’est sûrement l’une des recommandations les plus répandues sur la toile. Et pour cause, nous vivons dans un monde digitalisé, où toute notre vie ne tient parfois qu’à un mot de passe. Ça sonne exagéré ? Et pourtant, nous divulguons sciemment, un nombre incalculable d’informations personnelles allant de notre prénom, nom de famille, date de naissance, adresse, téléphone, carte bancaire et des éléments encore plus concrets sur les sites administratifs. 

Chez CyberGhost VPN, nous attachons une attention particulière à la sécurité et à la confidentialité de nos utilisateurs et des internautes de manière générale. Tandis que nous vous énumérions dans un précédent article : 5 bonnes pratiques pour définir des mots de passe puissants, l’une de nos recommandations consistait à mettre régulièrement vos mots de passe à jour. 

Mais que nous disent vraiment les chiffres en France et pourquoi la CNIL a décidé de mettre fin au renouvellement régulier des mots de passe ?

Qu’est-ce que la CNIL ?

En France, la CNIL déclare que “60 % des notifications reçues depuis le début de l’année 2021 concernent le piratage, dont un grand nombre aurait pu être évité par le respect de bonnes pratiques en matière de mots de passe”.

La CNIL ou Commission Nationale de l’Informatique et des Libertés est une autorité administrative française indépendante chargée du respect de la vie privée, des libertés publiques ou individuelles de tout un chacun. Tout individu ou organisme opérant sur Internet doit se conformer aux règles d’utilisation des fichiers informatiques. À ne pas confondre toutefois avec le RGPD, soit le Règlement Général sur la Protection des Données relatif au traitement des données personnelles en ligne.

De nombreuses études ont démontré que la plupart des menaces signalées correspondent à des attaques par force brute, des attaques de bourrage d’informations d’identification ou encore l’exploitation de données d’identification. L’occasion pour la CNIL de revoir ses recommandations qui remontent déjà à 2017, estimant ces dernières en décalage avec les problématiques actuelles.

Investis dans la sécurité et la confidentialité depuis de nombreuses années, il nous a paru évident de faire une rétrospective sur nos recommandations et celles préconisées par la CNIL.

Résumé des recommandations de la CNIL ?

          • Éviter l’authentification par mot de passe lorsque possible.
          • Activer l’authentification multifacteur / l’utilisation de certificats électroniques.
          • Éviter de stocker les mots de passe en clair.
          • Abandonner l’utilisation d’informations secrètes pour réduire les exigences de sécurité sur le mot de passe.
          • Cesser de mettre à jour son mot de passe régulièrement. 
          • Éviter d’utiliser les mots de passe complexes dressés par la CNIL, victimes de leur succès.
          • Renforcer la façon de créer et de renouveler son mot de passe.
          • Abandonner l’expiration du mot de passe (déjà en place aux États-Unis depuis 2017 par la National Institute of Standards and Technology).
          • Il est préconisé d’opter pour des mots de passe comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux, « on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe », avance la CNIL.

Sommes-nous en phase avec ces recommandations ?

Modalités d’authentification :

          • Opter pour une authentification à double facteur lorsque possible. Ce principe réduit   considérablement le risque de compromettre vos mots de passe ou qu’un tiers ne mette la main sur vos comptes.

Abandon du renouvellement fréquent des mots de passe :

          • Cette nouvelle recommandation de la CNIL ne s’applique pas pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus.
          • Ne pas tomber dans la facilité en ne définissant qu’un seul mot de passe pour être certain de ne jamais l’oublier. 

Critères de définition des mots de passe :

          • Utiliser des chiffres et des caractères spéciaux. Un mot de passe puissant doit contenir au moins 12 caractères dont des lettres minuscules, des lettres majuscules et des caractères spéciaux.
          • Plus long est votre mot de passe, mieux c’est. Si un mot de passe ne doit pas nécessairement être long, pourvu qu’il contienne un maximum de caractères spéciaux, plus la suite est longue, plus elle sera complexe à déchiffrer.

Finalement, qu’est-ce qui change ? 

L’abandon des mises à jour régulières de son mot de passe est l’élément le plus marquant dans les nouvelles préconisations de la CNIL. Cette pratique jugée inutile, voire contre-productive. Oui, mais pourquoi ? Car elle inciterait les internautes à aller vers la facilité et créer de fait, des mots de passe dont il sera plus facile de se souvenir. Par ailleurs, ces modifications pourraient servir d’indice si toutefois l’historique des mots de passe tombait entre les mains d’un Hacker.

Et vous qu’en pensez-vous ?

Foire aux questions

Que faire si une violation du mot de passe est détectée ?

La CNIL appelle tout responsable de traitement de données qui détecte une violation de données en rapport avec le mot de passe d’une personne, de notifier la CNIL sous 72 heures. Ce dernier doit alerter et inciter l’internaute à changer ses mots de passe d’autres services.

Pourquoi CyberGhost VPN recommande-t-il de mettre à jour son mot de passe tous les 90 jours idéalement ?

Les recommandations faites par CyberGhost VPN se basent toujours sur la réalité du monde numérique dans lequel nous vivons. La plupart des applications et des services en ligne imposent ces mises à jour dans le but d’empêcher les attaques par force brute. En tant qu’experts en sécurité, nous avons à cœur d’informer et d’éduquer nos lecteurs et nos utilisateurs. Mettre à jour son mot de passe ne signifie pas “baisser la garde” et aller vers des mots de passe courts et faciles à retenir. C’est d’ailleurs ce que nous indiquons dans nos 5 recommandations. 

Qu’est-ce qu’un bon mot de passe ? 

La CNIL indique qu’il n’existe pas de bon mot de passe en tant que tel, néanmoins, un mot de passe puissant doit contenir au moins 12 caractères dont des lettres minuscules, des lettres majuscules et des caractères spéciaux. Si un mot de passe ne doit pas nécessairement être long, pourvu qu’il contienne un maximum de caractères spéciaux, plus la suite est longue, plus elle sera complexe à déchiffrer. La balle est dans votre camp ! Pour adopter les bons gestes en ligne, utilisez un VPN pour crypter vos données et masquer votre adresse IP. Ceci vous protégera davantage contre tous types de cybercriminels.

Leave a comment

Write a comment

Your email address will not be published. Required fields are marked*