Le 28 décembre 2021, la CNIL a sanctionné l'opérateur télécom Free Mobile à hauteur de 300.000 € au motif que la transmission à ses clients d'un mot de passe qui n'est ni temporaire, ni à usage unique et dont le renouvellement n'est pas imposé, le rend aisément et immédiatement utilisable par un tiers. Ce dernier peut accéder au message qui le contient, ce qui induit un certain nombre de risques pour la protection des données à caractère personnel et pour la vie privée des personnes. Le temps du législateur n’est pas celui des fournisseurs de solutions technologiques. La disparition des mots de passe annoncée depuis 10 ans par l’alliance FastIDentityOnline (FIDO) n’est pas encore effective, notamment à cause de l’énorme inertie du système des mots de passe. FIDO repose sur le principe du verrouillage biométrique ou de l’usage d’un code d'accès d’un poste de travail via une clé USB ou sur un smartphone. Il permet de s’authentifier sans qu'aucune donnée ne transite par Internet vers un serveur web pour la validation. L’alliance FIDO est soutenue par le World Wide Web Consortium (W3C) et des poids lourds de la technologique tels Intel, Qualcomm, Amazon et Meta, une institution financière telle et Bank of America, ainsi que par les GAFAM, Google, Microsoft et Apple. Un gage certain de pérennité à terme.
Une transition longue avant la fin des mots de passe
Les sésames classiques ne vont pas disparaitre du jour au lendemain. Les postes de travail, l’accès au cloud, les accès distants pour le télétravail, le back office des sites web, etc. les utilisent encore. En cas de compromission par un pirate, leur robustesse reste une protection essentielle. Les recommandations de la CNIL n’ont pas de caractère obligatoire, mais la Commission souligne que les entreprises hackées peuvent se voir reprocher de ne pas avoir mis en place un protocole exigeant sur la composition du mot de passe. La politique de sensibilisation et de gestion globale de la sécurité numérique peut être mise en cause par l’écosystème d’une entreprise, clients ou partenaires ou par les assureurs.La CNIL rappelle aussi les règles de création des mots de passe en citant des exemples concrets. Un sésame unique doit avoir un minimum de 12 caractères avec majuscule, minuscule, chiffre, caractère spécial ou un minimum de 14 caractères avec majuscule, minuscule, chiffre.
Un mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification, par exemple des mesures de temporisation, blocage ou limitation dans le temps doit posséder un minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou au moins 16 chiffres aléatoires.
Un périphérique physique détenu par une personne (cartes à puce, certificat électronique, etc.) avec dispositif de blocage après 3 échecs d’authentification doit avoir au moins 4 chiffres décimaux.
La biométrie souvent présentée comme une alternative efficace à l'usage des mots de passe est un accès non autorisé aux données personnelles. «Cela peut avoir des conséquences irréversibles pour une victime qui, à la différence d'un mot de passe, ne pourra pas modifier ses caractéristiques biométriques, et devra donc vivre toute sa vie avec cette compromission susceptible d'entraîner des usurpations d'identité à répétition.» précise Me Alexandre Lazarègue, spécialisé en droit du numérique.
