Cachez ce seing que je ne saurais voir

En pleine période de soldes, les délibérations de la CNIL n° 2017-012 du 19 janvier 2017 nous mettent face à nos responsabilités quant à la sécurité de nos données numériques : Doit-on brader nos mots de passe ? Alors que les plus utilisés sont encore des combinaisons (beaucoup trop) évidentes à trouver à l’instar des fameux « 123456 », « azerty » ou du plus complexe « 123456879 », le fait est que nous devons nous souvenir de plus en plus de combinaisons différentes – cela est plus sûr – pour assurer une protection optimum de nos données sur la multitude de comptes et des espaces privés sur lesquels nous sommes enregistrés. Si la création d’un mot de passe individuel pour chaque compte ou espace se révèle être un exercice fastidieux d’imagination et de mémorisation pour beaucoup d’internautes, ce même exercice réalisé en créant des mots de passe complexes décourage – et cela peut se comprendre. Toutefois, la plupart des internautes dispose souvent d’un seul mot de passe, trop simple, pour tous leurs différents comptes. Aussi, dans sa délibération publiée au Journal officiel le 27 janvier 2017, la Commission Nationale de l’Informatique et des Libertés à l’intention des entreprises responsables de traitements de données à caractère personnel, afin d’améliorer la gestion des mots de passe destinés à sécuriser l'accès à des services en ligne. Parmi ces recommandations, la CNIL suggère que si l’authentification repose uniquement sur un identifiant et un mot de passe, ces derniers comportent au minimum 12 caractères et comprennent des majuscules, des minuscules, des chiffres et des caractères spéciaux. Les utilisateurs devraient être par ailleurs alertés en cas d’insuffisance de qualité du mot de passe, c’est-à-dire si celui-ci est trop facile à deviner. Par ailleurs, la CNIL relève que ces exigences peuvent être moins élevées si la procédure d’accès au service en ligne est assortie d’une restriction (blocage de l’accès en cas d’échec à plusieurs reprises) ou si le mot de passe est associé à une information complémentaire (la réponse à une question, captcha, etc.). Enfin, les exigences pourraient être encore plus légères (4 chiffres seulement selon la CNIL) si l’authentification s’appuie sur du matériel détenu par la personne (carte SIM, carte à puce, token). Mais l’authentification doit alors être « sûre » c’est-à-dire reposer sur un algorithme réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue (aucun système ne peut être toutefois assuré d’une infaillibilité totale). Dans tous les cas, la CNIL recommande que des alertes de violation ou suspicion de violation du mot de passe soient envoyées à l’intéressé ; que le mot de passé ne soit jamais stocké en clair, ce qui constitue probablement la précaution la plus importante. Or, dans certains cas, une confirmation du mot de passe choisi par l’utilisateur est envoyée par e-mail, ce qui est une solution de sécurisation très médiocre, puisque le message peut être intercepté par des tiers.

Enfin, le mot de passe devrait être renouvelé régulièrement. Cette exigence se comprend mais, du point de vue de l’utilisateur, elle n’est pas forcément pratique pour tous les internautes dont la mémoire peut faire défaut.