Le droit du mot de passe et de l’authentification en ligne… voila bien un sujet qui ne fera rêver personne, ni parmi les professionnels, ni parmi les utilisateurs d’ordinateur ou de smartphone.
Pourtant, le sujet est essentiel quand il s’agit d’assurer la sécurité d’un système d’information, c’est à dire… d’un ordinateur ou d’un smartphone !
C’est d’ailleurs la première des 10 règles d’hygiène informatique que met en avant l’ANSSI (pour les professionnels) et la CNIL (pour tout le monde).
Et pour les professionnels qui offrent des services web sur inscription de type « login + password », la CNIL a déjà prononcé trois décisions de condamnation depuis 2018.
Alors ? On regarde avec un peu de détail de qu’il faut faire ?
PS : chers clients (chers amis…) qui lisez ces lignes, pitié, épargnez-moi vos remarques (sur un ton outragé) du style « Mais comment ? Tout est règlementé ici, On ne peut plus faire de business en France« , etc. Vous le savez bien, la très grande majorité des pro ne se sont pas soucié(e)s de sécurité numérique depuis 20 ans.
Il fallait bien imposer du changement.
Car si la sécurité numérique est parfois obligatoire, elle devient aujourd’hui manifestement nécessaire.
Le droit du mot de passe : le plan de cette présentation
le droit du mot de passe et de l'authentification en ligne : les (traditionnelles) slides d'introduction
identification ? authentification ?
Les explications de cette présentation sont assez techniques, vous vous en doutez bien (vu le titre…).
Alors partons sur des bases saines et voyons déjà ce qu’est – en droit français – l’identification.
L’identification, c’est la vérification de l’identité d’une personne physique, vivante ou décédée.
Certaines professions ont des obligations de vérification de l’identité de leurs client. C’est le cas des banques avec les règles du « Know Your Customer » (ou KYC pour les amateurs/trices d’acronymes).
C’est à ce titre qu’une norme technique a été publiée par l’ANSSI qui s’applique en France aux prestataires de « Vérification d’identité à distance » (PVID du 1er mars 2021).
L’authentification est un concept de sécurité informatique : ça consiste pour un système d’information à vérifier que le terminal qui demande un accès au SI visité bénéficie effectivement de ce droit d’accès.
L’authentification concerne donc des machines, et non des personnes.
Et le moyen technique le plus employé pour faire cette vérification d’un droit d’accès, c’est le fameux système du « LOGIN + PASSWORD ».
Les slides ci-dessous vous amèneront « Sur les terres d’Horus » à une époque où les mesures techniques de vérification de l’identité étaient assez sommaires…
Le droit du mot de passe : ce que "recommande" l'ANSSI
En 2012, l’ANSSI a publié une « note technique » de « recommandations de sécurité relatives aux mots de passe ».
C’est pas très drôle à lire, mais ça tient en 2 slides de synthèse.
Le plus intéressant de cette « doctrine » officielle de ce service du Premier ministre (non, l’ANSSI n’est pas une Autorité Administrative Indépendante comme la CNIL) est le rappel des attaques les plus fréquentes sur les mots de passe : attaque par force brute, par dictionnaire, etc.
Et le côté pratique, c’est que l’ANSSI propose des règles simples pour se prémunir contre ces principales attaques.
L’ensemble peut se résumer en moins de 10 slides, que vous trouverez ci-dessous.
le droit du mot de passe : ce qu'exige la CNIL dans ses délibérations de 2017
Un point sur les dates d’adoption de la règlementation : le RGPD a été adopté le 17 avril 2016 et les deux délibérations de la CNIL « mot de passe » datent respectivement du 19 janvier 2017 (délibération n°2017-012) et du 22 juin 2017 (délibération n°2017-190).
Je ne résiste pas au plaisir de vous livrer le texte in extenso de la délibération de juin 2017 :
« Le II.3 de la délibération n°2017-012… dispose que :
S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé.
La [CNIL] estime de plus que le sel ou la clé doit être généré au moyen d’un générateur de nombres pseudo-aléatoires cryptographiquement sûr (c’est-à-dire basé sur un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), et ne pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.
La [CNIL] décide de la suppression de ces deux alinéas qu’elle remplace par un paragraphe rédigé comme suit :
S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l’authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé. »
En synthèse, que nous dit la CNIL ? Simplement ce qu’il faut faire dans 4 cas bien précis :
- « utilisation d’un mot de passe seul »
- « Mot de passe et restriction d’accès au compte »
- « Mot de passe et information complémentaire » [pour authentification]
- « Mot de passe et matériel détenu par la personne »
Pardon d’insister, mais soyons très clair : ces exigences sont… des exigences, pas des recommandations. C’est obligatoire. Ne réfléchissez plus et faites…
La clarté de ce type de règlementation simplifie la tache du rédacteur de clauses contractuelles : n’inventez pas, citez avec des guillemets comme dans l’extrait de la clause que je vous propose.
Vous trouverez le détail de ces 4 règles, illustrées avec « La nef de fous » dans le slider ci-dessous.
le droit du mot de passe inclut le droit de l'authentification !
Dans sa délibération de janvier 2017 (rectifiée par celle de juin…), la CNIL nous livre ses exigences en matière de « droit de l’authentification en ligne ».
Ce qui est somme toute assez logique dans la mesure où, si le mot de passe est une modalité pratique, l’authentification sécurisée est la finalité de la matière.
Il faut se féliciter du caractère systématique de la démarche de la CNIL qui traite respectivement :
- des modalités de l’authentification;
- des modalités de conservation [des mots de passe]
- des modalités du renouvellement du mot de passe et de la notification à la personne
- du renouvellement périodique du mot de passe
- du renouvellement sur demande du mot de passe
- (enfin) de la notification de violation [data breach d’une base de données de mots de passe] à la personne concernée.
Oui, je sais, ce n’est pas (non plus) très drôle à lire…
Je vous ai tout résumé dans les slides ci-dessous illustrées avec l’étrange (???) psychiatre du tome 6 de la « Nef des fous » et je vous confirme ses propos : « mon expérience me pousse à vous suggérer de prendre des notes« …
Si vous faites tout ça, vous êtes, pour la CNIL, à « l’état de l’art« . Vous n’êtes plus négligent(e).
Mais attention, la mise en oeuvre de ces règles n’est pas une garantie de ne pas être cyber attaqué(e)…
Pour cela, il faudrait penser votre sécurité numérique sur le modèle du Zero Trust dont je vous parlerai bientôt…
le droit du mot de passe : la jurisprudence CNIL de 2018 au 14 juin 2021
La CNL sait très bien qu’une obligation sans sanction, ça ne sert à rien.
C’est pourquoi depuis 2018, la CNIL condamne…
2018 : une mise en demeure publique pour l'exemple
La première condamnation de 2018 pour non-respect du droit du mot de passe n’en est pas véritablement une.
La délibération du 8 octobre 2018 était une procédure ayant abouti à une mise en demeure de faire, sans sanction pécuniaire.
2020 : une première condamnation à sanction pécuniaire pour non-respect du droit du mot de passe
En revanche, la délibération n°2020-003 (28 juillet 2020) est une condamnation à sanction pécuniaire (une « amende administrative« ) pour non-respect – entre autre – des règles obligatoires en matière de mot de passe.
On parle ici de 250.000 €uros tout de même…
2021 : seconde condamnation à sanction pécuniaire (perseverare diabolicum ?)
A la date de ces quelques lignes, la CNIL a sévi de nouveau en prononçant le 14 juin 2021 une nouvelle condamnation pour non-respect (toujours entre autre) des règles relatives aux mots de passe et à l’authentification.
Lisez attentivement cette délibération, les 500.000 €uros d’amende administrative se décomposent en 300.000 pour l’ensemble des non-respects des règles du RGPD et 200.000 pour non-respect des règles « cookies/traceurs » (article 82 de la loi Informatique et Libertés après re-transposition en 2018 de la Directive 2002/58 vie privée et communications électroniques.
A ce stade, vous avez une option : aller lire chacune des 3 délibérations de la CNIL, ou lire les slides ci-dessous qui vous donneront accès direct aux citations pertinentes de ce (nouveau) droit du mot de passe et de l’authentification…
comment une entreprise peut-elle prouver qu'elle est "compliant" ?
Et alors, en pratique ? quoi faire ?
Techniquement, il suffit d’appliquer ces règles. TOUTES ces règles.
Mais comment faire pour prouver juridiquement que vous êtes « compliant » vis-à-vis de vos partenaires / prestataires / clients ?
La bonne démarche se résume en 1 slide :
Si l’ANSSI propose en ligne une méthode pour bien rédiger votre PSSI (Politique de Sécurité des Systèmes d’Information), faites en sorte que votre politique reprenne bien TOUS les impératifs légaux…
Je laisse la conclusion aux cavaliers du 2ème Régiment de chasseurs à cheval des « Souvenirs de la Grande Armée » :
découvrez les BD ayant servi à illustrer cette présentation (et merci encore aux éditions Delcourt / Soleil !!!)
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)