Attention au laisser-aller dans la politique de mot de passe d’une entreprise. La CNIL peut sanctionner si celle-ci est trop fragile. C’est ce qui est arrivé récemment dans le cadre d’une enquête portant initialement sur la vidéosurveillance.

C’est l’une des actions méconnues de la Commission nationale de l’informatique et des libertés (CNIL), bien que celle-ci colle parfaitement à sa mission de contrôle pour s’assurer de la bonne application de la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978. En effet, l’autorité administrative indépendante peut aussi punir une entreprise si elle a une politique de mot de passe trop laxiste.

L’affaire est rapportée par le site Village Justice, signalée sur Twitter par Nicolas Caproni. Si l’intervention de la CNIL concernait initialement « l’installation d’un dispositif de vidéosurveillance réalisée sans information préalable des salariés et dont l’usage était jugé abusif« , très vite le contrôle a mis en lumière des défaillances importantes dans la sécurisation des données.

Certains mots de passe se limitaient à cinq caractères, d’autres se contentaient de reprendre un prénom ou un nom de famille. En outre, leur renouvellement n’était pas la priorité puisque une partie d’entre eux n’avait pas été changée depuis 2011. Or, « la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement font encourir un risque certain aux données traitées« , écrit la CNIL.

L’une des missions de l’autorité est justement de surveiller « la sécurité des systèmes d’information en s’assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées« . Or en l’occurrence, toutes les précautions n’ont pas été prises. En tout cas, pas les minimales.

Sans aller chercher un mot de passe de 40 caractères, il existe quelques bonnes pratiques à suivre pour en créer un de bonne qualité. Pour que celui-ci soit robuste, il faut agir sur sa longueur (un nombre minimal de caractères), sa complexité (mélanger chiffre, lettre, symbole, majuscule, minuscule) et sa déductibilité (pas de « suite » intelligible, pas de référence personnelle).

Pour que la protection soit vraiment élevée, il faut appliquer deux mesures. En premier lieu, il est recommandé de le renouveler régulièrement (par exemple tous les six mois, tous les ans). En second lieu, il est préférable que le mot de passe choisi pour un service ne soit pas utilisé pour en accéder à d’autres. Ainsi, si l’un d’eux est découvert, il ne pourra pas être utilisé autre part.

La CNIL a produit l’automne dernier un petit guide vidéo consacré aux mots de passe.

https://youtube.com/watch?v=rvqoLxWfH08


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !