La CNIL rappelle l’importance de la robustesse des mots de passe
- A la unePour la troisième fois en moins de deux ans, la CNIL a sanctionné un responsable de traitement pour n’avoir pas mis en œuvre des mots de passe assez robustes pour assurer la sécurité des comptes clients.
Dans une décision en date du 10 novembre dernier, à l’encontre de la société DISCORD INC, la CNIL a retenu plusieurs manquements de la société, dont un manquement à l’obligation de garantir la protection des données par défaut. L’un des principaux apports de cette décision est l’interprétation faite par la CNIL de l’article 32 du RGPD, portant obligation pour tout responsable de traitement d’assurer la sécurité des données personnelles qu’il traite, appliquée à la robustesse de la procédure d’authentification à un compte-client.
Ainsi, après l’édiction en juillet 2022 de recommandations précises en la matière, la saga jurisprudentielle entamée par la décision BRICO-PRIVE (14 juin 2021), et actualisée au travers de la décision INFOGREFFE (8 sept. 2022) poursuit désormais son cours avec la décision DISCORD INC (10. Nov. 2022).
Dans la première décision, la CNIL clarifiait que « l’absence de violation de données à caractère personnel ne suffisait pas à démontrer l’absence de manquement pas plus qu’une violation de données ne suffisait à caractériser en soi un manquement à l’article 32 du RGPD ». Dans la seconde décision, la CNIL constatait l’insuffisante robustesse de mots de passe de 8 caractères dès lors que ceux-ci n’étaient accompagnés d’aucune mesure de sécurité supplémentaire.
Dans cette nouvelle décision, la CNIL a considéré que le fait de pouvoir procéder à « la création d’un compte sur DISCORD », au travers d’un « mot de passe composé de six caractères incluant des lettres et des chiffres soit accepté » – sans qu’y soit rattaché une quelconque « mesure de sécurité supplémentaire » – est manifestement insuffisant à « assurer la sécurité des données à caractère personnel traitées par la société et d’empêcher que des tiers non autorisés aient accès à ces données ».
Cette récente sanction illustre les modalités indispensables à la mise en place d’une politique d’authentification conforme aux exigences de robustesse de la CNIL :
- Lorsque l’accès à un compte client se fait par une authentification par un mot de passe seul, les mots de passe doivent :
(i) être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles ; ou,
(ii) être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
- Lorsque l’accès à un compte client se fait par une authentification par un mot de passe accompagné de mesures de sécurité supplémentaires (ex : temporisation de l’accès en cas d’échecs répétés ; nombre maximal de tentative autorisées dans un délai déterminé ; mise en œuvre de captcha ; mécanisme de blocage puis déblocages de comptes en cas d’échecs), les mots de passe doivent :
(i) être composés au minimum de 8 caractères et comporter 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux), les caractères spéciaux devant être pris dans un ensemble d’au moins 11 caractères ; ou,
(ii) être composés d’au minimum 16 chiffres.
Il est essentiel de se mettre en conformité avec les recommandations de la CNIL, afin d’éviter, d’une part tout risque pour la sécurité des données des utilisateurs, d’autre part, et à ne pas négliger, toute sanction en cas de contrôle de la CNIL, proactive en la matière.
La position de la CNIL est claire et aucune défense ne permettra de justifier un manquement aux exigences de sécurité des mots de passe.