Sécurité : Authentifier les utilisateurs

05 mai 2023

Reconnaître ses utilisateurs pour pouvoir, ensuite, leur donner les accès nécessaires.

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre et doit s’authentifier avant toute utilisation des moyens informatiques.

Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :

  • un facteur de connaissance (ce que l’on sait), par exemple un mot de passe ;
  • un facteur de possession (ce que l’on a), par exemple une carte à puce ;
  • un facteur inhérent (ce que l’on est) qui peut être biométrique, par exemple une empreinte digitale, ou comportementale, par exemple la frappe au clavier. Pour rappel, le traitement de données biométriques visant à identifier un individu automatiquement et de manière unique à partir de ses caractéristiques physiques, physiologiques ou comportementales est un traitement de données sensibles donnant lieu à l’application de l’article 9 du RGPD.

L’authentification d’un utilisateur est qualifiée de multifacteur lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories et est dite forte si un facteur au moins repose sur un mécanisme cryptographique robuste (ex. : clé cryptographique).

Les précautions élémentaires

Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, exiger une validation de la hiérarchie, mettre en œuvre des moyens pour tracer les actions associées à ces identifiants et renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.

Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en appliquant les règles suivantes :

  • conserver de façon sécurisée les mots de passe ;
  • ne pas demander le renouvellement périodique des mots de passe pour les simples utilisateurs (au contraire des administrateurs) ;
  • obliger l’utilisateur à changer, dès sa première connexion, tout mot de passe attribué automatiquement ou par un administrateur lors de la création du compte ou d’un renouvellement du mot de passe ;
  • imposer une complexité en fonction des cas d’usage :
    • par défaut, entropie (imprédictibilité théorique) minimale de 80 bits (ce qui correspond par exemple à 12 caractères minimum comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux ou bien 14 caractères minimum comportant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire) ;
    • entropie de 50 bits dans le cas où des mesures complémentaires sont en place (restriction de l’accès au compte telle qu’une temporisation de l’accès après plusieurs échecs, la mise en place de « Captcha » ou le blocage du compte après 10 échecs) ;
    • entropie de 13 bits dans le cas d’un matériel détenu par l’utilisateur (ex. : carte SIM, dispositif contenant un certificat) avec blocage au bout de 3 échecs.

Vérifier la robustesse de sa politique de mots de passe

La CNIL met à disposition sur son site web un outil pour calculer la complexité des mots de passe demandés aux utilisateurs, selon chaque cas d’usage (mot de passe seul, avec restriction d’accès ou avec un matériel détenu par la personne).

Afin de créer des mots de passe complexes, il est possible de s’appuyer sur l’un des deux moyens suivants :

  • Les moyens mnémotechniques, par exemple en :
    • ne conservant que les premières lettres des mots d’une phrase créée pour l’occasion ;
    • mettant une majuscule si le mot est un nom (ex. : Chef) ;
    • gardant des signes typographiques et de ponctuation (ex. : ’) ;
    • exprimant les nombres à l’aide des chiffres de 0 à 9 (ex. : Un 1) ;
    • utilisant des abréviations phonétiques (ex. : acheté ht).

Par exemple, la phrase « un Chef d’Entreprise averti en vaut deux » peut correspondre au mot de passe 1Cd’Eaev2.

 

  • Les gestionnaires de mots de passe, qui :
    • permettent d’enregistrer de façon sécurisée autant de mots de passe que nécessaire tout en n’exigeant la mémorisation que d’un seul mot de passe maître ;
    • proposent de générer des mots de passe aléatoires et, pour certains d’entre eux, d’avoir une estimation de leur entropie ;
    • peuvent remplir automatiquement les champs d’authentification.

Ce qu’il ne faut pas faire

  • Communiquer un mot de passe personnel à une autre personne.
  • Stocker des mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.
  • Enregistrer les mots de passe dans un navigateur sans mot de passe maître.
  • Utiliser des mots de passe ayant un lien avec soi (ex. : nom, date de naissance).
  • Utiliser le même mot de passe pour des accès différents.
  • Conserver les mots de passe par défaut.
  • S’envoyer par e-mail ses propres mots de passe.
  • Utiliser une fonction cryptographique conçue en interne qui est, par conséquent, non reconnue ou
    éprouvée.
  • Utiliser une fonction cryptographique obsolète, telle que MD5 ou SHA-1, pour stocker des mots de
    passe.

Pour aller plus loin

  • Privilégier l’authentification multifacteur lorsque cela est possible.
  • Limiter le nombre de tentatives d’accès aux comptes utilisateur sur les postes de travail et bloquer temporairement le compte lorsque sa limite est atteinte.
  • Imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable pour les administrateurs (uniquement).
  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification (ex. : blocage du compte en cas de non-renouvellement du mot de passe d’un administrateur).
  • Éviter, si possible, que les identifiants (ou « logins ») des utilisateurs et ceux des administrateurs soient ceux des comptes définis par défaut par les éditeurs de logiciels et désactiver les comptes par défaut.
  • Stocker les mots de passe de façon sécurisée transformés avec une fonction spécifiquement conçue à cette fin utilisant toujours un sel ou une clé (voir fiche n°17 : Chiffrer, hacher ou signer). Une clé ne doit pas être stockée dans la même base de données que les empreintes générées.
  • L’ANSSI a publié avec la collaboration de la CNIL des recommandations relatives à l’authentification multifacteur et aux mots de passe. Se référer également aux guides publiés par l’ANSSI pour aider les développeurs et administrateurs dans leurs choix d’algorithmes cryptographiques, de dimensionnement et d’implémentation.
  • Pour les autorités administratives, les annexes du référentiel général de sécurité (RGS) s’appliquent, notamment les annexes B1 et B2 concernant respectivement les mécanismes cryptographiques et la gestion des clés utilisées.