Publié par Julien L., le Vendredi 26 Juillet 2013

La CNIL sanctionne aussi lorsque le mot de passe est trop simple

Attention au laisser-aller dans la politique de mot de passe d'une entreprise. La CNIL peut sanctionner si celle-ci est trop fragile. C'est ce qui est arrivé récemment dans le cadre d'une enquête portant initialement sur la vidéosurveillance.

C'est l'une des actions méconnues de la Commission nationale de l'informatique et des libertés (CNIL), bien que celle-ci colle parfaitement à sa mission de contrôle pour s'assurer de la bonne application de la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978. En effet, l'autorité administrative indépendante peut aussi punir une entreprise si elle a une politique de mot de passe trop laxiste.

L'affaire est rapportée par le site Village Justice, signalée sur Twitter par Nicolas Caproni. Si l'intervention de la CNIL concernait initialement "l'installation d’un dispositif de vidéosurveillance réalisée sans information préalable des salariés et dont l'usage était jugé abusif", très vite le contrôle a mis en lumière des défaillances importantes dans la sécurisation des données.

Certains mots de passe se limitaient à cinq caractères, d'autres se contentaient de reprendre un prénom ou un nom de famille. En outre, leur renouvellement n'était pas la priorité puisque une partie d'entre eux n'avait pas été changée depuis 2011. Or, "la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées", écrit la CNIL.

L'une des missions de l'autorité est justement de surveiller "la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées". Or en l'occurrence, toutes les précautions n'ont pas été prises. En tout cas, pas les minimales.

Sans aller chercher un mot de passe de 40 caractères, il existe quelques bonnes pratiques à suivre pour en créer un de bonne qualité. Pour que celui-ci soit robuste, il faut agir sur sa longueur (un nombre minimal de caractères), sa complexité (mélanger chiffre, lettre, symbole, majuscule, minuscule) et sa déductibilité (pas de "suite" intelligible, pas de référence personnelle).

Pour que la protection soit vraiment élevée, il faut appliquer deux mesures. En premier lieu, il est recommandé de le renouveler régulièrement (par exemple tous les six mois, tous les ans). En second lieu, il est préférable que le mot de passe choisi pour un service ne soit pas utilisé pour en accéder à d'autres. Ainsi, si l'un d'eux est découvert, il ne pourra pas être utilisé autre part.

La CNIL a produit l'automne dernier un petit guide vidéo consacré aux mots de passe.

Publié par Julien L., le 26 Juillet 2013 à 09h15
 
20
Commentaires à propos de «La CNIL sanctionne aussi lorsque le mot de passe est trop simple»
Inscrit le 19/05/2011
1356 messages publiés
La CNIL peut donc enfin nous donner la loi sur laquelle elle se base pour punir les entreprises, et peut etre du coup en profiter pour nous donner enfin également les méthodes officielles pour protéger sa ligne et ne pas tomber sur le coup du défaut de sécurisation de l'Hadopi, tant qu'elle y est. Merci, CNIL.
Inscrit le 23/12/2011
383 messages publiés
On parle pas de ligne, on parle de sécurisation d'un système d'information. Pas la même chose.

Et c'est à la Hadopi de donner des moyens de sécurisation de ligne, pas à la CNIL, c'est dans le décret.
Inscrit le 19/05/2011
1356 messages publiés
Ah si quand même. La ligne fait partie intégrante du SI.... Et peut importe qui est censé donner les moyens de sécurisation : ce que je veux dire c'est que c'est du foutage de gueule.
Inscrit le 29/09/2011
37 messages publiés
La CNIL se base sur la Loi du 6 janvier 1978 modifiée qu'on appelle "Loi Informatique et Libertés" (le texte à jour là : http://legifrance.go...EXT000000886460 ) et pour la sécurité (et donc cette histoire de mdp) c'est l'article 34 :

"Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8."

Si tu veux des guidelines tu as 3 guides sécu sur le site de la CNIL :
http://www.cnil.fr/f...rite/index.html
http://www.cnil.fr/f...nce_Methode.pdf
http://www.cnil.fr/f...nce_Mesures.pdf
Inscrit le 20/08/2010
993 messages publiés
CNIL = vaste farce !
Inscrit le 03/10/2011
6958 messages publiés
Pas mal, mais il y a plein de site qui ne prenne pas les caractère spéciaux comme = ou ! .

Plus sérieusement, c'est aussi un vrai problème que certain demande un mot de passe de 6 à 8 caractères sans caractères spéciaux.
[message édité par Centaurien le 26/07/2013 à 11:00 ]
Inscrit le 26/07/2013
1 messages publiés
Dans le même ordre d'idée je leur recommande le site d'ameli.fr. Voir en bas de page : http://uxui.fr/2011/...s-sur-ameli-fr/

Mot de passe de 8 à 13 chiffres uniquement (pas de lettre, pas de majuscule forcément, pas de caractère spécial), pour un accès aux données de la sécu, c'est une farce. Mais peut-être que ça a changé depuis ?
Inscrit le 13/04/2010
15 messages publiés
"En outre, leur renouvellement n'était pas la propriété" priorité, non ?
"d'autres se contentaient de reprendre un prénom ou un autre famille."
Inscrit le 24/03/2011
296 messages publiés
Les banques souvent ne propose qu'un mot de passe chiffré à taper avec la souris c'est un peu facile, un keylogger récupère facilement les 6 chiffres puisqu'il intercepte tout ce qui est fait au clavier ou avec une souris .
Inscrit le 23/12/2011
383 messages publiés
Sauf que dans ce cas là, le pavé numérique sur l'écran change de disposition à chaque connexion. T'as beau avoir mappé les clics, t'es pas plus avancé.
Inscrit le 11/02/2009
402 messages publiés
sauf que ça fait des années que les keyloger enregistre aussi l'image autour du clic, donc il recupere le chiffre que tu as tapé et pas le mappage des touches... donc tu l'a dans le cul quand meme
Inscrit le 11/07/2006
428 messages publiés
Les key logger se sont tres vites adaptés a ce cas pour certain d'entre eux, il font une sorte de petit "screen" a chaque clic et donc sont en mesure de connaitre le chiffre sur lequel a cliqué l'utilisateur.
Inscrit le 10/06/2005
6355 messages publiés
ze_katt (Modérateur(rice)) le 29/07/2013 à 17:26
C'est tellement simple que le gens se font piller tous les jours des milliards d'euros que les banques sont obligées de rembourser, ce qui cause leur faillite. On voit ca tous les jours aux infos par dizaines.

Ah ben non. Si ca se trouve, c'est peut être mieux sécurisé que ca en donne l'air.
Inscrit le 11/07/2006
428 messages publiés
@Ze-katt, tu as probablement voulu faire dans l'ironie, tu aurais mieu fait de te taire. Ou est ce qu'on a ecrit que tout le monde se faisait depouiller ces comptes bancaires avec des keyloggers car la securité des login sur les sites bancaires est a chier ?

Je t'aide, nulle part, nous on dit juste que certains keyloggers se sont adaptés au clavier numerique aleatoire.
Voila, on dit juste que ca existe, le gars au dessus de moi dit la meme chose. Si tu veux faire l'autruche libre a toi hein mais garde ton ironie pour toi stp.
[message édité par Jb_yoz le 31/07/2013 à 13:28 ]
Inscrit le 13/08/2010
8770 messages publiés
Encore et toujours des mots de passe trop faibles, et plus globalement un système d'authentification trop faible.
Faudrait voir à se pencher sur les 3 facteurs d'authentification, si on est admin de quelque chose en informatique...

En matière des vidéosurveillance, il y a des contraintes notamment en matière d'accès aux locaux, aux moniteurs et bien sûr aux fichiers enregistrés :
Arrêté du 3 août 2007 portant définition des normes techniques des systèmes de vidéosurveillance.
Inscrit le 28/03/2012
676 messages publiés
Une passphrase de plusieurs mots faciles à retenir est bien plus sûre qu'un mot de passe avec caractéres spéciaux.
Je parle du cas général pour avoir bosser avec des users non techniciens.
Ils ont le mauvais reflexe de noter les mots de passe si ils sont impossibles à retenir.
Inscrit le 10/06/2005
6355 messages publiés
ze_katt (Modérateur(rice)) le 29/07/2013 à 17:30
C'est clair que si ton mot de passe c'est ca 33-yS56.GJd]cvR~2Rd. tu vas le noter quelque part, surtout si t'en a 10 a retenir.

Cy3_gLx4DR(K#2k73~i;
QF#2r6qH7S8q9!j,Kx._
2xJM7R$:[Wca4Vuv?6[4
v.w4W%QdiEH963c(_?S3
/&buBYs5P7#NuY333t}-
R8YF[m^K9enm{9?j5;F8
33-yS56.GJd]cvR~2Rd.
kMf&2?SQC]a,zp5/349K
s6T4XG4,=FW7j
V6wD5r5*X/H35-d.rc
Inscrit le 10/01/2005
3 messages publiés
les mots de passes sont la plaie de l'informatique
Inscrit le 20/07/2006
1004 messages publiés
Moi j'utilise une yubikey , simple, pratique et sécurisé.

J'ai découvert sa quand MTGox m'en a offert une pour sécurisé l’accès a mon compte Bitcoin.
Inscrit le 30/07/2013
236 messages publiés
c pas libre, donc c mal, et surtout c pas secure.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Juillet 2013
 
Lu Ma Me Je Ve Sa Di
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
5 6 7 8 9 10 11