I. Présentation
Le 17 octobre 2022, la CNIL a mis Ă jour ses recommandations sur les mots de passe dans le but de guider les professionnels et les particuliers tout en tenant compte des nouvelles tendances, des nouveaux usages et des nouvelles menaces. Ces nouvelles recommandations sont l’occasion de faire le point sur les changements apportĂ©s par la Commission nationale de l’informatique et des libertĂ©s (CNIL) et de voir quelles sont les consĂ©quences dans la pratique avec l’Active Directory.
Cette mise Ă jour n’est pas anodine puisque l’ancienne recommandation datait de 2017. Pour faire Ă©voluer ses recommandations de 2017, la CNIL a travaillĂ© en collaboration avec des professionnels et le grand public par l’intermĂ©diaire d’une consultation publique lancĂ©e en octobre 2021. D’ailleurs, c’est en octobre 2021 que l’ANSSI avait publiĂ© une nouvelle version de son guide « Recommandations relatives Ă l’authentification multifacteur et aux mots de passe – v2.0 « , que la CNIL vous recommande de lire afin d’aller plus loin que le simple mot de passe (par exemple, en mettant en place l’authentification multifacteurs). Pour ĂȘtre prĂ©cis, la CNIL a cosignĂ© ce document de l’ANSSI.
Meilleure gestion des mots de passe = Moins de compromissions de comptes
Une mauvaise gestion des mots de passe peut s’avĂ©rer lourde de consĂ©quences : une partie des cyberattaques pourrait ĂȘtre Ă©vitĂ©e en respectant mieux les bonnes pratiques. Au-delĂ du mot de passe en lui-mĂȘme, le chiffrement est aussi trĂšs important pour protĂ©ger les mots de passe, aussi bien sur la partie stockage que lorsque le mot de passe transite sur le rĂ©seau (par exemple, avec le protocole HTTPS, un mot de passe utilisĂ© pour se connecter Ă un site Internet ne transitera pas en clair sur le rĂ©seau).
II. Les nouvelles recommandations de la CNIL
A. Une histoire d’entropie
Dans son document sur les nouvelles recommandations, la CNIL Ă©voque la notion d’entropie oĂč il est recommandĂ© d’avoir une clĂ© avec un niveau minimal de 80 bits pour l’entropie d’un mot de passe. Mais qu’est-ce que l’entropie ? En fait, c’est une maniĂšre de calculer la force d’un mot de passe , ou autrement dit sa robustesse .
De nombreuses personnes estiment qu’un mot de passe qui respecte une longueur minimale et une certaine complexitĂ© sera forcĂ©ment robuste. NĂ©anmoins, ce n’est pas toujours vrai puisque dans un mot de passe il y a une quantitĂ© de hasard plus ou moins importante : si l’on utilise uniquement des mots de la langue française, on limite la part de hasard sans le vouloir.
Ainsi, un mot de passe d’apparence complexe, par exemple oĂč l’on remplace une lettre par un chiffre, peut devenir vulnĂ©rable Ă certaines attaques, notamment de type brute force . Les outils et les dictionnaires de mots de passe utilisĂ©s aujourd’hui par les cybercriminels tiennent compte de ces variantes pour un mĂȘme mot. Si l’on prend l’exemple du terme « Informatique » qui pourrait devenir le mot de passe « Inf0rm4t1que  » ou « INFORmat1QUE « , mĂȘme s’il fait 12 caractĂšres de longueur et qu’il comprend 3 types de caractĂšres diffĂ©rents, il n’a pas une entropie suffisante !
On peut dire que : pour avoir une meilleure entropie, il vaut mieux choisir un mot de passe plus long plutĂŽt que de chercher Ă garder la mĂȘme longueur en remplaçant certains caractĂšres pour le rendre plus complexe (comme dans l’exemple prĂ©cĂ©dent). Il ne faut pas confondre robustesse et complexitĂ©.
La CNIL donne trois exemples de stratégies qui répondent aux nouvelles recommandations :
« Exemple 1 : les mots de passe doivent ĂȘtre composĂ©s d’au minimum 12 caractĂšres comprenant des majuscules, des minuscules, des chiffres et des caractĂšres spĂ©ciaux Ă choisir dans une liste d’au moins 37 caractĂšres spĂ©ciaux possibles.
Exemple 2 : les mots de passe doivent ĂȘtre composĂ©s d’au minimum 14 caractĂšres comprenant des majuscules, des minuscules et des chiffres, sans caractĂšre spĂ©cial obligatoire.
Exemple 3 : une phrase de passe doit ĂȘtre utilisĂ©e et elle doit ĂȘtre composĂ©e dâau minimum 7 mots. »
B. La fin du renouvellement périodique
Dans le mĂȘme esprit que la recommandation de l’ANSSI, la CNIL souhaite mettre fin au renouvellement pĂ©riodique des mots de passe ! Renouveler un mot de passe pĂ©riodiquement n’est pas synonyme de sĂ©curitĂ© et n’est pas rĂ©ellement une mesure efficace . En plus, ce n’est pas pour plaire aux utilisateurs…!
Prenons un exemple… Si l’utilisateur a comme mot de passe « Coucou1!  » et qu’il le renouvelle en utilisant « Coucou2! « , quel est l’intĂ©rĂȘt, car, de toute façon, ce mot de passe n’est pas suffisamment robuste bien qu’il soit en mesure de rĂ©pondre Ă certaines stratĂ©gies de mots de passe (8 caractĂšres de longueur et 4 types de caractĂšres diffĂ©rents). Il vaut mieux que son mot de passe soit « Beurre-CrĂšme-Calvados-14  » et qu’il le conserve pour une durĂ©e indĂ©terminĂ©e (Ă moins d’un Ă©vĂ©nement spĂ©cifique tel qu’un incident de sĂ©curitĂ© ou d’une demande de la part de l’utilisateur). Ce mot de passe est robuste, en plus de faire rĂ©fĂ©rence Ă des ingrĂ©dients incontournables pour cuisiner (les Normands comprendront ).
La CNIL estime tout de mĂȘme que le renouvellement des mots de passe doit ĂȘtre maintenu pour les comptes d’administration , c’est-Ă -dire les comptes avec des privilĂšges Ă©levĂ©s en comparaison d’un utilisateur lambda. Ces mĂȘmes comptes doivent bĂ©nĂ©ficier d’un processus d’authentification plus robuste, avec l’ajout d’un second facteur , par exemple.
C. Le stockage des mots de passe
Dernier point abordĂ© par la CNIL : le stockage des mots de passe. MĂȘme si cela peut sembler Ă©vident, ceux-ci ne doivent jamais ĂȘtre stockĂ©s en clair ! Ici, la CNIL fait rĂ©fĂ©rence au stockage du mot de passe en lui-mĂȘme, mais aussi Ă son traitement lors du processus d’authentification, sur un serveur distant, par exemple.
III. Les outils pour vous accompagner
Pour gĂ©rer la fin du renouvellement des mots de passe, ce sera assez facile puisqu’il suffira de mettre Ă jour la politique de mots de passe de l’Active Directory pour ajuster l’Ăąge maximal des mots de passe. Ainsi, cela permettra de rĂ©pondre Ă cette premiĂšre recommandation (une politique spĂ©cifique s’appliquera aux comptes d’administration).
Par contre, en ce qui concerne l’entropie des mots de passe, c’est plus compliquĂ©. En effet, nativement l’Active Directory ne permet pas de calculer l’entropie d’un mot de passe. MĂȘme en dĂ©finissant une stratĂ©gie de mots de passe, le systĂšme intĂ©grĂ© Ă l’Active Directory n’est pas suffisamment prĂ©cis pour vous garantir que le niveau d’entropie sera suffisant (je vous recommande de lire cet article oĂč je compare plusieurs solutions ).
Face Ă cette problĂ©matique, comment faire ? Voici quelques pistes Ă explorer…
A. Les outils en ligne
Pour un usage personnel, il peut s’avĂ©rer utile de se rĂ©fĂ©rer Ă l’outil « CALCULER LA « FORCE » DâUN MOT DE PASSE  » mis en ligne par l’ANSSI pour avoir une idĂ©e de l’entropie d’un mot de passe. En effet, cet outil permet de dĂ©finir la longueur d’un mot de passe et le nombre de symboles que vous avez utilisĂ©s, afin de calculer la taille de la clĂ© en bits. Ensuite, cette valeur est Ă comparer avec le tableau prĂ©sent sur la page afin de voir si la force du mot de passe est suffisante ou non.
Par ailleurs, certains gestionnaires de mots de passe comme KeePass et KeePassXC (prĂ©sentĂ© dans cet article ) intĂšgrent un gĂ©nĂ©rateur de mots de passe qui indique la force d’un mot de passe ou le niveau d’entropie. C’est un bon repĂšre lorsque vous avez besoin de choisir un nouveau mot de passe. Voici deux exemples en image :
B. La solution Specops Password Policy
Sur le marchĂ©, il existe des solutions dĂ©veloppĂ©es par des Ă©diteurs tiers et qui viennent se greffer Ă l’Active Directory. Celle que je connais et dont je vous ai dĂ©jĂ parlĂ© Ă plusieurs reprises, c’est Specops Password Policy (SPP). Si je le mentionne ici, c’est qu’il permet de rĂ©pondre aux recommandations de l’ANSSI et de la CNIL en matiĂšre de sĂ©curitĂ© pour les mots de passe.
Cette solution permet de crĂ©er des politiques de mots de passe pour l’Active Directory en allant beaucoup plus loin que la solution intĂ©grĂ©e Ă l’Active Directory. Comme le montre la capture d’Ă©cran ci-dessous, issue de l’assistant de crĂ©ation d’une nouvelle stratĂ©gie de mots de passe, la barre latĂ©rale intitulĂ©e « Entropy » permet de visualiser l’entropie des mots de passe qui respecteront la politique qui est en train d’ĂȘtre configurĂ©e. Autrement dit, on s’assure que les mots de passe seront suffisamment fort s.
Remarque : ceci s’applique pour la politique de mots de passe, mais aussi pour les phrases de passe (passphrase), ces derniĂšres Ă©tant pratiques pour atteindre une longueur trĂšs importante grĂące Ă l’utilisation de plusieurs mots courants.
Aperçu de Specops Password Policy
Specops Password Policy contient plusieurs options pour amĂ©liorer l’entropie , mais aussi pour Ă©viter que le mot de passe soit facilement devinable . Par exemple, il y a des options pour bloquer les caractĂšres identiques consĂ©cutifs, bloquer certains mots Ă partir d’un dictionnaire (le nom de votre entreprise, par exemple) ce qui a l’avantage d’inclure aussi les variantes (exemple : le mot « itconnect » implique que « itc0nnect » avec un zĂ©ro sera bloquĂ© aussi ).
En complĂ©ment, et c’est important aussi, le logiciel est capable de vĂ©rifier si le mot de passe que vous choisissez a Ă©tĂ© compromis . Ainsi, s’il est prĂ©sent dans une fuite de donnĂ©es issue de la cyberattaque de l’entreprise XYZ, vous ne pourrez pas l’utiliser, car c’est un mot de passe connu (et donc potentiellement prĂ©sent dans des dictionnaires). La base gĂ©rĂ©e par Specops contient 3 milliards de mots de passe .
Mise Ă part cette solution, l’Ă©diteur Specops propose Ă©galement l’outil gratuit « Specops Password Auditor » dont l’objectif est d’auditer les mots de passe et les comptes de votre Active Directory (mots de passe compromis, mots de passe identiques entre plusieurs comptes, comptes administrateurs obsolĂštes, etc.), ainsi que vos politiques de mots de passe . La derniĂšre version vous permet de vĂ©rifier rapidement si vous ĂȘtes en conformitĂ© avec les recommandations de la CNIL et de l’ANSSI. En plus, il gĂ©nĂšre un rapport complet au format PDF, en français (ce qui est une Ă©volution assez rĂ©cente Ă©galement). Voici un exemple :
En consultant cette page, vous pouvez obtenir plus d’informations sur la nouvelle version et tĂ©lĂ©charger gratuitement l’outil. En complĂ©ment, mon article publiĂ© il y a plusieurs mois.
IV. Conclusion
Ces nouvelles recommandations de la CNIL, dans le mĂȘme esprit que celles de l’ANSSI, vont permettre Ă chaque DSI d’avoir des Ă©lĂ©ments concrets et officiels pour justifier un changement dans la politique de mots de passe actuellement en vigueur dans son entreprise. Reste Ă disposer des bons outils pour les appliquer, d’oĂč l’intĂ©rĂȘt d’Ă©voquer quelques solutions.
Pour mettre en pratique ces recommandations, et en complĂ©ment des outils informatiques, il convient de sensibiliser et d’accompagner les utilisateurs. Au-delĂ du choix du mot de passe, c’est un comportement inadaptĂ© d’un utilisateur qui peut mener Ă une cyberattaque au sein de votre entreprise. Le meilleur exemple est celui de l’e-mail de phishing qu’un utilisateur peut recevoir dans sa boĂźte de rĂ©ception.
En matiÚre de ressources, vous pouvez consulter les deux documents suivants publiés par la CNIL :
Source: Les mots de passe en 2022 : voici les recommandations de la CNIL