Sécurité : Authentifier les utilisateurs
Reconnaître ses utilisateurs pour pouvoir, ensuite, leur donner les accès nécessaires.
Avant toute utilisation des moyens informatiques, un utilisateur doit être doté d’un identifiant qui lui est propre et doit s’authentifier afin de permettre de contrôler son identité et ses accès aux données dont il a besoin.
Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :
- un facteur de connaissance (ce que l’on sait), par exemple un mot de passe ;
- un facteur de possession (ce que l’on a), par exemple une carte à puce ;
- un facteur inhérent (ce que l’on est) qui peut être biométrique, par exemple une empreinte digitale, ou comportementale, par exemple la frappe au clavier. Pour rappel, le traitement de données biométriques visant à identifier un individu automatiquement et de manière unique à partir de ses caractéristiques physiques, physiologiques ou comportementales est un traitement de données sensibles donnant lieu à l’application de l’article 9 du RGPD.
L’authentification d’un utilisateur est qualifiée de multifacteur lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories distinctes. Elle est dite robuste si elle repose sur un mécanisme cryptographique dont les paramètres et la sécurité sont jugés robustes (ex. : clé cryptographique).
Les précautions élémentaires
Définir un identifiant unique par utilisateur
Et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie, mettre en œuvre des moyens pour tracer les actions associées à ces identifiants et renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.
Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe
notamment en appliquant les règles suivantes :
- stocker uniquement l'empreinte des mots de passe, obtenue selon des techniques à l'état de l'art ;
- ne pas demander le renouvellement périodique des mots de passe pour les simples utilisateurs (au contraire des administrateurs) ;
- obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué automatiquement ou par un administrateur lors de la création du compte ou d’un renouvellement du mot de passe ;
- imposer une complexité en fonction des cas d’usage :
- par défaut, entropie(imprédictibilité théorique) minimale de 80 bits (ex. : 12 caractères minimum comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux ; 14 caractères minimum comportant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire) ;
- entropie de 50 bits (ex. : 8 caractères minimum de 3 types différents ; 16 chiffres) dans le cas où des mesures complémentaires sont en place (restriction de l’accès au compte telle qu’une temporisation de l’accès après plusieurs échecs, la mise en place de « Captcha » ou le blocage du compte après 10 échecs) ;
- entropie de 13 bits (ex. : 4 chiffres) dans le cas d’un matériel détenu par l’utilisateur (ex. : carte SIM, dispositif contenant un certificat) avec blocage au bout de 3 échecs.
Vérifier la robustesse de sa politique de mots de passe
La CNIL met à disposition sur son site web un outil pour calculer la complexité des mots de passe demandés aux utilisateurs, selon chaque cas d’usage (mot de passe seul, avec restriction d’accès ou avec un matériel détenu par la personne).
Accompagner les utilisateurs pour le choix d’un mot de passe robuste
- en sensibilisant sur les moyens mnémotechniques ;
- en incitant à l’utilisation de gestionnaires de mots de passe et en formant à leur utilisation :
- il permet d’enregistrer de façon sécurisée autant de mots de passe que nécessaire tout en n’exigeant la mémorisation que d’un seul mot de passe maître ;
- le mot de passe maître doit par conséquent être particulièrement robuste ;
- une attention particulière doit être apportée au choix de la solution.
Communiquer sur les pratiques interdites
(ex. : communiquer son mot de passe à une autre personne, utiliser un mot de passe pouvant être déduit du contexte dans lequel il est utilisé, enregistrer les mots de passe dans un navigateur sans mot de passe maître). Un mot de passe respectant l’entropie exigée peut toujours être facilement utilisé par un attaquant en cas de mauvaises pratiques.
Ce qu’il ne faut pas faire
- Utiliser les mots de passe par défaut des équipements et logiciels.
- Conserver les mots de passe en clair et non une empreinte cryptographique.
- Utiliser, pour la génération de l’empreinte des mots de passe à stocker, une fonction cryptographique de hachage obsolète, telle que MD5 ou SHA-1 (voir la fiche n°21 - Chiffrement, hachage, signature), ou conçue en interne qui est, par conséquent, non reconnue ou éprouvée.
- Empêcher l’usage de la fonction « Coller » ou de l’auto-complétion dans les formulaires pour ne pas impacter l’utilisation d’un gestionnaire de mots de passe.
Pour aller plus loin
- Privilégier l’authentification multifacteur lorsque cela est possible, en particulier lorsque la connexion est accessible depuis l’extérieur du réseau de l’organisme.
- Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer l’accès au compte temporairement ou non, lorsque sa limite est atteinte.
- Imposer, pour les administrateurs, une entropie des mots de passe plus élevée et un renouvellement selon une périodicité pertinente et raisonnable.
- Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (ex. : blocage du compte en cas de non-renouvellement du mot de passe d’un administrateur).
- La CNIL met à disposition sur son site web un outil pour calculer la complexité des mots de passe demandés aux utilisateurs, selon chaque cas d’usage (mot de passe seul, avec restriction d’accès ou avec un matériel détenu par la personne).
- Éviter, si possible, que les identifiants (ou « logins ») des utilisateurs et ceux des administrateurs soient ceux des comptes définis par défaut par les éditeurs de logiciels et désactiver les comptes par défaut.
- Stocker les mots de passe de façon sécurisée transformés (« hash ») avec une fonction spécifiquement conçue à cette fin et utilisant toujours un sel ou une clé (voir la fiche n°21 - Chiffrement, hachage, signature). Une clé ne doit pas être stockée dans la même base de données que les empreintes générées.
- L’ANSSI a publié avec la collaboration de la CNIL des recommandations relatives à l’authentification multifacteur et aux mots de passe. Se référer également aux guides publiés par l’ANSSI pour aider les développeurs et administrateurs dans leurs choix d’algorithmes cryptographiques, de dimensionnement et d’implémentation.
- Pour les autorités administratives, les annexes du référentiel général de sécurité (RGS) s’appliquent, notamment les annexes B1 et B2 concernant respectivement les mécanismes cryptographiques et la gestion des clés utilisées.